Les autorités de protection des données du Royaume-Uni et du Canada ont uni leurs forces pour mener l’enquête sur la fuite de données massive survenue chez le géant des tests génétiques 23andMe l’année dernière. Cet incident de sécurité, qui a exposé les données génétiques et ancestrales de près de 7 millions de clients, soulève de sérieuses questions quant à la capacité de l’entreprise à protéger adéquatement les informations sensibles qui lui sont confiées.
Une fuite de données de grande ampleur
En octobre 2023, 23andMe a révélé qu’une brèche de sécurité avait compromis les données personnelles de 6,9 millions d’utilisateurs, soit environ la moitié de sa base totale de clients. Parmi les informations dérobées figuraient les noms, années de naissance, pourcentages d’ADN partagés avec des proches, rapports ancestraux et lieux de résidence autodéclarés.
Le piratage a été rendu possible par une technique appelée password spraying, où les cybercriminels ont réutilisé des mots de passe volés lors de fuites précédentes pour infiltrer environ 14 000 comptes 23andMe. En exploitant la fonctionnalité « DNA Relatives », qui permettait le partage automatique de certaines données entre utilisateurs inscrits, les pirates ont pu récupérer des informations sur des millions d’autres personnes.
Une détection tardive de l’intrusion
Un aspect troublant de cet incident est le délai considérable entre l’infiltration initiale des comptes, qui s’est déroulée d’avril à septembre 2023, et sa découverte par 23andMe en octobre. La société n’a pris conscience de la violation que lorsque les données volées ont été mises en vente sur des forums de piratage et mentionnées sur le subreddit officieux de 23andMe.
Les gens doivent avoir la certitude que toute organisation gérant leurs informations personnelles les plus sensibles dispose des mesures de sécurité et de protection appropriées.
– John Edwards, Commissaire à l’information du Royaume-Uni
Une enquête internationale pour faire la lumière
Face à l’impact international de cette fuite de données, le commissaire à l’information du Royaume-Uni (ICO) et le commissariat à la protection de la vie privée du Canada (CPVP) ont décidé de collaborer étroitement. Leur enquête conjointe examinera en détail :
- L’étendue des informations exposées et les dommages potentiels pour les victimes
- Si 23andMe disposait de mesures de protection suffisantes pour ses données sensibles
- Si l’entreprise a notifié l’incident de manière adéquate aux autorités compétentes
Les conclusions de cette enquête seront déterminantes pour établir la responsabilité de 23andMe dans cette fuite massive et pour renforcer les exigences de sécurité auxquelles sont soumises les entreprises gérant des données aussi critiques que les profils génétiques.
La confiance des consommateurs mise à rude épreuve
Au-delà des aspects réglementaires, c’est la confiance des utilisateurs envers les services de tests génétiques qui risque d’être sévèrement ébranlée. En choisissant de confier leurs données génétiques à des entreprises comme 23andMe, les consommateurs s’attendent légitimement à ce que celles-ci soient traitées avec le plus haut niveau de confidentialité et de sécurité.
Face au risque de voir ces informations sensibles tomber entre de mauvaises mains, certains pourraient reconsidérer l’intérêt de recourir à ce type de services, malgré les perspectives fascinantes qu’ils offrent en termes de connaissance de soi et de ses origines. Il appartient désormais à 23andMe et à ses pairs de restaurer cette confiance, en renforçant drastiquement leurs mesures de protection des données et en faisant preuve d’une transparence exemplaire en cas d’incident.
L’enquête conjointe des autorités britanniques et canadiennes devrait contribuer à faire évoluer les pratiques du secteur dans ce sens. Car s’il est une leçon à retenir de cette fuite de données sans précédent, c’est que la sécurité ne peut être un aspect secondaire lorsqu’il s’agit de gérer ce que nous avons de plus intime : notre patrimoine génétique.