La Californie poursuit 23andMe pour la violation de données de 2023 ayant touché 7 millions d’utilisateurs

La Californie agit contre une société de données génétiques

Le procureur général de Californie, Rob Bonta, a poursuivi l’entreprise autrefois connue sous le nom de 23andMe, désormais Chrome Holding Co., au sujet de la violation de 2023 qui a exposé des informations sensibles appartenant à 7 millions d’utilisateurs. Selon le texte source, 855 541 de ces utilisateurs touchés étaient des résidents de Californie.

La plainte vise à la fois les pratiques de sécurité et la communication avec les clients. Bonta accuse l’entreprise de ne pas avoir protégé des informations personnelles et génétiques hautement sensibles, notamment des données génétiques liées à la santé, des détails sur l’ascendance et l’ethnicité, ainsi que des informations reliées à des proches biologiques.

Le dossier de l’État

23andMe avait auparavant déclaré que des acteurs malveillants avaient accédé aux comptes via credential stuffing, en utilisant des identifiants volés lors de fuites antérieures. Mais la plainte californienne, telle que résumée dans l’article, soutient qu’une entreprise manipulant des données génétiques aurait dû anticiper cette méthode d’attaque et s’en défendre.

L’argument de Bonta va plus loin. Il dit que 23andMe connaissait une fuite chez MyHeritage, une autre plateforme généalogique avec laquelle elle travaillait, mais n’a pas empêché la réutilisation des identifiants ni ne l’a vérifiée de manière adéquate. L’article indique aussi que 23andMe avait encouragé les utilisateurs à créer des comptes MyHeritage, ce qui rendait ce chevauchement plus significatif.

Comment la fuite s’est étendue

La plainte ne se limite pas aux prises de contrôle initiales de comptes. Selon le texte source, les attaquants ont d’abord accédé à environ 14 000 comptes par credential stuffing, puis ont utilisé une faille dans la fonction DNA Relatives pour atteindre les données de millions d’autres clients.

Bonta affirme que les contrôles de sécurité de l’entreprise étaient si faibles que les attaquants ont opéré sans être détectés pendant cinq mois. Il dit aussi que l’entreprise n’a commencé à enquêter qu’après que des données volées d’utilisateurs sont déjà apparues en vente sur le dark web et après l’apparition d’exigences de rançon.

Divulgation et préjudice

Un autre point majeur de la plainte est que 23andMe aurait minimisé la fuite lorsqu’elle a informé ses clients. Bonta soutient que l’entreprise a omis des informations critiques et a affirmé que la fonction DNA Relatives était essentiellement publique, tout en négociant en privé avec les attaquants.

Le texte source ajoute une dimension particulièrement grave : l’ensemble de données mis en vente aurait mis en avant des informations concernant des utilisateurs asiatico-américains et insulaires du Pacifique, ainsi que des utilisateurs juifs. Dans la version de l’État, ce contexte a accru le risque d’utilisation ciblée au-delà d’une simple atteinte à la vie privée.

Pourquoi cette affaire compte

Il ne s’agit pas seulement d’une plainte de plus pour violation de données contre une entreprise technologique grand public. Elle concerne des données génétiques, qui présentent un degré de sensibilité différent parce qu’elles peuvent révéler des prédispositions de santé, des liens familiaux et des traits d’ascendance que les utilisateurs ne peuvent pas simplement réinitialiser comme un mot de passe. L’affaire californienne teste donc jusqu’où les attentes en matière de protection des données doivent monter lorsque l’information sous-jacente est biologiquement intime et potentiellement durable.

Pour le secteur au sens large, cette plainte constitue aussi un avertissement sur des méthodes d’attaque familières. Le credential stuffing n’a rien de nouveau, et la position de l’État semble être que des schémas d’attaque courants n’excusent pas des défenses faibles, surtout lorsque des entreprises détiennent des dossiers inhabituellement sensibles.

L’affaire pourrait façonner les attentes tant en matière d’architecture de sécurité que de divulgation des violations dans la génomique grand public. Au minimum, elle montre que les régulateurs sont prêts à traiter les défaillances touchant des données génétiques comme plus que de simples incidents cyber classiques.

Cet article est basé sur un reportage d’Engadget. Lire l’article original.