23andMe, l’entreprise de biotechnologie, a admis qu’une cyberattaque avait expos les donnes gntiques de ses clients pendant cinq mois sans tre dtecte. Les pirates ont accd des informations sur l’ascendance des utilisateurs, provoquant la frustration de nombreux clients. 23andMe a ensuite modifi ses conditions d’utilisation pour limiter les recours collectifs des clients, suscitant la colre des avocats spcialiss.
Les critiques soulignent des lacunes de scurit et qualifient les actions de l’entreprise de cyniques. Malgr plus de 30 actions en justice, 23andMe rejette la responsabilit sur les clients. La rponse de l’entreprise, combinant violation de donnes, ngligence et modifications opportunistes, soulve des proccupations majeures concernant sa responsabilit envers la clientle.
Dans une lettre de notification de violation de donnes dpose auprs des autorits de rglementation ce week-end, 23andMe a rvl que les pirates ont commenc s’introduire dans les comptes des clients en avril 2023 et ont continu pendant la majeure partie du mois de septembre. En d’autres termes, pendant environ cinq mois, 23andMe n’a pas dtect une srie de cyberattaques au cours desquelles les pirates tentaient – et russissaient souvent – forcer brutalement l’accs aux comptes des clients, selon une dclaration obligatoire que 23andMe a envoye au procureur gnral de Californie.
Envoy par 23andMeQuelles sont les informations concernes ? Notre enqute a dtermin qu’un cybercriminel a accd certaines informations sur votre ascendance que vous avez choisi de partager dans votre profil d’arbre gnalogique, en particulier votre nom d’affichage, les tiquettes de relation et le pourcentage d’ADN que vous partagez avec le titulaire du compte muni d’un justificatif d’identit par l’intermdiaire duquel vos informations ont t accdes.
Les informations suivantes peuvent galement avoir t consultes dans le cadre du profil de l’arbre gnalogique si vous avez choisi de partager ces informations dans la fonction ADN des parents : lieu dclar (ville/code postal) et anne de naissance.
Plusieurs mois aprs que les pirates ont commenc cibler les clients de 23andMe, l’entreprise a rvl que des pirates avaient vol les donnes gntiques et ancestrales de 6,9 millions d’utilisateurs, soit environ la moiti de ses clients.
Le 1er octobre 2023, un tiers a publi sur Internet un message affirmant dtenir les informations des clients de la socit de biotechnologie 23andMe et affichant un chantillon des donnes voles. 23andMe dit avoir immdiatement entam une enqute et engag des experts en rponse aux incidents pour les aider dterminer l’tendue de toute activit non autorise, ds quils ont eu connaissance de l’incident.
Sur la base dune enqute, nous pensons qu’un acteur menaant a orchestr une attaque de credential stuffing au cours de la priode allant de mai 2023 septembre 2023 pour accder un ou plusieurs comptes 23andMe qui sont connects vous par le biais de notre fonction optionnelle DNA Relatives. Le credential stuffing est une mthode d’attaque dans laquelle les cybercriminels utilisent des listes d’identifiants d’utilisateurs prcdemment compromis pour accder aux systmes d’une autre partie.
Les cybercriminels ont accd ces comptes lorsque les noms d’utilisateur et les mots de passe utiliss sur 23andMe.com taient les mmes que ceux utiliss sur d’autres sites Web prcdemment compromis ou disponibles d’une autre manire. En utilisant cet accs, les cybercriminels ont pu accder des donnes qui comprenaient des informations sur le profil ADN de certains clients. Ils ont ensuite cr des messages sur un site web intitul BreachForums qui comprenaient des liens vers le fichier de profil DNAR, qui pourrait avoir inclus des informations de profil de parent ADN. Ces liens ont expir dans les 24 heures suivant leur mise disposition. D’autres sites web o le fichier de profil DNAR a t raffich ont t identifis.
