23andMe, l'entreprise de biotechnologie, a admis qu'une cyberattaque avait exposé les données génétiques de ses clients pendant cinq mois sans être détectée. Les pirates ont accédé à des informations sur l'ascendance des utilisateurs, provoquant la frustration de nombreux clients. 23andMe a ensuite modifié ses conditions d'utilisation pour limiter les recours collectifs des clients, suscitant la colère des avocats spécialisés. Les critiques soulignent des lacunes de sécurité et qualifient les actions de l'entreprise de cyniques. Malgré plus de 30 actions en justice, 23andMe rejette la responsabilité sur les clients. La réponse de l'entreprise, combinant violation de données, négligence et modifications opportunistes, soulève des préoccupations majeures concernant sa responsabilité envers la clientèle.
Dans une lettre de notification de violation de données déposée auprès des autorités de réglementation ce week-end, 23andMe a révélé que les pirates ont commencé à s'introduire dans les comptes des clients en avril 2023 et ont continué pendant la majeure partie du mois de septembre. En d'autres termes, pendant environ cinq mois, 23andMe n'a pas détecté une série de cyberattaques au cours desquelles les pirates tentaient - et réussissaient souvent - à forcer brutalement l'accès aux comptes des clients, selon une déclaration obligatoire que 23andMe a envoyée au procureur général de Californie.
Envoyé par 23andMe
Nous vous écrivons pour vous informer d'un incident concernant les informations personnelles que vous avez mises à disposition par le biais de la fonction facultative DNA Relatives de 23andMe. D'après notre enquête sur cet incident, nous pensons que seules les informations de votre profil Arbre généalogique ont été impliquées. Rien ne prouve que votre compte 23andMe ou toute autre information contenue dans votre compte ait été consultée lors de cet incident.
Quelles sont les informations concernées ? Notre enquête a déterminé qu'un cybercriminel a accédé à certaines informations sur votre ascendance que vous avez choisi de partager dans votre profil d'arbre généalogique, en particulier votre nom d'affichage, les étiquettes de relation et le pourcentage d'ADN que vous partagez avec le titulaire du compte muni d'un justificatif d'identité par l'intermédiaire duquel vos informations ont été accédées.
Les informations suivantes peuvent également avoir été consultées dans le cadre du profil de l'arbre généalogique si vous avez choisi de partager ces informations dans la fonction ADN des parents : lieu déclaré (ville/code postal) et année de naissance.
Quelles sont les informations concernées ? Notre enquête a déterminé qu'un cybercriminel a accédé à certaines informations sur votre ascendance que vous avez choisi de partager dans votre profil d'arbre généalogique, en particulier votre nom d'affichage, les étiquettes de relation et le pourcentage d'ADN que vous partagez avec le titulaire du compte muni d'un justificatif d'identité par l'intermédiaire duquel vos informations ont été accédées.
Les informations suivantes peuvent également avoir été consultées dans le cadre du profil de l'arbre généalogique si vous avez choisi de partager ces informations dans la fonction ADN des parents : lieu déclaré (ville/code postal) et année de naissance.
Plusieurs mois après que les pirates ont commencé à cibler les clients de 23andMe, l'entreprise a révélé que des pirates avaient volé les données génétiques et ancestrales de 6,9 millions d'utilisateurs, soit environ la moitié de ses clients.
Le 1er octobre 2023, un tiers a publié sur Internet un message affirmant détenir les informations des clients de la société de biotechnologie 23andMe et affichant un échantillon des données volées. 23andMe dit avoir immédiatement entamé une enquête et engagé des experts en réponse aux incidents pour les aider à déterminer l'étendue de toute activité non autorisée, dès qu’ils ont eu connaissance de l'incident.
Sur la base d’une enquête, « nous pensons qu'un acteur menaçant a orchestré une attaque de credential stuffing au cours de la période allant de mai 2023 à septembre 2023 pour accéder à un ou plusieurs comptes 23andMe qui sont connectés à vous par le biais de notre fonction optionnelle DNA Relatives. » Le credential stuffing est une méthode d'attaque dans laquelle les cybercriminels utilisent des listes d'identifiants d'utilisateurs précédemment compromis pour accéder aux systèmes d'une autre partie.
