La socit amricaine de biotechnologie 23andMe a t poursuivie en justice par des clients mcontents aprs la violation de donnes qu'elle a subie l'anne dernire. Mais de manire inattendue, elle a rpondu aux plaintes en dclarant que les victimes auraient d choisir un meilleur mot de passe si elles voulaient que leur scurit soit renforce pour empcher toute violation de donnes. En d'autres termes, 23andMe estime que l'incident ne rsulte pas de son incapacit prsume maintenir des mesures de scurit raisonnables, mais aux mauvaises pratiques des clients en matire de mots de passe. Cette dclaration est bien sr critique et fait davantage de mcontents.La socit amricaine de tests gntiques 23andMe a subi une importante violation donne l'anne dernire. L'on ignore exactement quand le piratage a eu lieu, mais la nouvelle de la violation n'a fait surface qu'en octobre, lorsque des donnes des clients ont t mises en vente sur le dark Web. ce moment-l, 23andMe a dclar au public que seuls 14 000 comptes environ avaient t compromis. Mais une enqute ultrieure a rvl qu'en raison d'une fonction interne de partage de donnes lie ces comptes, le nombre rel de personnes touches tait probablement de l'ordre de 6,9 millions. L'entreprise avait initialement minimis la porte du piratage.
Le comportement de 23andMe a frustr de nombreux clients qui ont dcid de poursuivre l'entreprise en justice. Gnralement, lorsque les donnes personnelles des clients sont compromises aprs un piratage, l'entreprise s'excuse ou demande pardon. Mais ce n'est pas le cas de 23andMe. Pour l'instant, l'entreprise ne semble pas avoir l'intention de s'excuser auprs des clients ni de trouver une voie pacifique pour sortir de cette crise. Confront plus de 30 actions en justice, 23andMe rejette la responsabilit sur les victimes elles-mmes afin de se dgager de toute responsabilit. Il a exprim sa position dans une lettre envoye un groupe de victimes.
La nouvelle de la lettre a t rapporte par TechCrunch et elle a t envoye au cabinet d'avocats Tycko & Zavareei LLP. Plutt que de reconnatre son rle dans ce dsastre en matire de scurit des donnes, 23andMe a apparemment dcid de laisser ses clients l'abandon tout en minimisant la gravit de ces vnements , a dclar Hassan Zavareei, l'un des avocats reprsentant les victimes qui ont reu la lettre de 23andMe. L'entreprise cherche rester l'cart des tribunaux, mais elle semble galement nier tre la principale responsable de la violation des donnes. La lettre envoye par 23andMe aux clients comporterait le passage suivant :
Par ngligence, les utilisateurs ont recycl et n'ont pas mis jour leurs mots de passe la suite de ces incidents de scurit passs, qui ne sont pas lis 23andMe. Par consquent, l'incident n'tait pas le rsultat de l'chec prsum de 23andMe maintenir des mesures de scurit raisonnables [] . En d'autres termes, 23andMe semble dire que cette vaste violation de donnes n'est pas vraiment de sa faute. Cette affirmation est conforme ce que l'entreprise a dclar prcdemment, savoir que le vritable coupable de toute l'affaire tait une mauvaise scurit des comptes et que ses propres systmes n'ont jamais t viols par les criminels.
En rponse la lettre de 23andMe aux victimes, Zavareei a dclar que l'entreprise blme sans vergogne les victimes pour la violation de donnes. Ce pointage du doigt est absurde. 23andMe savait ou aurait d savoir que de nombreux consommateurs utilisent des mots de passe recycls et donc 23andMe aurait d mettre en uvre certaines des nombreuses mesures de protection disponibles pour se protger contre le bourrage d'identifiants - surtout si l'on considre que 23andMe stocke des informations d'identification personnelle, des informations de sant et des informations gntiques sur sa plateforme , a dclar Zavareei.
La rponse de l'entreprise a choqu plus d'un. Et les critiques n'ont pas manqu de relever certaines faiblesses dans la scurit de 23andMe. Des critiques ont soulign que 23andMe aurait probablement d exiger des utilisateurs qu'ils utilisent l'authentification multifactorielle, une pratique de scurit standard de l'industrie qu'elle n'a pas respecte avant la violation. L'entreprise n'a instaur l'authentification plusieurs facteurs obligatoire qu'aprs le vol des donnes des utilisateurs. En outre, aprs la rvlation de la violation, l'entreprise a galement modifi frntiquement ses conditions de service afin d'empcher les clients pirats de porter plainte.
Selon les analystes, en raison de certaines dispositions controverses incluses dans les conditions de service de 23andMe, les litiges de masse (comme les recours collectifs) sont assez difficiles raliser. En effet, les conditions de service de l'entreprise stipulent que les utilisateurs doivent renoncer la possibilit de poursuivre l'entreprise et tenter la place l'arbitrage forc, une voie juridique alternative qui, selon les experts, penche fortement en faveur des entreprises. Nanmoins, les victimes ont dpos un certain nombre de recours collectifs contre 23andMe, apparemment dans le but de passer outre l'accord initial de l'entreprise.
Zavareei affirme que 23andMe a mis jour ses conditions gnrales de vente pour rendre la procdure d'arbitrage plus onreuse et plus difficile naviguer. D'autres experts juridiques affirment galement que les rcentes modifications contractuelles de 23andMe ont rendu encore plus difficile la possibilit pour les victimes de se regrouper et de recourir un arbitrage de masse, ce qui s'apparenterait une action collective et qui serait donc plus avantageux et plus pratique pour les victimes. Zavareei a dclar qu'il existe quelques scnarios hypothtiques dans lesquels les victimes pourraient poursuivre une action en justice traditionnelle.
Dante Termohs, un client de 23andMe qui a t touch par la violation de donnes, a dclar TechCrunch qu'il trouvait consternant que 23andMe tente de se cacher des consquences au lieu d'aider ses clients. D'autres avocats ayant l'habitude de reprsenter des victimes de violations de donnes ont dclar que les modifications apportes par 23andMe ses conditions de service sont "cyniques" et "intresses". Selon eux, il s'agit d'une "tentative dsespre" de se protger et de dissuader les clients de poursuivre l'entreprise. Elle estime que les donnes voles ne peuvent pas tre utilises pour infliger des dommages pcuniaires aux victimes.
La violation de donnes a commenc par l'accs des pirates environ 14 000 comptes d'utilisateurs seulement. Les pirates se sont introduits dans ce premier groupe de victimes en forant brutalement les comptes avec des mots de passe connus pour tre associs aux clients cibls, une technique connue sous le nom de "credential stuffing". partir des 14 000 premires victimes, les pirates ont pu accder aux donnes personnelles de 6,9 millions d'autres victimes qui avaient choisi d'utiliser la fonction "DNA Relatives" de 23andMe. Cette fonction permet aux clients de partager automatiquement certaines de leurs donnes avec des proches sur la plateforme.
En d'autres termes, en piratant les comptes de seulement 14 000 clients, les pirates ont ensuite rcupr les donnes personnelles de 6,9 millions d'autres clients dont les comptes n'ont pas t directement pirats.
Source : lettre de 23andMe
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la rponse 23andMe aux victimes de la violation de donnes ?
Selon vous, les utilisateurs de la plateforme de 23andMe sont-ils fautifs dans cette affaire ? Pourquoi ?
La politique de scurit de l'entreprise est-elle en cause ? Pourquoi refuse-t-elle toute responsabilit ?
Quels impacts le comportement de l'entreprise pourrait-il avoir sur ses activits long terme ?
Voir aussi