23andMe dclare avoir immdiatement commenc travailler avec des experts en scurit tiers pour enquter sur l’incident, et aurait contact les forces de l’ordre fdrales. Le 10 octobre, il a t demand tous les clients de 23andMe de rinitialiser leur mot de passe. Le 6 novembre, il a t demand tous les nouveaux clients et aux clients existants de se connecter en utilisant la vrification en deux tapes. Certaines fonctionnalits de la plateforme ont galement interrompu temporairement.
Comme 23andMe l’a admis par la suite, les pirates ont pu accder aux comptes d’environ 14 000 clients en forant brutalement l’accs des comptes qui utilisaient des mots de passe dj rendus publics et associs des adresses lectroniques provenant d’autres violations. Les donnes voles comprenaient le nom de la personne, son anne de naissance, les tiquettes de relation, le pourcentage d’ADN partag avec des parents, les rapports d’ascendance et la localisation dclare par la personne.
Absence d’excuses et manuvres juridiques face la violation de donnes
De nombreux clients se sont sentis frustrs par le comportement de 23andMe et ont dcid d’engager des poursuites contre l’entreprise. Habituellement, lorsqu’une entreprise subit une violation de donnes mettant en pril les informations personnelles de ses clients, elle prsente des excuses ou exprime des regrets. Cependant, ce n’est pas le cas de 23andMe. ce jour, l’entreprise ne semble pas avoir l’intention de prsenter des excuses ses clients ni de rechercher une rsolution pacifique pour surmonter cette crise. Confronte plus de 30 actions en justice, 23andMe attribue la responsabilit aux victimes elles-mmes dans le but de se dcharger de toute culpabilit. Sa position a t communique dans une lettre adresse un groupe de victimes.
Les critiques ont soulign plusieurs lacunes dans la scurit de 23andMe. Certains ont not que l’entreprise aurait d demander aux utilisateurs d’adopter l’authentification multifactorielle, une pratique standard de scurit qu’elle n’avait pas mise en place avant l’incident. Ce n’est qu’aprs le vol des donnes des utilisateurs que 23andMe a rendu l’authentification plusieurs facteurs obligatoires. De plus, suite la divulgation de la violation, l’entreprise a rapidement modifi ses conditions de service pour entraver les actions en justice des clients pirats.
Selon les analystes, en raison de clauses controverses dans les conditions de service de 23andMe, les litiges de masse, tels que les recours collectifs, sont considrs comme difficiles entreprendre. En effet, les conditions de service de l’entreprise stipulent que les utilisateurs renoncent leur droit de poursuivre l’entreprise et doivent plutt opter pour l’arbitrage forc, une voie lgale qui, selon les experts, favorise largement les entreprises. Malgr cela, plusieurs victimes ont engag des recours collectifs contre 23andMe, apparemment pour contourner l’accord initial de l’entreprise.
23andMe a apport des modifications ses conditions de service dans le but apparent d’entraver les plaintes dposes par les clients la suite de la violation de donnes. La mise jour prcise galement qu’aucun rsultat de test gntique n’a t divulgu jusqu’ prsent dans la fuite.
Cette modification semble tre une tentative de dissuader les poursuites judiciaires lies l’incident de violation de donnes. Malgr la raction indigne en ligne, des experts estiment que ces ajustements pourraient ne pas suffire protger 23andMe devant les tribunaux, soulignant que les parties impliques dans des litiges prfrent souvent rgler leurs diffrends en priv. Bien que la socit ait signal prcdemment des recours collectifs en rponse au piratage, la vritable tendue de l’incident n’tait pas claire jusqu’ rcemment.
