Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Document d’information : Résumé de l’enquête conjointe sur l’atteinte à la sécurité des données chez 23andMe menée par le Commissaire à la protection de la vie privée du Canada et le Commissaire à l’information du Royaume-Uni

Le Commissaire à la protection de la vie privée du Canada, Philippe Dufresne, et le Commissaire à l’information du Royaume-Uni, John Edwards, ont mené une enquête conjointe sur l’atteinte à la sécurité des données à l’échelle mondiale survenue chez 23andMe, une entreprise qui vend des services de dépistage génétique directement aux consommateurs. Le présent document présente un survol des conclusions de l’enquête et des principaux points à retenir pour les organisations.

Sur cette page

Survol de l’enquête conjointe sur 23andMe

En octobre 2023, 23andMe, une entreprise qui fournit des services de dépistage génétique et de généalogie directement aux consommateurs à l’échelle mondiale, a confirmé qu’une atteinte à la sécurité des données touchant près de sept millions de ses clients s’était produite.

Compte tenu de l’ampleur de l’atteinte, de la sensibilité des renseignements personnels en cause et du service international fourni par 23andMe, le Commissaire à la protection de la vie privée du Canada et le Commissaire à l’information du Royaume-Uni ont décidé de mener une enquête conjointe sur les pratiques de 23andMe en matière de protection de la vie privée et sur son respect de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada ainsi que du règlement général sur la protection des données (General Data Protection Regulation) et de la loi sur la protection des données de 2018 (Data Protection Act 2018) du Royaume-Uni.

L’enquête conjointe visait à établir :

  • si 23andMe avait mis en place des mesures de protection appropriées pour protéger adéquatement les renseignements personnels dont elle avait la gestion;
  • si 23andMe a adéquatement avisé le Commissariat à la protection de la vie privée du Canada (CPVP) et le Commissariat à l’information du Royaume-Uni (ICO) et les personnes touchées par l’atteinte.

Conclusions de l’enquête

L’enquête a révélé que 23andMe avait fait l’objet d’une longue attaque par bourrage d’identifiants, qui a permis au pirate informatique d’accéder à des milliers de comptes de clients et de télécharger des renseignements personnels directement à partir de ces comptes. Pour mener son attaque, le pirate informatique a utilisé des identifiants (nom d’utilisateur ou adresse courriel et mot de passe) volés lors d’atteintes précédentes ayant touché d’autres sites Web pour entreprendre des tentatives de connexion automatisées (bourrage d’identifiants) à la plateforme de 23andMe jusqu’à ce qu’il trouve des correspondances.

Sur une période de cinq mois, qui a commencé le 29 avril 2023, le pirate informatique est parvenu à accéder à plus de 18 000 comptes de clients.

23andMe a déclaré qu’au total, près de 7 millions de clients ont été touchés par l’atteinte dans le monde entier. Parmi eux, on compte près de 320 000 personnes au Canada et 155 600 personnes au Royaume-Uni.

Les renseignements personnels contenus dans les comptes des clients et auxquels le pirate informatique a eu accès comprenaient des renseignements très sensibles sur la santé, la race et l’origine ethnique, ainsi que des renseignements au sujet de membres de la famille, la date de naissance, le sexe assigné à la naissance et le genre. Une grande partie de ces renseignements provenait de l’ADN des individus.

Les clients pouvaient également activer la fonctionnalité DNA Relatives (DNAR), qui leur permettait de mettre certains renseignements (lien de parenté, année de naissance, pourcentage d’ADN commun, lieu de résidence, etc.) à la disposition de leurs parents génétiques.

Si cette fonctionnalité était activée pour un compte, le pirate informatique pouvait également avoir accès aux renseignements personnels de milliers d’autres individus auxquels le propriétaire du compte touché par l’attaque était génétiquement lié. Ces renseignements supplémentaires pouvaient comprendre le nom, l’année de naissance et le lieu de résidence (c’est-à-dire la ville et le code postal) autodéclarés, la photo de profil et la race ou l’origine ethnique de ces individus.

Cette situation explique pourquoi les renseignements personnels de près de 7 millions de clients ont finalement été accessibles au pirate informatique.

L’enquête a permis d’examiner et de cerner les problèmes liés aux mesures de protection de 23andMe, y compris les mesures de protection visant à prévenir l’atteinte, à la détecter et à y réagir, ainsi que les problèmes liés au signalement aux commissariats et aux individus touchés, qui sont expliqués ci-dessous de manière plus détaillée.

