Cet article date de plus d'un an.

Piratage de 23andMe : 14.000 tests ADN dans la nature et presque 7 millions de clients concernés

Nouveau monde Benjamin Vincent Le samedi à 17h50, 20h20 et 22h22, le dimanche à 17h52, 20h55 et 22h52

Les pirates informatiques visaient 23andMe, un laboratoire californien spécialisé dans les tests ADN. Ils ont réussi à pénétrer dans le système en utilisant des mots de passe récupérés lors de cyberattaques précédentes. Résultat : les données d'une partie des clients, avec ou sans détail de l’ADN, se revendent maintenant jusqu'à 10 dollars pièce.

Benjamin Vincent

Radio France

Publié le 09/12/2023 09:57 Mis à jour le 09/12/2023 16:56

Temps de lecture : 3min

Un kit de prélèvement pour les tests d'ADN. La firme 23andMe a confirmé le 5 décembre 2023 que des hackers avaient volé les mots de passe et les données personnelles de presque 7 millions de personnes. (ERIC BARADAT / AFP)

C’était l’une des promotions du Black Friday : 79 dollars – moins de 100 euros – le kit à renvoyer par courrier, pour savoir qui on est, pour confirmer un lien de parenté ou pas, grâce à l’ADN. 14 millions de clients s’étaient déjà laissé convaincre par le kit salivaire du laboratoire 23andMe, jusqu’à l’annonce du piratage.

Le 6 octobre, on découvre que l'entreprise a été visée – elle le sera à nouveau quelques jours plus tard – mais on n’a aucune idée de la gravité de ces intrusions. Il a fallu attendre lundi dernier, soit près de deux mois, pour découvrir l’ampleur du vol de ces données si particulières, que sont l’ADN.

La moitié des 14 millions de clients

Selon 23andMe, moins de 0,1% de ses clients sont directement concernés : jusqu’à 14.000 personnes dont les tests ADN sont dans la nature, mais les pirates ont aussi récupéré "un nombre significatif de fichiers" contenant les liens de parenté d’autres utilisateurs. Et ceux-là sont beaucoup plus nombreux : 6,9 millions. Parmi les données volées : le nom, l’année de naissance, le pourcentage d’ADN en commun avec leurs proches, et pour certains, une partie de l’arbre généalogique et de la localisation géographique qu’une partie d’entre eux avaient accepté de partager.

Presque 7 millions de clients touchés, donc, sur 14 millions de clients en tout. Et pourtant, le business continue, presque comme si de rien n’était. 23andMe a beau avoir annoncé le renforcement de l’identification de ses clients, avant d’accéder à son site web – en exigeant désormais, enfin, une double authentification – le laboratoire a aussi mis à jour ses conditions générales d’utilisation, très discrètement. C’était le 30 novembre dernier.

Un médiateur pour éviter les procès

La nouvelle version de ce contrat, que tout nouveau client doit accepter en créant un compte, est censée éviter au laboratoire les procès et les actions de groupe, en obligeant à passer par un médiateur, qui tranche, en cas de litige, y compris en cas de cyberattaque et de fuite de données ADN, sans possibilité de faire appel. Or, huit jours après l’annonce initiale, début octobre, plusieurs plaintes avaient déjà été déposées.

Depuis le 30 novembre, les clients de 23andMe ont commencé à être prévenus par mail. S’ils ne refusent pas expressément les nouvelles conditions dans les 30 jours, ils ne pourront plus saisir la Justice. C’est précisément ce qu’espère le laboratoire en cas de nouvelle fuite de données ADN, et à condition qu’il s’en remette.