23andMe poursuivie en justice après la vente, par des pirates, d’informations sur des clients d’origine juive
La firme, qui propose des tests ADN, met en cause la récupération des mots de passe des utilisateurs dans ce piratage qui a touché 6,9 millions de comptes
L’entreprise de tests ADN 23andMe est accusée de ne pas avoir informé ses utilisateurs d’origine juive ashkénaze et chinoise qu’ils ont été la cible d’un piratage de données, l’année dernière, et que toutes les informations les concernant ont été rassemblées dans des listes qui ont ensuite été vendues sur le dark web, selon une nouvelle plainte.
Dans un post de blog qui avait été publié sur son site internet en date du 6 octobre, la compagnie avait initialement fait part d’un vol de données entre le mois de mai et le mois de septembre 2023 – un piratage qui n’avait été détecté à aucun moment. Le billet accusait les clients d’avoir été responsables de la réussite de ce piratage, disant que les hackers avaient pu accéder aux informations en visant les usagers qui avaient utilisé le même nom d’utilisateur et le même mot de passe sur de multiples sites.
Dans un post publié sur le même blog, quelques jours plus tard, 23andMe avait annoncé avoir lancé des investigations sur l’infraction avec l’aide « d’experts légistes tiers » et des autorités fédérales.
Recevez gratuitement notre édition quotidienne par mail pour ne rien manquer du meilleur de l’info Inscription gratuite !
Une enquête qui a été terminée au mois de décembre – et une note parue sur le blog a ainsi conclu que les pirates étaient parvenus à accéder à environ 14 000 comptes dont les mots de passe étaient utilisés sur plusieurs sites par les usagers. Grâce à ce piratage, des informations supplémentaires ont pu être collectées via la fonction « d’arbre généalogique » qui est proposée par le site et via celle « Proches d’ADN », où les gens peuvent choisir de partager des données avec des personnes partageant potentiellement une génétique similaire. Dans les deux cas, les noms, les dates d’anniversaire ou les villes où vivent les autres utilisateurs sont mis à la disposition des clients.
Selon 23andMe, les hackers ont obtenu des informations sur 6,9 millions de personnes au total à partir des comptes ouverts sur le site – un nombre qui représente presque la moitié du nombre de clients de l’entreprise.
Si la compagnie a fait part de l’information au mois de décembre et qu’elle a indiqué qu’elle avait signalé le piratage à tous ceux qui étaient concernés par ce dernier, elle n’a précisé à aucun moment qu’apparemment, les hackers avaient pris spécifiquement pour cible des personnes d’origine juive ashkénaze ou chinoise.
De plus, le même jour où 23andMe avait initialement annoncé le piratage de ses données sur son blog, Wired avait fait savoir que ces dernières et notamment les noms, prénoms et adresses d’un million de personnes d’origine juive présumée avaient été publiées sur Breach Forums, une plateforme de partage pour les hackers, quelques jours auparavant. Les pirates devaient ensuite rendre publiques les coordonnées de 100 000 clients de l’entreprise qui étaient pour leur part d’origine chinoise.
Les informations étaient vendues par les pirates à un prix allant d’un dollar à dix dollars.
La semaine dernière, Tech Crunch a partagé le courrier envoyé par 23andMe aux utilisateurs dont les données ont été volées. La compagnie explique dans la missive n’avoir eu connaissance de ce piratage qu’après la publication, par un individu, d’une partie des informations volées sur le subreddit officieux de 23andMe, affirmant qu’il en avait davantage en sa possession.
Si la lettre a mentionné le fait que certaines données avaient été postées sur la plateforme Breach Forum, elle n’a pas informé les personnes concernées que les informations partagées sur le dark web portaient avant tout sur ses clients d’origine ashkénaze.
Au lendemain de la toute première annonce de ce vol de données, le Hamas avait lancé une attaque sans précédent sur le sol israélien, le 7 octobre, massacrant environ 1 200 personnes, des civils en majorité, et kidnappant 253 personnes, prises en otage dans la bande de Gaza. Israël avait immédiatement déclaré la guerre au groupe terroriste.
Suite à l’attaque et au lancement de la guerre, l’antisémitisme a grimpé en flèche dans le monde entier. Les Juifs ont été victimes de violences physiques et verbales dans de nombreux pays et notamment aux États-Unis, où se trouve le siège de 23andMe.