Les cybercriminels ont accédé à ces comptes lorsque les noms d'utilisateur et les mots de passe utilisés sur 23andMe.com étaient les mêmes que ceux utilisés sur d'autres sites Web précédemment compromis ou disponibles d'une autre manière. En utilisant cet accès, les cybercriminels ont pu accéder à des données qui comprenaient des informations sur le profil ADN de certains clients. Ils ont ensuite créé des messages sur un site web intitulé BreachForums qui comprenaient des liens vers le fichier de profil DNAR, qui pourrait avoir inclus des informations de profil de parenté ADN. Ces liens ont expiré dans les 24 heures suivant leur mise à disposition. D'autres sites web où le fichier de profil DNAR a été réaffiché ont été identifiés.
23andMe déclare avoir immédiatement commencé à travailler avec des experts en sécurité tiers pour enquêter sur l'incident, et aurait contacté les forces de l'ordre fédérales. Le 10 octobre, il a été demandé à tous les clients de 23andMe de réinitialiser leur mot de passe. Le 6 novembre, il a été demandé à tous les nouveaux clients et aux clients existants de se connecter en utilisant la vérification en deux étapes. Certaines fonctionnalités de la plateforme ont également interrompu temporairement.
Comme 23andMe l'a admis par la suite, les pirates ont pu accéder aux comptes d'environ 14 000 clients en forçant brutalement l'accès à des comptes qui utilisaient des mots de passe déjà rendus publics et associés à des adresses électroniques provenant d'autres violations. Les données volées comprenaient le nom de la personne, son année de naissance, les étiquettes de relation, le pourcentage d'ADN partagé avec des parents, les rapports d'ascendance et la localisation déclarée par la personne.
Absence d'excuses et manœuvres juridiques face à la violation de données
De nombreux clients se sont sentis frustrés par le comportement de 23andMe et ont décidé d'engager des poursuites contre l'entreprise. Habituellement, lorsqu'une entreprise subit une violation de données mettant en péril les informations personnelles de ses clients, elle présente des excuses ou exprime des regrets. Cependant, ce n'est pas le cas de 23andMe. À ce jour, l'entreprise ne semble pas avoir l'intention de présenter des excuses à ses clients ni de rechercher une résolution pacifique pour surmonter cette crise. Confrontée à plus de 30 actions en justice, 23andMe attribue la responsabilité aux victimes elles-mêmes dans le but de se décharger de toute culpabilité. Sa position a été communiquée dans une lettre adressée à un groupe de victimes.
Les critiques ont souligné plusieurs lacunes dans la sécurité de 23andMe. Certains ont noté que l'entreprise aurait dû demander aux utilisateurs d'adopter l'authentification multifactorielle, une pratique standard de sécurité qu'elle n'avait pas mise en place avant l'incident. Ce n'est qu'après le vol des données des utilisateurs que 23andMe a rendu l'authentification à plusieurs facteurs obligatoires. De plus, suite à la divulgation de la violation, l'entreprise a rapidement modifié ses conditions de service pour entraver les actions en justice des clients piratés.
Selon les analystes, en raison de clauses controversées dans les conditions de service de 23andMe, les litiges de masse, tels que les recours collectifs, sont considérés comme difficiles à entreprendre. En effet, les conditions de service de l'entreprise stipulent que les utilisateurs renoncent à leur droit de poursuivre l'entreprise et doivent plutôt opter pour l'arbitrage forcé, une voie légale qui, selon les experts, favorise largement les entreprises. Malgré cela, plusieurs victimes ont engagé des recours collectifs contre 23andMe, apparemment pour contourner l'accord initial de l'entreprise.
23andMe a apporté des modifications à ses conditions de service dans le but apparent d'entraver les plaintes déposées par les clients à la suite de la violation de données. La mise à jour précise également qu'aucun résultat de test génétique n'a été divulgué jusqu'à présent dans la fuite.
Cette modification semble être une tentative de dissuader les poursuites judiciaires liées à l'incident de violation de données. Malgré la réaction indignée en ligne, des experts estiment que ces ajustements pourraient ne pas suffire à protéger 23andMe devant les tribunaux, soulignant que les parties impliquées dans des litiges préfèrent souvent régler leurs différends en privé. Bien que la société ait signalé précédemment des recours collectifs en réponse au piratage, la véritable étendue de l'incident n'était pas claire jusqu'à récemment.
