23andMe, l’entreprise qui vous fait savoir si tu es lié à ta femme ou pas, semble être en difficulté. Le week-end, plusieurs points de vente signalé que la société de biotechnologie avait subi une violation de données après que les informations des utilisateurs aient été mises en vente sans ménagement sur un forum populaire du Web sombre. Aujourd’hui, comme on pouvait s’y attendre, l’entreprise est poursuivie en justice par des clients mécontents qui estiment que leurs informations n’ont pas été correctement protégées.

Le gang de cybercriminels adolescents LAPSUS$ frappe à nouveau

Les informations publiées en ligne semblent impliquer plus d’un million d’utilisateurs et comprennent une variété de points de données, notamment les noms des utilisateurs, leur sexe, leur date de naissance, leur emplacement géographique, leurs photos de profil et leurs résultats d’ascendance génétique. Le vendeur de données affirme que les comptes en question sont spécifiquement liés à des personnes de Descendance juive ashkénazebien que certains utilisateurs chinois auraient également été exposés. Le butin supposé comprend des comptes apparemment liés à un certain nombre de célébrités et de personnalités de haut niveau, y compris des sommités de la technologie. Elon Musk, Sergueï Brin et Mark Zuckerberg.

23andMe, qui a confirmé que les données des clients sont réelles, a nié qu’elles aient été obtenues via un épisode de piratage technique, déclarant à Gizmodo dans un communiqué que les comptes clients semblent avoir été infiltrés à l’aide d’identifiants de connexion précédemment compromis. La déclaration se lit notamment comme suit :

…nous pensons que les acteurs malveillants ont pu accéder à certains comptes dans des cas où les utilisateurs recyclaient leurs identifiants de connexion, c’est-à-dire que les noms d’utilisateur et les mots de passe utilisés sur 23andMe.com étaient les mêmes que ceux utilisés sur d’autres sites Web précédemment piratés.

Même s’il faudrait une enquête approfondie en matière de cybersécurité pour aller au fond de ces allégations, certains clients n’attendent pas que cela se produise. Un recours collectif procès déposé en Californie accuse 23andMe de mauvaises pratiques de cybersécurité et affirme que les « garanties » numériques inadéquates de l’entreprise exposent désormais les clients à un risque élevé de fraude et d’usurpation d’identité. Le procès demande des dommages-intérêts au nom des utilisateurs concernés.

L’avenir des violations de données

Professionnels de la cybersécurité j’ai prévenu depuis longtemps que l’industrie biomédicale en pleine croissance est un désastre imminent en matière de données. Les cybercriminels et les pirates informatiques des États-nations s’intéressent vivement aux organisations qui stockent des informations précieuses, et les entreprises de génomique – qui marchandisent et stockent de grandes quantités de données génétiques humaines – sont évidemment des cibles très attrayantes.

23andMe n’est pas non plus la première entreprise dans son domaine à être piratée. Au cours des dernières années, une liste croissante d’entreprises et de laboratoires de génomique ont subi des violations similaires. Cet été encore, la Federal Trade Commission réglé avec une société californienne, 1Health.io, pour son stockage inapproprié et ses pratiques douteuses.

La cybercriminalité mise à part, d’autres préoccupations évidentes existent concernant l’industrie de la génomique, notamment sa tendance à partager des données avec des tiers, comme la police et les sociétés pharmaceutiques. Alors que 23andMe affirme lutter avec acharnement contre les demandes des forces de l’ordre, d’autres sociétés ne sont pas si durs. En 2018, 23andMe a également fait la une des journaux quand il a annoncé de manière controversée il s’agirait de vendre des informations génétiques anonymisées à GlaxoSmithKline, l’une des plus grandes sociétés pharmaceutiques au monde.

En bref : découvrir à quel point vous êtes apparenté à Gengis Khan peut être amusant, mais je ne recommanderais toujours pas de partager votre ADN avec qui que ce soit, sauf si vous y êtes absolument obligé.