Fuite de tests ADN : 23andMe rejette la faute sur les utilisateurs
23andMe, mais surtout moi quand il s'agit de sécurité
Un mois après avoir avoué que les infos d’un « nombre significatif » de ses utilisateurs ont fuité, la société de tests ADN dits récréatifs 23andMe se défend de toute responsabilité, explique TechCrunch. En effet, suite à cette fuite de données, plusieurs utilisateurs ont déjà porté l'affaire en justice contre 23andMe et l'entreprise cherche maintenant à se défendre.
Le 04 janvier 2024 à 10h42
6 min
Sécurité
Sécurité
Rappel des faits
Début octobre, on apprenait que des tests génétiques de la société avaient été récupérés par des pirates. 23AndMe montrait déjà du doigt ses clients à l’époque, qu’elle soupçonnait de recycler des identifiants. Une pratique qu’il faut bannir. En cas de fuite, des pirates récupèrent les informations et les essayent sur d’autres services. C’est ce qui s’est passé.
Trois jours plus tard, 23andMe réinitialisait « par prudence » tous les mots de passe. « Nous encourageons l’utilisation de l’authentification multifacteur (MFA) » ajoutait l’entreprise. On se demande pourquoi il a fallu attendre trois jours, la prudence aurait été de le faire immédiatement et d’imposer la double authentification.
Fin octobre, des millions de tests ADN étaient mis en ligne. Deux jours après, l’entreprise a « temporairement désactivé certaines fonctionnalités de l'outil DNA Relatives […] afin de protéger la vie privée de [ses] clients ». Là encore, on se demande pourquoi l’entreprise n’a pas réagi avant.
23andMe se dédouane : « aucune infraction n'a été commise »
Dans une lettre à un groupe de victimes, 23andMe affirme qu'« aucune infraction n'a été commise », qu'il n'y a eu aucune violation ni du « California Confidentiality of Medical Information Act » (CMIA, loi californienne protégeant la confidentialité des informations médicales) ni de l’« Illinois Genetic Information Privacy Act » (GIPA, loi illinoise protégeant contre la divulgation et/ou l'utilisation discriminatoire de leurs informations génétiques dans le cadre de l'emploi).
L'entreprise argue que ce sont des utilisateurs qui « ont négligemment recyclé et omis de mettre à jour leurs mots de passe à la suite de ces incidents de sécurité antérieurs ». Ils sont fautifs pour la société, qui affirme que toute cette histoire n'est donc « pas lié à 23andMe ». « Par conséquent, l'incident n'est pas dû au fait que 23andMe n'aurait pas maintenu des mesures de sécurité raisonnables » ajoute la lettre.
On ne peut pas « mettre à jour » son ADN
Contrairement à un mot de passe que l’on peut modifier comme on le souhaite, on ne peut pas changer son ADN. Une fois vos données en ligne, il n’y a malheureusement rien à faire. Avec des données aussi sensibles, on aurait pu imaginer que 23andMe impose a minima la double authentification, justement pour éviter ce genre de fuite.
En France, c’est par exemple le minimum requis par Lifen (une plateforme de coordination médicale) : « Le risque zéro n’existe pas, en particulier, dans le milieu de la santé où le partage d'informations sur un patient est une composante importante du processus de son suivi médical. Cela est d'autant plus nécessaire avec la multiplication des attaques et leur sophistication accrue. C'est pourquoi, la connexion avec la double authentification par vérification du numéro de téléphone est obligatoire pour les patients ».
« 23andMe a apparemment décidé de laisser ses clients à l'abandon »
Interrogé par TechCrunch, l'un des avocats d'utilisateurs, Hassan Zavareei, réagit : « plutôt que de reconnaître son rôle dans ce désastre en matière de sécurité des données, 23andMe a apparemment décidé de laisser ses clients à l'abandon tout en minimisant la gravité de ces événements ».
En ce qui concerne les informations obtenues via sa fonction « DNA relatives », qui a permis aux attaquants de récupérer non seulement les données de comptes mal sécurisés, mais aussi de leurs proches, l'entreprise explique que ce sont les clients qui les ont créées et qui ont choisi de les « partager avec d'autres utilisateurs sur la plateforme de 23andMe ».
Elle ajoute que « ces informations n'étaient disponibles que si les plaignants choisissaient explicitement de partager ces informations avec d'autres utilisateurs par le biais de la fonction DNA Relatives ».
Cette fonction a, quoi qu’il en soit, servi de caisse de résonance : à partir des 14 000 comptes auxquels les pirates ont eu directement accès, ils ont récupéré près de sept millions de résultats de tests ADN. Soit 500 résultats de tests ADN par compte piraté en moyenne. Dommage que 23andMe n’ait pas remarqué un tel trafic sur son réseau afin de stopper au plus vite l’hémorragie.