Mesures de protection

Notre enquête nous a permis de constater que les mesures de protection de 23andMe comportaient certaines lacunes qui ont contribué à l’atteinte. Bon nombre des lacunes découlaient principalement du fait que 23andMe n’a pas mis en place des mesures de protection appropriées pour prévenir le bourrage d’identifiants, qui constitue une forme d’attaque courante.

Pour la plupart, les lacunes qui ont été relevées se classaient dans trois catégories clés : i) la prévention, ii) la détection et iii) l’intervention en cas d’atteinte.

Enjeux liés à la prévention de l’atteinte

Authentification à facteurs multiples facultative

L’authentification à facteurs multiples (AFM) est un processus visant à renforcer la sécurité de l’authentification en obligeant l’utilisateur à saisir plus de renseignements qu’un simple mot de passe. Au moment de l’atteinte, 23andMe n’obligeait pas ses clients à activer l’AFM, et moins de 22 % d’entre eux avaient activé l’AFM ou l’authentification unique (un autre mécanisme de sécurité renforcée lors de l’ouverture de session).

Par conséquent, pour plus des trois quarts des clients, la seule mesure de contrôle qui protégeait l’accès à leur compte était l’utilisation d’un mot de passe, ce qui rendait les comptes vulnérables aux attaques basées sur les identifiants.

L’entreprise 23andMe a déclaré qu’elle avait décidé de ne pas rendre l’AFM obligatoire pour éviter de nuire à l’expérience utilisateur.

Caractère inadéquat des exigences minimales relatives aux mots de passe

La politique relative aux mots de passe de 23andMe ne cadrait pas avec les pratiques exemplaires de l’industrie en place en 2023 ni avec l’orientation de l’ICO sur les mots de passe dans les services en ligne (en anglais seulement), qui recommande notamment que les mots de passe contiennent au moins dix caractères. L’entreprise 23andMe exigeait que les mots de passe contiennent au moins huit caractères, et il y avait peu de critères quant à la complexité de ceux-ci.

Caractère inadéquat des vérifications des mots de passe compromis

L’entreprise 23andMe n’a pas effectué de vérifications minutieuses pour établir si ses clients réutilisaient des identifiants compromis lors d’atteintes antérieures à la sécurité des données.

Absence de mesure de protection supplémentaire pour contrôler l’accès aux données génétiques brutes

Une fois qu’un individu avait ouvert une session, aucune mesure de sécurité supplémentaire ne vérifiait son identité pour l’empêcher, au besoin, de consulter et de télécharger les renseignements personnels les plus sensibles, notamment les données génétiques brutes.

Enjeux liés à la détection de l’atteinte

Systèmes de détection inefficaces

Les mécanismes de détection de 23andMe n’ont pas permis que l’entreprise soit avisée que des signes indiquaient clairement qu’un pirate informatique tentait d’obtenir un accès non autorisé à un grand nombre de comptes de clients et était parvenu à le faire.

Consignation et surveillance insuffisantes des activités suspectes sur les comptes des clients

Les processus de 23andMe pour la consignation et la surveillance des activités sur les comptes des clients étaient insuffisants pour permettre à l’entreprise de détecter les comportements anormaux des utilisateurs indiquant un accès non autorisé. De plus, 23andMe ne mettait aucun historique des appareils à la disposition des clients pour qu’ils sachent quels appareils avaient été ou étaient actuellement utilisés pour accéder à leur compte.

Caractère inadéquat des enquêtes sur les anomalies

L’entreprise 23andMe a manqué des occasions de détecter et de prévenir l’attaque, ou au moins de l’interrompre. Pendant la période de l’attaque, trois événements distincts sont survenus qui, collectivement, auraient dû faire en sorte que 23andMe détecte l’attaque avant octobre 2023. Si 23andMe l’avait détectée plus tôt, elle aurait pu éviter que des milliers de comptes ne soient touchés par l’attaque par bourrage d’identifiants.

Enjeux liés à la réponse à l’atteinte

Mise en œuvre tardive des mesures d’atténuation

Malgré l’urgence de la situation et le fait que 23andMe savait qu’une attaque basée sur les identifiants était potentiellement en cours, il a fallu quatre jours à l’entreprise pour fermer toutes les sessions actives des utilisateurs et exiger que tous les clients réinitialisent leur mot de passe. De plus, il a fallu environ un mois à 23andMe pour désactiver la fonctionnalité libre-service de téléchargement des données génétiques brutes et mettre en œuvre l’AFM obligatoire. L’absence de procédures éprouvées d’intervention en cas d’attaque par bourrage d’identifiants pourrait avoir contribué à cette mise en œuvre tardive.

