Les services de généalogie vous permettent d'en savoir beaucoup sur votre ascendance, mais ils nécessitent également le partage de données personnelles hautement sensibles. La fuite et la vente de vos données génétiques sur le dark web sont un véritable défi, et c'est malheureusement précisément ce qui se produit avec la récente faille de sécurité de ce service d'analyse ADN et d'ascendance familiale. Les utilisateurs doivent faire preuve d'une extrême prudence lorsqu'ils traitent avec ces entreprises et s'assurer qu'elles disposent de politiques de confidentialité et de mesures de sécurité appropriées pour protéger leurs données génétiques sensibles contre le piratage et l'exploitation. Les conséquences de cette fuite de données peuvent être graves, notamment la discrimination en matière d'assurance maladie ou d'emploi, voire l'utilisation illégale. Il est donc important de comprendre les risques potentiels avant de s'inscrire à un service de généalogie.
Vos données génétiques sont vendues en ligne : le piratage informatique de 23andMe
En 2023, la société de tests ADN 23andMe a subi une fuite de données massive qui a exposé les informations génétiques de millions de clients. Des pirates ont réussi à compromettre 14,000 6.9 comptes individuels, obtenant des informations sur environ XNUMX millions de personnes répertoriées comme proches parents potentiels sur le site.
Les données volées comprenaient des informations hautement sensibles, telles que :
- Noms
- Dates de naissance
- Informations géographiques (localisation)
- Photos de profil
- Course
- Rapports de santé (prédisposition génétique aux maladies)
- Origine ethnique
- Arbre généalogique
À la suite de cette violation désastreuse, le Bureau du Commissaire à l'information du Royaume-Uni (ICO) et le Commissariat à la protection de la vie privée du Canada (OPC) ont annoncé une enquête conjointe sur l'incident en juin 2024. Un an plus tard, l'enquête s'est conclue par une amende de 2.31 millions de livres sterling (3.13 millions de dollars) imposée à 23andMe pour une « violation très dommageable », selon l'annonce. Bureau du Commissaire à l'information (ICO).
L'enquête a également révélé de graves failles de sécurité au moment de la faille. L'entreprise ne disposait pas de mesures d'authentification adéquates, notamment d'une authentification multifacteur (AMF) obligatoire et d'exigences laxistes en matière de mots de passe. De plus, 23andMe n'a pris aucune mesure pour empêcher l'accès et le téléchargement de données génétiques brutes, et ne disposait pas de « systèmes efficaces pour surveiller, détecter ou répondre aux cybermenaces ciblant les informations sensibles de ses clients ».
John Edwards, le commissaire à l'information du Royaume-Uni, a parfaitement résumé la situation :
23andMe n'a pas pris les mesures élémentaires pour protéger ces informations sensibles. Ses systèmes de sécurité étaient inadéquats et des signaux d'alerte clairs étaient présents, mais l'entreprise a réagi avec une lenteur remarquable. Les données les plus sensibles des utilisateurs étaient donc vulnérables à l'exploitation et à des dommages potentiels.
Le laxisme apparent de 23andMe dans la reconnaissance de la violation a également été souligné. La violation a débuté en avril 2023 et s'est poursuivie jusqu'en mai 2023. Cependant, l'entreprise n'a confirmé la violation et n'a lancé une enquête approfondie qu'en octobre 2023, lorsqu'un employé a repéré les données volées en vente sur Reddit. Ce retard a soulevé des questions quant au sérieux de l'entreprise en matière de protection des données de ses clients et à son engagement en matière de sécurité de l'information.
La protection des données commence par vous
Contrairement aux mots de passe et autres informations souvent divulguées lors de violations de données, vous ne pouvez pas simplement modifier vos données génétiques. Une fois exposées, ces données sont vulnérables à vie. La protection des informations génétiques est donc encore plus importante que celle des autres types de données.
Même si vous ne pouvez pas faire grand-chose dans cette situation, si ce n'est rester vigilant face aux tentatives de fraude ou d'usurpation d'identité, vous pouvez tout de même essayer de vous protéger contre de futures violations. La mise en place d'une authentification multifacteur (AMF) pour vos comptes en ligne et l'utilisation de mots de passe forts et uniques pour chaque compte font partie des mesures de base les plus importantes à prendre pour protéger votre empreinte numérique, que votre fournisseur de services l'exige ou non. Protéger votre cote de crédit si vous êtes touché par une violation de données Également important.
De plus, évitez d'utiliser des services en ligne qui demandent d'emblée de nombreuses informations sensibles. Certes, il peut sembler intéressant d'en savoir plus sur votre ascendance, mais cette curiosité ne justifie pas de jouer avec des informations génétiques hautement sensibles qui pourraient être utilisées à toutes sortes de fins malveillantes. Réfléchissez bien avant de partager vos données génétiques avec qui que ce soit, en évaluant les risques potentiels par rapport aux avantages escomptés. Renseignez-vous sur les politiques de confidentialité des entreprises qui traitent ces données et assurez-vous de comprendre comment elles sont utilisées et protégées.
