A translation of this post will be available soon.
En 2023, une cyberattaque d’envergure a exposé les données génétiques personnelles de millions d’utilisateurs de 23andMe, une société américaine offrant des services d’analyse du code génétique aux particuliers, poussant les autorités canadiennes et britanniques à ouvrir une enquête conjointe. Les conclusions récemment publiées soulignent que 23andMe a enfreint le principe 4.7 de l’annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (ci-après la « LPRPDE »), en omettant de mettre en place des mesures de sécurité adéquates pour protéger les renseignements personnels de ses clients. Ces conclusions rappellent aux entreprises, particulièrement celles qui traitent des renseignements personnels sensibles, l’importance d’adopter des mesures de sécurité rigoureuses et conformes aux normes en vigueur.
23andMe Face aux Autorités Canadiennes et Britanniques
Selon le Commissaire à la protection de la vie privée du Canada, Philippe Dufresne, cette affaire met en lumière une lacune importante du cadre législatif canadien, qui ne permet pas l’imposition d’amendes en cas de manquement en matière de protection des données. C’est dans ce contexte que le Commissaire Dufresne a réitéré son appui au projet de loi C-27, lequel visait à renforcer la responsabilisation des organisations et à harmoniser le régime canadien avec les standards internationaux. Toutefois, ce projet de loi n’a pas été adopté avant la dissolution du Parlement en janvier 2025, et aucun projet de remplacement n’a encore été présenté par le gouvernement actuel.
De son côté, le Commissaire à l’information du Royaume-Uni, John Edwards, a constaté que 23andMe avait contrevenu aux articles 5(1)(f) et 32(1) du General Data Protection Regulation (ci-après le « UK GDPR »), en omettant de mettre en place des mesures techniques et organisationnelles essentielles pour assurer l’intégrité de ses systèmes de traitement des renseignements personnels des clients. L’entreprise fait désormais face à une amende de £2,31 millions.
Une Atteinte à Portée Internationale
En octobre 2023, 23andMe confirme qu’un incident de sécurité a exposé les renseignements personnels de près de 7 millions de personnes à travers le monde, dont environ 320 000 au Canada et 155 600 au Royaume-Uni. Les données compromises concernaient des données sensibles liées à la santé, à l’origine ethnique, ainsi que des renseignements sur les proches des clients, notamment la date de naissance, le sexe à la naissance et le genre. Une proportion majeure de ces données provenait directement de l’ADN du client.
Un Regard Posé sur ces Failles de Sécurité
Compte tenu de l’ampleur de l’incident, les autorités canadiennes et britanniques ont lancé une enquête conjointe pour évaluer la conformité de 23andMe aux exigences de la LPRPDE au Canada, ainsi qu’au UK GDPR et à la Data Protection Act 2018 au Royaume-Uni.
Le 17 juin dernier, lors d’une conférence de presse tenue à Ottawa, le Commissaire à la protection de la vie privée du Canada, Philippe Dufresne, et le Commissaire à l’information du Royaume-Uni, John Edwards, ont présenté les résultats de cette enquête conjointe. Cette dernière a révélé des failles majeures dans les mesures de sécurité de 23andMe, notamment l’absence de protection contre les attaques de type credential stuffing, qui ont permis à un pirate d’accéder à plus de 18 000 comptes entre avril et septembre 2023. Le credential stuffing est l'utilisation, souvent automatisée, de données par un cybercriminel (souvent volés lors de fuites de données) pour tenter de se connecter à d'autres sites ou services. Ce type d'attaque repose sur le fait que de nombreux utilisateurs réutilisent les mêmes mots de passe sur plusieurs plateformes.
Et Maintenant ?
L’affaire 23andMe démontre, une fois de plus, que la cybersécurité doit être une priorité au sein des organisations. Afin de faire face à l’augmentation des menaces et à la circulation exponentielle des données, les entreprises doivent adopter des mesures robustes afin de protéger les renseignements personnels. Dans cette optique, voici quelques principes clés d’une approche proactive, tirés de l’affaire 23andMe.
L’authentification multifacteur (« MFA ») obligatoire
Le caractère facultatif de la MFA chez 23andMe a exacerbé la vulnérabilité des comptes clients aux accès indésirés. En rendant cette mesure obligatoire, l’organisation ajoute une barrière essentielle qui renforce la sécurité des connexions.
L’implantation d’exigences strictes pour les mots de passe
Une lacune identifiée dans les politiques de 23andMe résidait dans l’autorisation de mots de passe courts, fixés à un minimum de huit caractères, avec peu d’exigences de complexité. Une politique robuste, conforme aux bonnes pratiques en vigueur, notamment en ce qui concerne l’exigence de mots de passe d’au moins dix caractères, aurait réduit les risques d’intrusion. Au Canada, les sociétés peuvent s’inspirer du guide du Centre canadien pour la cybersécurité pour établir leur politique[1].
Les vérifications de mots de passe périodiques
Il est également pertinent de vérifier périodiquement si les clients réutilisent des identifiants compromis lors de violations de données antérieures, afin de bloquer ces connexions à risque.
Le contrôle supplémentaire des données sensibles
Une fois un compte compromis, les données ADN brutes des clients de 23andMe étaient librement accessibles. Pour de telles données sensibles, l’organisation doit implanter une vérification renforcée de l’identité avant tout téléchargement.
La surveillance active des comptes
Malgré plusieurs signaux clairs indiquant qu’un pirate tentait et parvenait à accéder sans autorisation à plusieurs comptes clients, les mécanismes de surveillance de 23andMe n’ont pas permis de détecter ces activités suspectes. Une surveillance continue, combinée à la mise à disposition d’un historique des appareils utilisés pour accéder aux comptes, aurait permis aux clients de mieux visualiser les connexions effectuées et à 23andMe de réagir plus rapidement à l’incident.
Les bons réflexes à adopter en cas de fuite de données
La mise en place d’un protocole établi pour répondre à une attaque de type credential stuffing permet d’éviter des retards dans la fermeture des sessions actives des utilisateurs, la réinitialisation des mots de passe ou la désactivation de fonctions sensibles, telles que le téléchargement des données génétiques brutes, afin de limiter l’ampleur de la fuite de données.
[1] Centre canadien pour la cybersécurité, Pratiques exemplaires de création de phrases de passe et de mots de passe, Canada, 2024, en ligne : < https://www.cyber.gc.ca/fr/orientation/pratiques-exemplaires-de-creation-de-phrases-de-passe-et-de-mots-de-passeitsap30032> [https://perma.cc/5S9J-PB26].
[View source.]