Conclusions liées aux mesures de protection

Compte tenu de ce qui précède, les commissaires ont conclu dans leur rapport d’enquête préliminaire que 23andMe n’avait pas mis en œuvre des mesures de protection adaptées à la sensibilité des renseignements en question et ont formulé des recommandations que 23andMe devait suivre pour que ses mesures de protection respectent les lois sur la protection des données du Canada et du Royaume-Uni.

En réponse, 23andMe a informé le CPVP et l’ICO des améliorations qu’elle avait apportées à ses mesures de protection des renseignements depuis l’atteinte, et bon nombre d’entre elles correspondent à des sujets d’enquête ou de préoccupation qui ont été abordés au cours de l’enquête. À la lumière de ce qui précède, les commissaires ont tiré les conclusions suivantes :

  • Le Commissaire à la protection de la vie privée du Canada conclut que 23andMe a contrevenu au principe 4.7 de l’annexe 1 de la LPRPDE en omettant de mettre en œuvre des mesures de protection appropriées pour assurer la protection des renseignements personnels hautement sensibles de ses clients. Compte tenu des améliorations apportées par 23andMe, le Commissaire à la protection de la vie privée du Canada estime que la plainte est fondée et résolue.
  • Le Commissaire à l’information du Royaume-Uni conclut que 23andMe a contrevenu à l’alinéa 5(1)f) et au paragraphe 32(1) du règlement général sur la protection des données du Royaume-Uni en omettant de mettre en œuvre des mesures techniques et organisationnelles adéquates pour assurer l’intégrité et la confidentialité de ses systèmes et services de traitement ainsi que des renseignements personnels de ses clients.

Signalement de l’atteinte et avis

Étant donné la grande sensibilité des renseignements compromis et la forte probabilité d’un mauvais usage dans le contexte, l’atteinte a entraîné un risque de préjudice pour les individus touchés, qui franchit les seuils de signalement établis à la fois par la LPRPDE (c’est-à-dire un risque réel de préjudice grave) et par les paragraphes 33(1) et 34(1) du règlement général sur la protection des données du Royaume-Uni, de sorte que 23andMe a été tenue d’aviser à la fois 1) les commissariats et 2) les individus touchés par l’atteinte.

Signalement aux commissariats

En ce qui concerne le signalement de l’atteinte par 23andMe aux commissariats, le Commissaire à la protection de la vie privée du Canada et le Commissaire à l’information du Royaume-Uni concluent qu’il ne respectait pas la LPRPDE et le règlement général sur la protection des données du Royaume-Uni, car 23andMe n’y a pas précisé tous les renseignements personnels compromis ou susceptibles d’être compromis lors de l’atteinte, notamment les données génétiques brutes, ni fourni l’information qu’elle savait au moment où elle a signalé l’atteinte.

Pour ce qui est du moment du signalement, le Commissaire à la protection de la vie privée du Canada convient que 23andMe a signalé l’atteinte « dès que possible ». De même, le Commissaire à l’information du Royaume-Uni considère que les explications fournies par 23andMe pour justifier le fait qu’elle n’a pas signalé l’atteinte dans le délai de 72 heures prévu par le règlement général sur la protection des données sont raisonnables dans les circonstances.

Avis aux individus touchés

En ce qui concerne les avis qui ont été donnés aux individus touchés par l’atteinte, le Commissaire à la protection de la vie privée du Canada et le Commissaire à l’information du Royaume-Uni concluent que certains des avis de 23andMe ne respectaient pas la LPRPDE et le règlement général sur la protection des données du Royaume-Uni, car l’entreprise n’a pas fourni l’information pertinente qu’elle savait au moment où elle a avisé les individus touchés. Par exemple, 23andMe n’a pas i) précisé tous les renseignements personnels compromis ou susceptibles d’être compromis lors de l’atteinte, ni ii) indiqué que les renseignements personnels de certains individus avaient été mis en vente en ligne par le pirate informatique.

