La société de biotechnologie 23andMe, qui propose des tests génétiques aux particuliers, a accepté d’indemniser des millions de clients touchés par un piratge de données sur sa plateforme. Cette dernière offrira aux utilisateurs 30 millions de dollars (27 millions d’euros) dans le cadre d’un règlement, et leur donnera accès à un système de surveillance de la sécurité.
Environ 6,4 millions d’utilisateurs américains recevront le dédommagement, selon une proposition de règlement de recours collectif déposée le 12 septembre auprès du tribunal de première instance du district nord de la Californie. Les tests génétiques aux particuliers sont interdits dans la plupart des pays d’Europe.
L’année dernière, des informations personnelles ont fait l’objet d’une fuite, après qu’un pirate informatique a percé les barrières de sécurité du site Web et mis en vente sur le dark web des données importantes sur les utilisateurs.
Selon l’entreprise, ces données comprenaient potentiellement le nom, le sexe, la date de naissance, les informations génétiques, les relations prédites avec les correspondances génétiques, les rapports d’ascendance, les lieux de naissance et les noms de famille des ancêtres, les informations relatives à l’arbre généalogique et les emplacements géographiques des utilisateurs.
Selon la proposition de règlement, les utilisateurs recevront un lien leur permettant de supprimer toutes les informations liées à 23andMe ou détenues par elle.
« 23andMe nie avoir commis quelque acte répréhensible que ce soit », a déclaré l’entreprise, tout en ajoutant que le règlement est motivé par le fait qu’elle considère qu’un litige ultérieur serait « prolongé, lourd et coûteux », selon le document déposé auprès du tribunal. Le règlement est soumis à l’approbation du tribunal.
Dans un mémorandum déposé le 13 septembre, la société a déclaré que le règlement proposé est « juste, adéquat et raisonnable ».
Le piratage a été signalé pour la première fois par 23andMe le 6 octobre 2023.
« L’acteur de la menace a utilisé des comptes compromis contenant de grands nombres d’identifiants pour accéder à des informations incluses dans un grand nombre de profils ‘DNA Relatives’ (environ 5,5 millions) et ‘Family Tree feature’ (environ 1,4 million), chacun d’entre eux étant connecté aux comptes compromis », a déclaré la société.
Le « credential stuffing » (bourrage d’identifiants) est un type de cyberattaque relevant des techniques de force brute, qui utilise des paires de noms d’utilisateur et de mots de passe volés pour accéder aux formulaires de connexion d’un site Web. Cette méthode de piratage est efficace lorsque de nombreuses personnes utilisent les mêmes noms d’utilisateur et mots de passe pour différents sites Web.
Depuis le piratage des données, 23andMe a mis en place une vérification en deux étapes pour ajouter une couche supplémentaire de sécurité.
Performance financière de 23andMe
Pour le quatrième trimestre de l’exercice 2024, le chiffre d’affaires de 23andMe s’est élevé à 64 millions de dollars (57 millions d’euros), soit 31 % de moins que les 92,4 millions de dollars (82,7 millions d’euros) de 2023, selon un communiqué de presse de l’entreprise.
L’entreprise a attribué cette baisse à la fin de sa collaboration avec GSK, ainsi qu’à une diminution des commandes de kits de Personal Genome Service et de technologies de télésanté. Elle a déclaré que ses revenus pour 2024 s’élevaient à 219,6 millions de dollars (196,5 millions d’euros), soit près de 80 millions de dollars (71,9 millions d’euros) de moins que les 299,5 millions de dollars (268 millions d’euros) perçus en 2023.
Les actions de la société ont perdu plus de 63 % de leur valeur depuis le début de l’année. L’action de 23andMe a atteint son apogée au début de l’année 2021, lorsqu’elle s’échangeait à plus de 14,3 euros.
Selon le communiqué de presse, la société s’est vu accorder jusqu’au 4 novembre pour se conformer à nouveau à l’exigence du prix minimum de l’offre pour continuer à être cotée sur le Nasdaq Capital Market, qui est le niveau du Nasdaq pour les sociétés ayant les plus petits niveaux de capitalisation boursière.
La « situation financière extrêmement incertaine » de la société est mentionnée dans la proposition de règlement.
Outre les données des entreprises et les informations personnelles des particuliers, les infrastructures critiques font l’objet d’un nombre accru de cyberattaques. Selon les services du renseignement américains, de nombreux acteurs étrangers, dont la Russie et la Chine, sont à l’origine de ces attaques.
Un avis conjoint sur la cybersécurité récemment publié par plusieurs agences américaines a révélé qu’une unité militaire russe clandestine était responsable des cyberattaques contre des cibles mondiales.
Comment pouvez-vous nous aider à vous tenir informés ?
Epoch Times est un média libre et indépendant, ne recevant aucune aide publique et n’appartenant à aucun parti politique ou groupe financier. Depuis notre création, nous faisons face à des attaques déloyales pour faire taire nos informations portant notamment sur les questions de droits de l'homme en Chine. C'est pourquoi, nous comptons sur votre soutien pour défendre notre journalisme indépendant et pour continuer, grâce à vous, à faire connaître la vérité.