Le 10 octobre, l’entreprise américaine spécialisée dans les tests génétiques 23AndMe révélait avoir été la cible de pirates informatiques. Ces derniers avaient pu accéder à environ 14 000 comptes de personnes qui utilisaient sur la plate-forme le même identifiant et le même mot de passe que sur d’autres sites piratés auparavant.
Les données auxquelles les pirates ont eu accès variaient selon les comptes et la manière dont ils étaient paramétrés, mais comportaient notamment des informations généalogiques et « pour une fraction d’entre eux », « des informations liées à la santé basées sur les données génétiques de l’utilisateur », selon l’entreprise.
Une fuite plus grave qu’annoncé
Vendredi 1er décembre, dans une déclaration légale auprès du gendarme boursier américain, 23andMe a expliqué que la fuite de données était plus grave qu’initialement annoncé. Les pirates ont en effet pu accéder à bien davantage de données en utilisant une des fonctionnalités de ce service, mi-société d’analyse génétique mi-réseau social : ses utilisateurs peuvent paramétrer leur profil pour que certaines informations y figurant soient accessibles à d’autres utilisateurs dont le patrimoine génétique est voisin.
De proche en proche et en partant des comptes initialement compromis, les pirates ont donc pu capter des informations sur 6,9 millions de personnes, soit environ la moitié des utilisateurs revendiqués de 23andMe. Il s’agit notamment du nom de l’utilisateur, du pourcentage de patrimoine génétique commun et dans certains cas et en fonction du paramétrage du compte de la localisation, de l’année de naissance voire des photos mises en ligne par l’utilisateur. Dans d’autres cas, les arbres généalogiques des utilisateurs étaient vulnérables : c’est le cas pour 1,4 million d’entre eux.
23andMe va, comme l’oblige la loi américaine, avertir les utilisateurs concernés par cette fuite de données. Plusieurs actions judiciaires de groupe ont été lancées à la suite de l’annonce du piratage aux Etats-Unis et au Canada.
Des données de Français sont sans doute concernées par cette fuite. Si ce type de service, en raison des données génétiques qu’il traite, est interdit dans l’Hexagone, plusieurs milliers de Français y ont eu recours ces dernières années.