Pour ce qui est du moment auquel les avis ont été fournis, ce n’est qu’en janvier 2024 que les individus dont le compte a été compromis auraient été avisés qu’un pirate informatique avait directement accédé à leur compte. Cela s’est produit plus d’un mois après que 23andMe ait terminé son analyse judiciaire et déterminé quels comptes avaient été compromis.

Étant donné qu’il lui a fallu un mois pour envoyer les avis, le Commissaire à la protection de la vie privée du Canada a conclu que 23andMe n’avait pas envoyé les avis aux individus touchés par l’atteinte dès que possible.

Conclusions liées au signalement

Un rapport préliminaire formule des recommandations que 23andMe devait suivre pour respecter ses obligations prévues par les lois sur la protection des données du Canada et du Royaume-Uni en ce qui concerne les avis à fournir en cas d’atteinte. En réponse, 23andMe a présenté aux deux commissariats les améliorations qu’elle a apportées pour que les organismes de réglementation concernés et les personnes touchées soient avisés adéquatement d’une atteinte dans l’avenir. À la lumière de ce qui précède, les commissaires ont tiré les conclusions suivantes :

  • Compte tenu des lacunes dans le signalement de l’atteinte au CPVP et les avis envoyés aux individus touchés par l’atteinte, le Commissaire à la protection de la vie privée du Canada conclut que 23andMe a contrevenu à l’article 10.1 de la LPRPDE et aux articles 2 et 3 du Règlement sur les atteintes aux mesures de sécurité. Étant donné les mesures mises en œuvre par 23andMe après l’atteinte, le Commissaire estime que la plainte est fondée et résolue.
  • Le Commissaire à l’information du Royaume-Uni conclut que 23andMe n’a pas respecté les exigences des alinéas 33(3)a) et c) du règlement général sur la protection des données du Royaume-Uni concernant les signalements au commissariat à l’information ni les exigences des paragraphes 34(1) et (2) du règlement (à lire avec l’alinéa 33(3)c) du règlement) concernant le contenu des avis envoyés aux individus touchés par l’atteinte.

Protection des renseignements personnels dans le cadre d’une faillite

À la suite de l’atteinte et en raison de pertes financières croissantes, 23andMe Holding Co. et certaines de ses filiales, dont 23andMe, ont déclaré faillite au titre du chapitre 11 de la loi américaine sur les faillites (en anglais seulement) le 23 mars 2025.

Le CPVP et l’ICO ont écrit au syndic de faillite américain qui gère les procédures de faillite de 23andMe pour insister sur le fait qu’il y a des exigences juridiques selon lesquelles les renseignements personnels concernant des individus situés au Canada et au Royaume-Uni doivent être traités conformément aux lois sur la protection des données des deux pays. Une audience d’approbation de la vente est prévue le 17 juin 2025 devant le tribunal de la faillite des États-Unis pour le district Est du Missouri.

Les commissariats fourniront à l’acheteur approuvé une copie de leur rapport de conclusions pour veiller à ce que le nouveau propriétaire connaisse les obligations prévues par la LPRPDE et le règlement général sur la protection des données du Royaume-Uni, notamment la protection des renseignements sensibles au moyen de mesures de protection rigoureuses.

Le CPVP et l’ICO sont préparés à prendre les mesures appropriées s’ils estiment qu’il existe des preuves qu’on ne respecte pas les lois applicables en matière de protection des données dans leur juridiction respective.

Chronologie de l’atteinte à la sécurité des données chez 23andMe

Avril 2023 : Le pirate informatique a commencé son attaque par bourrage d’identifiants, avant de mener sa première période d’intense bourrage d’identifiants en mai 2023.

Juillet 2023 : Le pirate informatique a utilisé un programme informatique pour se connecter à un compte gratuit sans échantillon d’ADN à plus d’un million de reprises pendant une seule journée. Son objectif était de lancer des transferts de profils, mais il n’y est pas parvenu. En raison de cet énorme volume de connexions en une seule journée, la plateforme de 23andMe a cessé de fonctionner et ses utilisateurs n’y avaient pas accès.

Plus tard en juillet 2023 : Le pirate informatique a tenté de transférer des profils de 400 comptes distincts. Bien que 23andMe faisait enquête sur cet incident à ce moment, l’entreprise n’a pas détecté qu’il s’agissait d’une atteinte plus importante à la sécurité des données.

