Fuite de tests ADN : 23andMe rejette la faute sur les utilisateurs

Un mois après avoir avoué que les infos d’un « nombre significatif » de ses utilisateurs ont fuité, la société de tests ADN dits récréatifs 23andMe se défend de toute responsabilité, explique TechCrunch. En effet, suite à cette fuite de données, plusieurs utilisateurs ont déjà porté l'affaire en justice contre 23andMe et l'entreprise cherche maintenant à se défendre.

Rappel des faits

Début octobre, on apprenait que des tests génétiques de la société avaient été récupérés par des pirates. 23AndMe montrait déjà du doigt ses clients à l’époque, qu’elle soupçonnait de recycler des identifiants. Une pratique qu’il faut bannir. En cas de fuite, des pirates récupèrent les informations et les essayent sur d’autres services. C’est ce qui s’est passé.

Trois jours plus tard, 23andMe réinitialisait « par prudence » tous les mots de passe. « Nous encourageons l’utilisation de l’authentification multifacteur (MFA) » ajoutait l’entreprise. On se demande pourquoi il a fallu attendre trois jours, la prudence aurait été de le faire immédiatement et d’imposer la double authentification.

Fin octobre, des millions de tests ADN étaient mis en ligne. Deux jours après, l’entreprise a « temporairement désactivé certaines fonctionnalités de l'outil DNA Relatives […] afin de protéger la vie privée de [ses] clients ». Là encore, on se demande pourquoi l’entreprise n’a pas réagi avant.

23andMe se dédouane : « aucune infraction n'a été commise »

Dans une lettre à un groupe de victimes, 23andMe affirme qu'« aucune infraction n'a été commise », qu'il n'y a eu aucune violation ni du « California Confidentiality of Medical Information Act » (CMIA, loi californienne protégeant la confidentialité des informations médicales) ni de l’« Illinois Genetic Information Privacy Act » (GIPA, loi illinoise protégeant contre la divulgation et/ou l'utilisation discriminatoire de leurs informations génétiques dans le cadre de l'emploi).

L'entreprise argue que ce sont des utilisateurs qui « ont négligemment recyclé et omis de mettre à jour leurs mots de passe à la suite de ces incidents de sécurité antérieurs ». Ils sont fautifs pour la société, qui affirme que toute cette histoire n'est donc « pas lié à 23andMe ». « Par conséquent, l'incident n'est pas dû au fait que 23andMe n'aurait pas maintenu des mesures de sécurité raisonnables » ajoute la lettre.

On ne peut pas « mettre à jour » son ADN

Contrairement à un mot de passe que l’on peut modifier comme on le souhaite, on ne peut pas changer son ADN. Une fois vos données en ligne, il n’y a malheureusement rien à faire. Avec des données aussi sensibles, on aurait pu imaginer que 23andMe impose a minima la double authentification, justement pour éviter ce genre de fuite.

En France, c’est par exemple le minimum requis par Lifen (une plateforme de coordination médicale) : « Le risque zéro n’existe pas, en particulier, dans le milieu de la santé où le partage d'informations sur un patient est une composante importante du processus de son suivi médical. Cela est d'autant plus nécessaire avec la multiplication des attaques et leur sophistication accrue. C'est pourquoi, la connexion avec la double authentification par vérification du numéro de téléphone est obligatoire pour les patients ».

« 23andMe a apparemment décidé de laisser ses clients à l'abandon »

Interrogé par TechCrunch, l'un des avocats d'utilisateurs, Hassan Zavareei, réagit : « plutôt que de reconnaître son rôle dans ce désastre en matière de sécurité des données, 23andMe a apparemment décidé de laisser ses clients à l'abandon tout en minimisant la gravité de ces événements ».

En ce qui concerne les informations obtenues via sa fonction « DNA relatives », qui a permis aux attaquants de récupérer non seulement les données de comptes mal sécurisés, mais aussi de leurs proches, l'entreprise explique que ce sont les clients qui les ont créées et qui ont choisi de les « partager avec d'autres utilisateurs sur la plateforme de 23andMe ».

Elle ajoute que « ces informations n'étaient disponibles que si les plaignants choisissaient explicitement de partager ces informations avec d'autres utilisateurs par le biais de la fonction DNA Relatives ».

Cette fonction a, quoi qu’il en soit, servi de caisse de résonance : à partir des 14 000 comptes auxquels les pirates ont eu directement accès, ils ont récupéré près de sept millions de résultats de tests ADN. Soit 500 résultats de tests ADN par compte piraté en moyenne. Dommage que 23andMe n’ait pas remarqué un tel trafic sur son réseau afin de stopper au plus vite l’hémorragie.

Pas de préjudice pécuniaire pour 23andMe

Ne comprenant pas leur numéro de sécurité sociale, leur numéro de permis de conduire ou toute autre information financière ou de paiement, 23andMe considère que ces données ne peuvent pas avoir été utilisées pour causer un préjudice pécuniaire.

Pour éviter les actions collectives en justice, l'entreprise a modifié ses conditions de service avant de révéler l'attaque de sa plateforme, expliquait le média américain en décembre dernier. « Les changements visent à rendre plus difficile pour les victimes de se regrouper pour déposer une plainte contre l’entreprise », indiquent nos confrères. Pour des avocats interrogés par TechCrunch, ces changements sont « cyniques », « égoïstes » et s’apparentent à une « tentative désespérée ».

Des tests « récréatifs » interdits en France

Le Centre Européen de la Consommation explique qu'il n'existe pas de réglementation au niveau européen pour l’instant : « Les tests génétiques dits récréatifs proposés sur Internet aux consommateurs pour connaître l’origine de leurs ancêtres ou dépister une maladie sont autorisés dans plusieurs pays européens comme au Danemark, à Chypre, en Finlande, en Allemagne, en Italie, au Luxembourg ou aux Pays-Bas mais interdits au Portugal et en France ».