Le procureur général de Californie, Rob Bonta, a déposé une plainte contre la société 23andMe, devenue Chrome Holding Co. Il accuse l’entreprise de ne pas avoir protégé les données génétiques et personnelles sensibles de ses clients.
Une sécurité déficiente a conduit à une importante fuite de données en 2023. Les informations de près de 7 millions de clients ont été exposées, dont plus de 855 000 résidents californiens.
L’affaire a éclaté en octobre de cette année-là. Des pirates informatiques ont proposé de vendre un grand volume de données volées sur 23andMe. Ils ont ensuite publié des échantillons, puis des portions plus importantes du jeu de données, pour prouver l’authenticité des informations.
L’entreprise, basée en Californie, a confirmé que les données divulguées étaient bien les siennes. Elle a affirmé qu’elles avaient été extraites à la suite d’une attaque par credential-stuffing. Cette méthode cible les comptes utilisant des identifiants faciles à deviner ou déjà compromis.
Les enquêtes ont rapidement montré que les attaquants avaient d’abord volé des données d’utilisateurs ayant activé la fonctionnalité DNA Relatives. Ils ont ensuite eu accès à un second ensemble de comptes, beaucoup plus vaste, qui n’utilisaient pas cette option.
Au total, l’incident a révélé des informations concernant environ 6,9 millions de clients. Ces données comprenaient des profils génétiques, des prédispositions à certaines maladies, des données d’ascendance et d’ethnicité, ainsi que la liste des parents biologiques et des correspondances ADN.
Dès la fin de l’année 2023, la société faisait face à plusieurs recours collectifs. Début 2024, les autorités nationales de protection des données ont ouvert des enquêtes. Elles ont abouti à l’imposition d’amendes de plusieurs millions de dollars, ce qui a contribué au dépôt de bilan de l’entreprise.
La nouvelle plainte du procureur Bonta affirme que 23andMe n’a pas mis en place des protections suffisantes contre les attaques par credential-stuffing. Elle estime aussi que l’entreprise a manqué plusieurs occasions de détecter l’intrusion et qu’elle n’a pas repéré l’erreur de codage dans la fonction DNA Relatives qui a permis la fuite massive.
Outre ces manquements en matière de sécurité, le procureur souligne les déclarations publiques trompeuses faites par 23andMe avant et après l’incident.
Avant la fuite, la société affirmait que ses normes de sécurité étaient élevées. Après la violation, elle a tenté de minimiser la gravité des faits. Elle a suggéré que les données exposées étaient largement publiques et a rejeté la responsabilité sur les clients, les accusant de réutiliser leurs mots de passe, tout en assurant que ses propres systèmes n’avaient pas été compromis.
Le procureur général estime que ces actions violent plusieurs lois de l’État. Il cite notamment la California Genetic Information Privacy Act, la California Reasonable Data Security Law, la California Consumer Privacy Act (CCPA), la loi sur la publicité mensongère et la loi sur la concurrence déloyale.
La plainte demande une injonction pour empêcher toute nouvelle violation de ces textes. Elle réclame également l’application de pénalités statutaires qui pourraient aller de 1000 à 7500 dollars par infraction, selon les cas.
L’annonce du procureur précise que la procédure de faillite concernant la vente proposée des données génétiques et du matériel biologique des Californiens fait l’objet d’une instruction distincte.