Pas de préjudice pécuniaire pour 23andMe
Ne comprenant pas leur numéro de sécurité sociale, leur numéro de permis de conduire ou toute autre information financière ou de paiement, 23andMe considère que ces données ne peuvent pas avoir été utilisées pour causer un préjudice pécuniaire.
Pour éviter les actions collectives en justice, l'entreprise a modifié ses conditions de service avant de révéler l'attaque de sa plateforme, expliquait le média américain en décembre dernier. « Les changements visent à rendre plus difficile pour les victimes de se regrouper pour déposer une plainte contre l’entreprise », indiquent nos confrères. Pour des avocats interrogés par TechCrunch, ces changements sont « cyniques », « égoïstes » et s’apparentent à une « tentative désespérée ».
Des tests « récréatifs » interdits en France
Le Centre Européen de la Consommation explique qu'il n'existe pas de réglementation au niveau européen pour l’instant : « Les tests génétiques dits récréatifs proposés sur Internet aux consommateurs pour connaître l’origine de leurs ancêtres ou dépister une maladie sont autorisés dans plusieurs pays européens comme au Danemark, à Chypre, en Finlande, en Allemagne, en Italie, au Luxembourg ou aux Pays-Bas mais interdits au Portugal et en France ».
Fuite de tests ADN : 23andMe rejette la faute sur les utilisateurs
-
Rappel des faits
-
23andMe se dédouane : « aucune infraction n'a été commise »
-
On ne peut pas « mettre à jour » son ADN
-
« 23andMe a apparemment décidé de laisser ses clients à l’abandon »
-
Pas de préjudice pécuniaire pour 23andMe
-
Des tests « récréatifs » interdits en France
Commentaires (25)
Le 04/01/2024 à 10h47
Je perçois le danger pour une personne importante (un chef d'état, etc), mais pour une personne lambda ?
Le 04/01/2024 à 11h06
Tu peux aussi voir qu'une personne n’est pas le descendant biologique d'une autre.
Moi, par contre, je ne vois pas en quoi ce serait plus dangereux pour un chef d'état qu'une personne lambda.
Le 04/01/2024 à 11h18
En vrai... je doute que l'impact en dehors des maladies (donc assurance) soit important
Le 04/01/2024 à 15h13
#noussachons
Le 04/01/2024 à 11h28
Déjà que des boites font déjà des enquêtes pour savoir si une femme est en couple/Prévois d'avoir un enfant pour l'employer (ou pas...), imagine avec ce type de base de données dans la nature.
Tu vas te faire refuser des postes/prêts bancaire ou location parce que la boite aura "découvert" que tu es à risque de X ou Y.
Le risque est plus sociale qu'individuel.
Le 04/01/2024 à 13h47
Le 04/01/2024 à 19h50
C'est largement du vent tout ca, assez peu précis (dans le sens où les genes en question sont souvent dispersés sur des zones géographiques assez larges et donc des populations assez diverses, ethniquement comme culturellement).
La genetique des populations ca a vraiment du sens sur les assez grands groupes.
Le 04/01/2024 à 13h54
Modifié le 04/01/2024 à 14h48
-Cardiovasculaire
-Cancer
-etc.
Après cela évolue avec les avancés en recherche génétiques. Mais les facteurs de risque pour certaines maladies sont connus.
Ps : Par contre je relativiserai car je pense que ce genre de boite ne vont regarder que quelques gênes connus pour identifier des ethnies, et pas les marqueurs de maladie
Le 05/01/2024 à 17h45
Le 04/01/2024 à 15h06
Bref, les données volées ne permettent que de connaitre les origines ethniques des victimes. Et encore, de manière absolument pas fiable.
Modifié le 04/01/2024 à 17h26
Les détails techniques des marqueurs n'apportent pas à mon sens de valeurs prédictives DIRECTES à une maladie, ou autre. Par contre, l'analyse des résultats montrant l'appartenance relative à une sous population humaine peut révéler des éléments pouvant intéresser une personne ou organisation malveillante. Exemple, si le test montre que tu as une forte probabilité d'être associé à une population ashkénaze, tu peux inférer deux éléments indirectement :
- une probabilité de développer des maladies plus présente dans cette population (on connait de multiples biais de telle ou telle population versus la probabilité de développer des maladies génétiques),
- une probabilité d'appartenance à une religion dans des cas bien particuliers (les personnes ashkénazes ayant une probabilité d'être, ou d'avoir dans leur ascendance des personnes de religion juive). De manière similaire, on peut inférer aussi différentes caractéristiques : potentielles couleur de peau, des cheveux, ... (exemple : population subsaharienne, nordique, berbère, ...). Encore une fois, cela dépend de 2 facteurs : la qualité de l'analyse et des conclusions faite par 23andMe, et des données disponibles issues de la génétique des populations.
Maintenant, toute la question est de savoir si les données piratées de 23andMe permettent d'identifier les utilisateurs de 23andMe.