Des conditions modifiées pour contrer les litiges collectifs
Dans un courriel adressé aux clients en début de semaine, l'entreprise a annoncé avoir mis à jour la section « Résolution des litiges et arbitrage » de ses conditions afin de « mettre en place des procédures qui encourageront une résolution rapide des litiges et rationaliseront les procédures d'arbitrage lorsque plusieurs réclamations similaires sont déposées ». En cliquant sur le lien, les clients accèdent à la nouvelle version des conditions d'utilisation de l'entreprise, qui interdisent essentiellement aux clients de déposer des recours collectifs, une option que davantage de personnes pourraient envisager compte tenu de la clarté accrue sur l'ampleur du piratage.
« Dans toute la mesure permise par la loi applicable, vous et nous convenons que chaque partie ne peut engager des poursuites contre l'autre qu'individuellement et non dans le cadre d'un recours collectif, d'une action collective ou d'un arbitrage collectif », précisent les conditions mises à jour. Notamment, 23andMe considérera automatiquement les clients comme ayant accepté ces nouvelles conditions à moins qu'ils ne notifient expressément leur désaccord en envoyant un courriel dans les 30 jours suivant la réception de l'avis de l'entreprise. Dans le cas contraire, ils seront « réputés avoir accepté les nouvelles conditions », indique l'entreprise dans son courriel.
Les avocats spécialisés dans les atteintes à la protection des données ont qualifié les modifications des conditions d'utilisation de « cyniques », « intéressées » et de « tentative désespérée » de protéger 23andMe contre ses propres clients. Dans l'une des actions en justice, 23andMe a réagi en reprochant aux utilisateurs d'avoir prétendument réutilisé des mots de passe.
« Les utilisateurs ont négligemment recyclé et omis de mettre à jour leurs mots de passe à la suite de ces incidents de sécurité passés, qui ne sont pas liés à 23andMe », a déclaré 23andMe dans la lettre adressée aux victimes de la violation. « L'incident n'est pas le résultat d'une prétendue incapacité de 23andMe à maintenir des mesures de sécurité raisonnables. »
Failles de sécurité et manipulation opportuniste
La récente admission de 23andMe concernant le vol de données génétiques par des pirates, combinée à la négligence de la cyberattaque pendant plusieurs mois, suscite des inquiétudes majeures quant à la gestion de la sécurité des données au sein de l'entreprise. L'affirmation selon laquelle 23andMe n'était pas au courant du piratage de ses clients sur une période prolongée soulève des interrogations cruciales sur la surveillance et la protection des informations sensibles.
La situation est exacerbée par le fait que 23andMe avait précédemment modifié ses conditions d'utilisation dans ce qui semble être une tentative opportuniste d'entraver les plaintes des clients. De plus, la tentative de l'entreprise de rejeter la responsabilité sur les utilisateurs en les accusant d'avoir prétendument réutilisé des mots de passe est jugée irresponsable. Cette attitude semble détourner l'attention de la question centrale de savoir si l'entreprise avait mis en place des mesures de sécurité adéquates pour protéger les données de ses clients.
Dans l'ensemble, la conjonction de la violation des données, de la négligence dans la détection de l'attaque et des modifications opportunistes des conditions d'utilisation soulève des inquiétudes sérieuses quant à la responsabilité et à l'intégrité de 23andMe envers sa clientèle. Les clients méritent une transparence totale et des assurances de sécurité robustes, des éléments qui semblent actuellement faire défaut dans la réponse de l'entreprise à cet incident.
Source : 23andMe
Et vous ?
Dans quelle mesure les modifications des conditions d'utilisation de 23andMe peuvent-elles affecter la capacité des clients à intenter des recours collectifs, et quelle est la position de l'entreprise à ce sujet ? Comment la combinaison de la violation de données, de la négligence et des modifications opportunistes affecte-t-elle la réputation de 23andMe en tant qu'entreprise responsable et digne de confiance ? Quels sont les enseignements tirés de cet incident en termes de sécurité des données et de responsabilité des entreprises dans le domaine de la biotechnologie ? Comment les autorités de réglementation réagissent-elles à la situation, et quelles pourraient être les conséquences à long terme pour 23andMe sur le plan légal et commercial?Voir aussi :
23andMe a modifié ses conditions de service pour empêcher les clients de porter plainte, suite à un piratage ayant compromis les informations personnelles de près de 7 millions de personnes 23andMe impute la violation de données à des utilisateurs qui ont recyclé des mots de passe sans les mettre à jour, l'entreprise tente de se décharger de toute responsabilité dans l'incident