23andMe to pay $18 million in new genetics data breach settlement
Mis à jour :
Règlement de 18 millions de dollars après le piratage massif de 23andMe
La société de tests génétiques 23andMe a conclu un accord de 18 millions de dollars avec une coalition de 43 procureurs généraux des États-Unis suite à une faille de sécurité majeure survenue en 2023. L’incident a entraîné le vol des données génétiques et personnelles de 6,9 millions de clients, lesquelles ont été exposées sur le dark web.
Points clés :
- Incident : Une attaque par bourrage d’identifiants (credential stuffing) non détectée pendant cinq mois (avril à septembre 2023).
- Conséquences : Vol de données de 6,9 millions d’utilisateurs ; multiples recours collectifs ; amende de 2,31 millions de livres sterling infligée par l’ICO (Royaume-Uni) ; dépôt de bilan de l’entreprise en mars 2025.
- Déficiences constatées : L’enquête a révélé une absence critique de mesures de sécurité de base, une surveillance inadéquate des connexions anormales et une gestion défaillante des vulnérabilités connues.
Vulnérabilités :
- Absence d’authentification multifacteur (MFA).
- Manque de mécanismes de blocage de mots de passe compromis (password blocklisting).
- Absence de limitation de débit (rate limiting) et d’outils de prévention des intrusions.
- Défaut de détection et de réponse aux comportements suspects. (Note : Aucune CVE spécifique n’a été mentionnée dans l’article, l’incident étant lié à une mauvaise hygiène de sécurité et à l’exploitation d’identifiants volés).
Recommandations et mesures correctives :
- Renforcement technique : Mise en place obligatoire de protocoles de sécurité stricts (MFA, surveillance accrue).
- Gouvernance : Création d’un conseil consultatif sur la sécurité des données et instauration de protocoles d’analyse des risques.
- Droits des utilisateurs : Maintien du droit pour les clients de demander la suppression définitive de leurs données génétiques.
- Audit proactif : Nécessité pour les organisations de tester régulièrement leurs règles de détection (SIEM/EDR) pour contrer les menaces avant qu’elles ne deviennent des compromissions massives.