J.L, en Floride – qui est l’une des victimes de ce piratage et qui s’est joint à d’autres clients dans le dépôt de plainte – a raconté au New York Times qu’il avait découvert qu’il avait des origines juives ashkénazes quand il a fait le test ADN proposé par 23andMe, l’année dernière.
Il a ajouté qu’avec la recrudescence de l’antisémitisme, il craignait que les informations obtenues par les pirates soient utilisées contre lui et contre sa famille.
« Maintenant que l’information est partie quelque part, quelqu’un pourrait décider de passer ses nerfs et sa frustration [face à la guerre à Gaza] sur moi », a-t-il confié au New York Times.
Suite à ces violations de données et aux informations révélant que les victimes de ce piratage étaient essentiellement juives, le représentant démocrate du New Jersey Josh Gottheimer a annoncé, le 11 janvier, qu’il demandait au FBI de s’impliquer dans les investigations, partageant un courrier qu’il a écrit au directeur du Bureau, Christopher Wray.
« Je suis profondément inquiet à l’idée que ces données puissent être achetées par des acteurs malveillants désireux de porter atteinte à des Juifs sur la base exclusive de leur origine ou de leur religion, que ce soit aux États-Unis ou dans le monde », a-t-il écrit.
Il s’est dit également préoccupé, dans sa missive, à l’idée que les données dérobées puissent offrir la possibilité au Hamas et à ses soutiens d’attaquer des Juifs américains et leurs familles.
« L’Histoire nous a appris que lorsque des extrémistes menacent les Juifs de génocide, nous devons les prendre au sérieux et nous devons entreprendre des actions solides et rapides pour prévenir de telles atrocités », a-t-il continué.
Avec l’avancée de la plainte et des investigations, ce sont d’autres entreprises qui pourraient potentiellement être impliquées dans le piratage des données de 23andMe, comme le montre une plainte qui avait été déposée au mois d’août contre la firme de tests ADN Sequencing.
David Melvin, qui a lancé les poursuites contre 23andMe, est aussi à l’origine d’un recours collectif, avec d’autres clients de l’Illinois, qui accuse Sequencing d’avoir partagé les rapports ADN de ses clients avec des entreprises tierces, sans consentement préalable de ces derniers. Ce faisant, la firme a contrevenu à une loi de l’état, la Genetic Information Privacy Act, qui interdit aux entreprises spécialisées dans les tests ADN de partager les informations recueillies auprès de leurs clients, sinon avec ces derniers et avec les parties qu’ils ont eux-mêmes autorisées.
Or, Sequencing partageait notamment ses données sur ses clients avec 23andMe. Il n’y a encore aucun élément laissant penser que les informations volées au sein de 23andMe provenaient de Sequencing – mais, si ces informations ont été effectivement délivrées à 23andMe, il est probable que les personnes intéressées n’ont pas donné leur consentement concernant ce transfert de données de la part de Sequencing et qu’elles ignorent encore qu’elles ont pu être dérobées, en conséquence, par les pirates.
Mais si cela devait être le cas, cela pourrait signifier que le piratage des données de 23andMe aura finalement touché des personnes qui ne sont pas des clientes directes de l’entreprise, ce qui soulèvera des interrogations sur l’ampleur du problème.
... alors c’est le moment d'agir. Le Times of Israel est attaché à l’existence d’un Israël juif et démocratique, et le journalisme indépendant est l’une des meilleures garanties de ces valeurs démocratiques. Si, pour vous aussi, ces valeurs ont de l’importance, alors aidez-nous en rejoignant la communauté du Times of Israël.
Nous sommes ravis que vous ayez lu X articles du Times of Israël le mois dernier.
C'est pour cette raison que nous avons créé le Times of Israel, il y a de cela onze ans (neuf ans pour la version française) : offrir à des lecteurs avertis comme vous une information unique sur Israël et le monde juif.
Nous avons aujourd’hui une faveur à vous demander. Contrairement à d'autres organes de presse, notre site Internet est accessible à tous. Mais le travail de journalisme que nous faisons a un prix, aussi nous demandons aux lecteurs attachés à notre travail de nous soutenir en rejoignant la communauté du ToI.
Avec le montant de votre choix, vous pouvez nous aider à fournir un journalisme de qualité tout en bénéficiant d’une lecture du Times of Israël sans publicités.
Merci à vous,
David Horovitz, rédacteur en chef et fondateur du Times of Israel