La Californie a engagé une action en justice contre l'ancienne structure de la société de tests ADN 23andMe pour des manquements présumés en matière de sécurité et des déclarations trompeuses concernant la fuite de données survenue en 2023.
Le 27 mai 2026, le procureur général Rob Bonta a intenté une action devant la Cour supérieure de San Francisco contre Chrome Co., la société qui gère désormais les actifs restants de 23andMe à la suite de sa faillite.
Dans sa plainte, l'État de Californie reproche à 23andMe de ne pas avoir mis en place de mesures de sécurité raisonnables pour protéger les données sensibles et lui reproche d'avoir enfreint plusieurs lois de l'État relatives à la protection de la vie privée et à la protection des consommateurs. Il reproche également à l'entreprise d'avoir fait des déclarations trompeuses concernant ses pratiques en matière de sécurité.
La faille de 2023 a exploité des techniques traditionnelles de « credential stuffing » contre la page de connexion de 23andMe. Les pirates ont opéré au sein des systèmes pendant environ cinq mois sans que personne ne s'en aperçoive. L'atteinte directe a été modeste, touchant environ 14 000 comptes, mais cela a suffi aux pirates pour dérober les données de près de sept millions de clients.
Les pirates ont exploité ces comptes via « DNA Relatives », la fonctionnalité phare de la plateforme, qui permettait aux utilisateurs de déterminer avec qui ils avaient un lien de parenté grâce à la similitude de leur ADN. La plainte allègue qu'une erreur de codage majeure dans cette fonctionnalité a permis aux auteurs de l'attaque d'extraire les données de millions d'autres utilisateurs liés par un lien de parenté biologique.
La stratégie consistant à rejeter la faute sur la victime a été retenue comme élément de preuve
Une fois la fuite rendue publique, 23andMe a adressé aux représentants légaux des victimes une lettre dans laquelle elle reprochait aux utilisateurs d'avoir réutilisé des mots de passe provenant de sites qui avaient déjà été piratés. Selon l'entreprise, les données divulguées avaient été partagées de plein gré par les utilisateurs et ne causeraient aucun « préjudice financier ».
Les conséquences néfastes du vol de données génétiques vont toutefois bien au-delà des pertes financières. Les informations génétiques dérobées ont permis aux voleurs de déterminer les origines génétiques d’une personne.
Ces données auraient été mises en vente sur le dark web en mettant en avant ces informations, ce qui permettait aux vendeurs de proposer, par exemple, des dossiers sur des clients d'origine asiatique, des îles du Pacifique (AAPI) ou juifs. Le bureau de Bonta a souligné que les actes de violence antisémite étaient en hausse à cette époque.
Bien que la lettre tente de rejeter la responsabilité sur les utilisateurs, seuls environ 14 000 comptes ont été directement compromis en raison de la réutilisation de mots de passe. Le reste des données aurait été divulgué par le biais du produit de 23andMe lui-même. Selon la plainte, l'erreur de programmation dans « DNA Relatives » a exposé les données de toute personne ayant souscrit au service, et pas seulement celles liées aux 14 000 comptes compromis.
L'État peut-il obtenir des dommages-intérêts ?
La Californie prévoit des amendes allant de 1 000 à 7 500 dollars par infraction. Avec 855 541 Californiens parmi les utilisateurs concernés, les coûts pourraient rapidement grimper.
La question est de savoir quelle part de cette somme l'État pourra récupérer s'il obtient gain de cause. En mars 2025, 23andMe s'est placée sous la protection du chapitre 11 de la loi sur les faillites, puis a cédé la plupart de ses actifs, y compris les données génomiques de plus de 15 millions de clients, au TTAM Research Institute, une organisation à but non lucratif fondée par l'ancienne PDG de 23andMe, Anne Wojcicki. La Californie et plusieurs autres États se sont opposés à cette vente en invoquant Privacy des informations génétiques (Genetic Information Privacy , mais un juge fédéral des faillites l'a approuvée. Les États font désormais appel de cette décision.
Chrome Co., la société écran qui subsiste de 23andMe, a tiré 305 millions de dollars de cette vente. Mais d'autres se sont déjà emparés de ce qui restait.
D'autres autorités de régulation sont déjà intervenues. En juin dernier, le Bureau du commissaire à l'information du Royaume-Unia infligé une amende de 2,31 millions de livres sterling à 23andMe à la suite d'une enquête menée conjointement avec le Privacy du Canada. Un tribunal fédéral a initialement approuvé un accord de règlement collectif de 30 millions de dollars couvrant la plupart des réclamations des clients américains. Ce montant a ensuite été porté à 50 millions de dollars et l'accord a reçu son approbation définitive en janvier 2026.
Ce que les clients peuvent faire
Si vous avez effectué un test avec 23andMe, les mesures de sécurité habituelles en cas de violation de données s'appliquent toujours. Réinitialisez tous les mots de passe que vous avez réutilisés sur d'autres sites et activez l'authentification multifactorielle partout où elle est proposée. Le « credential stuffing » ne fonctionne qu'avec des identifiants et des mots de passe qui ont déjà été divulgués ailleurs. Méfiez-vous également des tentatives d'hameçonnage qui mentionnent 23andMe ou la violation elle-même. Et peut-être devriez-vous peser le pour et le contre entre les avantages liés à l'utilisation de services de tests ADN et les risques de sécurité associés.
Car il y a un aspect de cette affaire qu'aucune amende ni aucun accord à l'amiable ne peut résoudre : les données génétiques volées et vendues sur le dark web ne peuvent pas être récupérées. On peut changer de mot de passe. L'ADN, lui, ne change pas.
Naviguez comme si personne ne vous regardait.
Malwarebytes Privacy VPN votre connexion et n'enregistre jamais vos activités, pour que le prochain article que vous lirez ne vous concerne pas personnellement.Essayez-le gratuitement →