Août 2023 : Une allégation de vol de données touchant plus de 10 millions d’utilisateurs, qui a été reçue par le portail du service à la clientèle de 23andMe et reprise sur Reddit, a été qualifiée de canular par 23andMe.

Septembre 2023 : Le pirate informatique a mené une deuxième période d’intense bourrage d’identifiants.

Octobre 2023 : Le pirate informatique a mis en vente les données volées sur Reddit. 23andMe a mené une enquête plus approfondie sur l’incident, puis a confirmé qu’une atteinte à la sécurité des données s’était produite.

Juin 2024 : Le CPVP et l’ICO ont annoncé une enquête conjointe sur l’atteinte à la sécurité des données de 23andMe, soulignant la résolution des organismes de réglementation à collaborer afin de protéger le droit fondamental à la vie privée des individus partout dans le monde.

Mars 2025 : Le CPVP et l’ICO ont présenté leurs conclusions préliminaires à 23andMe et ont donné à l’entreprise l’occasion de réagir au rapport préliminaire.

Mars 2025 : 23andMe Holding Co. et certaines de ses filiales, dont 23andMe, ont déclaré faillite au titre du chapitre 11 de la loi américaine sur les faillites.

Avril 2025 : Les commissariats ont écrit au syndic de faillite américain qui gère les procédures de faillite de 23andMe pour insister sur le fait qu’il y a des exigences juridiques selon lesquelles les renseignements personnels concernant des individus situés au Canada et au Royaume-Uni doivent être traités conformément aux lois sur la protection des données des deux pays.

13 juin 2025 : 23andMe annonce qu’elle a conclu une entente avec le TTAM Research Institute concernant la vente de la quasi-totalité des actifs de l’entreprise.

17 juin 2025 : Les Commissaires Dufresne et Edwards tiennent une conférence de presse commune pour annoncer les conclusions de l’enquête sur 23andMe.

Principaux points à retenir pour les organisations

L’atteinte survenue chez 23andMe souligne l’importance de prendre des mesures proactives pour se protéger contre les cyberattaques ainsi que les conséquences négatives importantes que les atteintes peuvent avoir pour individus.

Un point de départ essentiel consiste à cerner les menaces possibles et le risque de préjudice connexe. Lorsque les renseignements personnels en question sont très sensibles, les mesures de protection doivent être plus rigoureuses, car le risque de préjudice est plus élevé.

Les attaques basées sur les identifiants, comme le « bourrage d’identifiants », font partie des menaces les plus courantes et les plus connues qui ciblent les applications Web. Les organisations devraient veiller à ce que les comptes en ligne de leurs clients soient protégés contre de telles attaques par des mesures de protection adaptées à la sensibilité des renseignements personnels en cause.

Parmi les mesures de protection efficaces contre les attaques basées sur les identifiants, mentionnons les suivantes :

  • l’authentification à facteurs multiples obligatoire qui oblige les clients à entrer plus qu’un simple mot de passe pour accéder à un compte;
  • des exigences minimales strictes en matière de mots de passe pour s’assurer que les clients utilisent un mot de passe long, unique et difficile à deviner;
  • des vérifications des mots de passe compromis pour empêcher les clients de réutiliser un mot de passe qui a été compromis lors d’une atteinte précédente;
  • une surveillance adéquate pour détecter toute activité anormale qui pourrait constituer un signe de cyberattaque, notamment une augmentation soudaine du nombre de tentatives de connexion infructueuses, ou des connexions à partir d’appareils inconnus ou de lieux inhabituels.

Lors de la conception d’un site Web, les mesures appropriées en matière de sécurité des renseignements doivent être prioritaires et intégrées dans la conception de l’expérience client. Une atteinte peut également avoir des répercussions négatives importantes sur l’expérience et la confiance des clients.

Les organisations doivent aviser les organismes de réglementation compétents en matière de protection de la vie privée et les individus touchés dès que possible après la découverte d’une atteinte qui entraîne un risque réel de préjudice grave.

Les signalements d’atteinte doivent contenir les renseignements prescrits par la LPRPDE et le Règlement sur les atteintes aux mesures de sécurité. Il s’agit notamment de l’information complète sur les renseignements personnels qui ont fait l’objet de l’atteinte. Les avis adressés aux individus touchés doivent également renfermer suffisamment d’information pour permettre à ces individus de comprendre l’importance de l’atteinte et ses conséquences possibles.

Autres ressources pour les organisations

Autres ressources pour les organisations

Liens connexes

Date de modification :