Le vol de données chez 23andMe donne lieu à un dédommagement de 46,8 millions de dollars

6 0

L’entreprise qui vous avait demandé de cracher dans un tube opère désormais sous un autre nom, avec un nouveau propriétaire, et avec un rappel de 46,8 millions de dollars que l’ADN n’est pas muni d’un bouton de réinitialisation.

Les profils généalogiques et les données familiales de près de sept millions de personnes, volés en 2023 et disséminés sur le dark web, ont désormais une valeur fixée par le tribunal à 46,8 millions de dollars. Un administrateur judiciaire du Missouri a approuvé ce fonds mercredi, 10 juin, réglant ainsi les plus importantes réclamations à l’encontre de la société anciennement connue sous le nom de 23andMe et opérant désormais sous le nom de Chrome Holding Co.

Ce que les pirates ont dérobé ne peut être réinitialisé. Un mot de passe est modifié après une intrusion et une carte bancaire volée est annulée en quelques heures. En revanche, votre ascendance et votre origine ethnique ne changent pas, pas plus que le réseau de parents auquel vous êtes lié, ce qui expose des personnes qui ne se sont jamais inscrites nulle part.

Les estimations d’ascendance, les relations familiales prédites, les années de naissance et les lieux de résidence déclarés par les utilisateurs qu’ils ont récoltés suffisent à identifier une personne et ses proches, et ces informations restent valables toute la vie.

Ce sont ces données que 23andMe n’a pas su protéger, à partir d’avril 2023 environ et pendant près de cinq mois, avant que l’entreprise ne révèle l’intrusion dans un article de blog publié en octobre.

Les attaquants ont réutilisé des identifiants de connexion récupérés lors de failles antérieures sur d’autres sites, s’introduisant ainsi dans un petit nombre de comptes dont les propriétaires avaient réutilisé leurs mots de passe. À partir de là, les dégâts se sont propagés via « DNA Relatives », une fonctionnalité optionnelle conçue pour permettre aux clients de trouver des parents génétiques. Le pirate a accédé à 5,5 millions de profils « DNA Relatives » et a extrait des informations sur 1,4 million de personnes supplémentaires qui utilisaient un outil appelé « Family Tree », transformant ainsi une fonctionnalité destinée à créer des liens en une carte indiquant qui est apparenté à qui.

Les victimes ayant déposé une demande d’indemnisation se partageront 32,5 millions de dollars issus du fonds, les indemnités individuelles allant de 50 à 10.000 dollars pour des préjudices exceptionnels tels que l’usurpation d’identité et les traitements de santé physique.

L’administrateur a traité plus de 255.860 demandes à ce jour, et des milliers d’autres sont encore en attente. Les 14,29 millions de dollars restants reviennent à Kroll, la société chargée du traitement des demandes, dont environ 13 millions de dollars ont été couverts par des polices d’assurance cyber souscrites auprès d’Allied World, de Houston Casualty (filiale de Tokio Marine), de Landmark American (filiale de Berkshire Hathaway) et des assureurs du Lloyd’s. Les personnes dont les données ont été exposées supportent un risque permanent, tandis que les assureurs prennent en charge la majeure partie de la facture.

Les plaignants avaient réclamé 48 milliards de dollars. L’administrateur a retenu un montant inférieur de plusieurs ordres de grandeur, invoquant la conclusion d’un tribunal fédéral selon laquelle un accord antérieur de 30 millions de dollars était « raisonnable compte tenu de la situation financière désastreuse de la société ».

L’administrateur a qualifié ce résultat d’« issue équitable » qui évite de nouveaux litiges et reflète ce que la société est réellement en mesure de payer. Le montant final se situe à 3,25 millions de dollars en dessous du plafond de 50 millions de dollars autorisé en janvier par le juge Brian Walsh.

Le préjudice n’a jamais été réparti de manière équitable. Après la fuite, des compilations de profils volés ont fait leur apparition à la vente sur le dark web. Les données généalogiques classées par origine ethnique et proposées aux acheteurs constituent le type d’atteinte à la vie privée qu’aucune indemnisation ne peut effacer.

La société qui avait collecté toutes ces données a pratiquement disparu. 23andMe s’est placée sous la protection du chapitre 11 en mars 2025, a vendu la plupart de ses actifs pour plus de 300 millions de dollars et a été rachetée par sa cofondatrice, Anne Wojcicki, malgré les objections des autorités de régulation.

La Californie a tenté de bloquer la vente, arguant que sa loi sur la confidentialité des informations génétiques (Genetic Information Privacy Act) exigeait un consentement explicite avant que des données génétiques puissent changer de mains, mais elle a perdu. Fin mai, l’État a poursuivi Chrome Holding Co. en justice pour avoir manqué à son obligation de protéger les données de ses clients dès le départ. Cette société fantôme ne cesse de changer de nom.

 

yogaesoteric
22 juin 2026

 

You might also like More from author
Leave A Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More