23andMe a failli à sa mission de protection des données les plus sensibles. L'entreprise américaine, rachetée par l'industriel pharmaceutique Regeneron, a mis en péril l'intimité de milliers de Britanniques dans le cadre d'une fuite de données majeure, a tranché l'Information Commissioner's Office (ICO), l'équivalent britannique de la Commission nationale de l'informatique et des libertés. Elle lui a infligé une amende de 2,31 millions de livres sterling (2,7 millions d'euros environ).
155 592 Britanniques
Dans le détail, entre avril et septembre 2023, un hacker a mené une attaque de type credential stuffing, utilisant des identifiants dérobés lors de fuites antérieures sur d'autres plateformes. En exploitant le recyclage des mots de passe par certains utilisateurs, l'attaquant a ainsi pu accéder sans autorisation à des informations extrêmement sensibles concernant 155 592 Britanniques.
Les données compromises comprenaient les noms, années de naissance, localisation approximative, origine ethnique, arbre généalogique, photos de profil et, dans certains cas, des rapports de santé génétique. De plus, les données brutes d'ADN pouvaient être téléchargées sans vérification supplémentaire. A noter que l'ampleur de l'exposition variait selon les informations renseignées volontairement par les utilisateurs du service.
Absence de mesures d'authentification renforcées
Menée en collaboration avec le Commissariat à la protection de la vie privée du Canada, l'enquête a révélé l'absence de mesures d'authentification renforcées, comme l'authentification multi-facteurs (MFA), ainsi qu'une surveillance insuffisante des activités suspectes sur la plateforme.
Le comportement de la société face à cet incident a également été critiqué par l'ICO. En effet, bien que des signaux d'alerte aient été identifiés dès mai 2023, l'entreprise n'a lancé une enquête complète qu'en octobre, après la découverte des données mises en vente sur Reddit. Or, à cette date, la cyberattaque avait déjà compromis les données de millions de personnes à travers le monde.
Les données au statut particulier
Ce qui est marquant dans cette attaque est l'exposition de données particulièrement critiques. En effet, comme l'explique le commissaire John Edwards, "une fois ces informations accessibles, elles ne peuvent être ni modifiées ni rééditées, comme un mot de passe ou un numéro de carte de crédit". Ainsi, les conséquences sur les victimes de cette fuite vont au-delà de l'usurpation d'identité classique et soulèvent des risques de discrimination, de surveillance ciblée ou d'exploitation financière.
Sur ce sujet, la Commission nationale de l'informatique et des libertés avait émis une alerte expliquant que les données issues des tests génétiques vendus en kit sur Internet ne sont pas seulement personnelles. Elles sont "pluripersonnelles" car "elles sont transmissibles et partagées". En effet, elles sont liées à l'ADN de à leur porteur mais également partagées pour partie par plusieurs personnes. Le Pentagone avait pris une position similaire en exhortant les militaires à ne pas se laisser tenter par ces tests.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