Le 04/01/2024 à 14h55
On peut citer le risque lier aux assurances / prêt / mutuelle / etc. comme l'ont déjà fait d'autres commentaires, je ne vais pas forcément revenir dessus.
Cela permet également de connaitre beaucoup de chose sur la personne. Son genre, son origine ethnique (d'un point de vue "purement ADN" bien sur), certains problèmes de santé. Pour certains, une partie de nos comportement trouverait son origine également dans notre ADN. Avoir tout ça, permet d'établir un profil, permettant de mieux réaliser une attaque, ou simplement de faire de la publicité ciblé (homme grand blond aux yeux bleus vs une femme noire d'origine africaine par exemple).
Cela pourrait également avoir de nombreux impacts dans plein de domaines, de la recherche d'un emploi à l'octroi d'un logement par exemple.
Autrement dit : la personne malveillante ne va pas forcément en faire grand chose par elle-même. Simplement "revendre". Les conséquences de cette revente va forcément dépendre de qui achète.
On pourrait également avoir une variante du prince Nigérian sinon (on a vu avec votre ADN que vous étiez le seul et unique héritier, ...)
Le 04/01/2024 à 19h27
Le 05/01/2024 à 07h57
Film extraordinaire et visionnaire vu sa sortie en 1997.
Le 04/01/2024 à 11h46
Et sans parler en effet de la mine d'or pour les assureurs entre autres.
Le 04/01/2024 à 13h10
Le 04/01/2024 à 16h51
Je m'interroge sur la fiabilité de ces tests, quelle est leur précision ?
Je me demande aussi s'il est possible de les pratiquer anonymement, en effet, tout se fait pas courrier, alors je met Jacques Dupont sur la boîte aux lettres de ma grand-mère et c'est réglé, non ?
Le 04/01/2024 à 18h55
Le 04/01/2024 à 19h49
Les tests récréatifs sont plutôt fiables, parce qu'il me semble qu'ils tentent plusieurs fois la lecture pour être sûr de pas se planter.
Par contre, ils ne lisent pas tout l'ADN, juste des parties qui ont été jugées comme intéressantes. J'ai un membre de ma famille qui a fait un test chez 23andMe et ils ont fournit ~638000 lignes, contenant chacune deux lettres (AA, AC…) qui sont pour les deux branches des chromosomes (attention, je parle pas du brin d'ADN, avec les paires complémentaires, mais les paires de chromosomes), ou une lettre (AGTC) pour les parties n'ayant pas deux lettres (le chromosome Y), et le code des mitochondries.
Ce fichier texte fournit, sans compression (et contenant à chaque ligne l'adresse du fragment, donc non-optimal) faisait 16 Mo. On estime que le génome complet humain représente entre 700 Mo et 200 Go (https://medium.com/precision-medicine/how-big-is-the-human-genome-e90caa3409b0), on en est donc très loin.
Dans un sujet similaire, il est important de noter que lors des tests ADN destinés aux fichiers policiers, le législateur a dit qu'il ne fallait garder que de l'ADN non codant (→ dont on a trouvé aucune utilité physiologique). Donc même croiser ces fichiers policiers avec ceux de 23andMe me semble hasardeux (mais ça dépend de facteurs que je ne connais pas).
Le 05/01/2024 à 17h10
Pour le côté plus sympa, des personnes nées sous X ont put retrouver des cousins voire une sœur comme Labajon l'explique dans une interview Konbini.
Je crois aussi qu'il y a une histoire de tueur ou violeur qui a été retrouvé indirectement grâce à une personne de sa famille qui a fait ce genre de test.
Bref comme souvent, ces avancées technologiques ou leur généralisation ne sont ni bonne ni mauvaises. C'est ce que nous en faisons qui est important.
Le 07/01/2024 à 08h50
La gendarmerie a fait une recherche en parentèle:
https://fr.m.wikipedia.org/wiki/Affaire_%C3%89lodie_Kulik#Identification_d'un_des_agresseurs
https://www.francetvinfo.fr/societe/justice/video-13h15-la-premiere-utilisation-de-la-recherche-adn-par-parentele-pour-resoudre-un-cold-case_2189245.html
Le 07/01/2024 à 10h54
Le 07/01/2024 à 11h09
Ce n'est pas une raison pour être désagréable et accusateur.
Va relire la Charte éthique et journalistique du site : Next
Tu verras qu'il n'y a plus aucune sorte de publicité sur le site.
Modifié le 08/01/2024 à 20h13
Plus besoin de prendre le risque de récupérer des éléments physiques d'une personne pour le placer ensuite au "bon endroit".
En analogie :
- Ce que la cyber attaque est à l'attaque informatique par pénétration physique ?
- Ou comme dupliquer la plaque d'immatriculation de la voiture de tonton qui habite en Aveyron vue sur une photo sur les réseaux sociaux et la réutiliser sur une autre voiture pour faire des go fast ?