Des conditions modifies pour contrer les litiges collectifs
Dans un courriel adress aux clients en dbut de semaine, l’entreprise a annonc avoir mis jour la section Rsolution des litiges et arbitrage de ses conditions afin de mettre en place des procdures qui encourageront une rsolution rapide des litiges et rationaliseront les procdures d’arbitrage lorsque plusieurs rclamations similaires sont dposes . En cliquant sur le lien, les clients accdent la nouvelle version des conditions d’utilisation de l’entreprise, qui interdisent essentiellement aux clients de dposer des recours collectifs, une option que davantage de personnes pourraient envisager compte tenu de la clart accrue sur l’ampleur du piratage.
Dans toute la mesure permise par la loi applicable, vous et nous convenons que chaque partie ne peut engager des poursuites contre l’autre qu’individuellement et non dans le cadre d’un recours collectif, d’une action collective ou d’un arbitrage collectif , prcisent les conditions mises jour. Notamment, 23andMe considrera automatiquement les clients comme ayant accept ces nouvelles conditions moins qu’ils ne notifient expressment leur dsaccord en envoyant un courriel dans les 30 jours suivant la rception de l’avis de l’entreprise. Dans le cas contraire, ils seront rputs avoir accept les nouvelles conditions , indique l’entreprise dans son courriel.
Les avocats spcialiss dans les atteintes la protection des donnes ont qualifi les modifications des conditions d’utilisation de cyniques , intresses et de tentative dsespre de protger 23andMe contre ses propres clients. Dans l’une des actions en justice, 23andMe a ragi en reprochant aux utilisateurs d’avoir prtendument rutilis des mots de passe.
Les utilisateurs ont ngligemment recycl et omis de mettre jour leurs mots de passe la suite de ces incidents de scurit passs, qui ne sont pas lis 23andMe , a dclar 23andMe dans la lettre adresse aux victimes de la violation. L’incident n’est pas le rsultat d’une prtendue incapacit de 23andMe maintenir des mesures de scurit raisonnables.
Failles de scurit et manipulation opportuniste
La rcente admission de 23andMe concernant le vol de donnes gntiques par des pirates, combine la ngligence de la cyberattaque pendant plusieurs mois, suscite des inquitudes majeures quant la gestion de la scurit des donnes au sein de l’entreprise. L’affirmation selon laquelle 23andMe n’tait pas au courant du piratage de ses clients sur une priode prolonge soulve des interrogations cruciales sur la surveillance et la protection des informations sensibles.
La situation est exacerbe par le fait que 23andMe avait prcdemment modifi ses conditions d’utilisation dans ce qui semble tre une tentative opportuniste d’entraver les plaintes des clients. De plus, la tentative de l’entreprise de rejeter la responsabilit sur les utilisateurs en les accusant d’avoir prtendument rutilis des mots de passe est juge irresponsable. Cette attitude semble dtourner l’attention de la question centrale de savoir si l’entreprise avait mis en place des mesures de scurit adquates pour protger les donnes de ses clients.
Dans l’ensemble, la conjonction de la violation des donnes, de la ngligence dans la dtection de l’attaque et des modifications opportunistes des conditions d’utilisation soulve des inquitudes srieuses quant la responsabilit et l’intgrit de 23andMe envers sa clientle. Les clients mritent une transparence totale et des assurances de scurit robustes, des lments qui semblent actuellement faire dfaut dans la rponse de l’entreprise cet incident.
Source : 23andMe
Et vous ?
Dans quelle mesure les modifications des conditions d’utilisation de 23andMe peuvent-elles affecter la capacit des clients intenter des recours collectifs, et quelle est la position de l’entreprise ce sujet ?
Comment la combinaison de la violation de donnes, de la ngligence et des modifications opportunistes affecte-t-elle la rputation de 23andMe en tant qu’entreprise responsable et digne de confiance ?
Quels sont les enseignements tirs de cet incident en termes de scurit des donnes et de responsabilit des entreprises dans le domaine de la biotechnologie ?
Comment les autorits de rglementation ragissent-elles la situation, et quelles pourraient tre les consquences long terme pour 23andMe sur le plan lgal et commercial?
Voir aussi :