Tech&Co
Replay
Direct tv
Direct
Cybersécurité

Une entreprise américaine d'analyse ADN se fait pirater des millions de données

placeholder video
Une entreprise spécialisée dans les tests ADN a été condamnée à 400.000 euros d’amende après une énorme faille de sécurité. Les noms, numéros de sécurité sociale et coordonnées bancaires de 2 millions de personnes avaient été piratés.

"Depuis 1995, nos clients nous font confiance avec plus de 20 millions de tests ADN réalisés." C’est ce qu’affiche en premier DNA Diagnostics Center (DDC) sur son site Internet. Pourtant, la société américaine a quelque peu trahi cette confiance en permettant à des pirates d’infiltrer son réseau.

En mai 2021, DDC a en effet été victime d’une attaque informatique via le logiciel Cobalt Strike, un logiciel de cybersécurité qui, une fois détourné, peut devenir un cheval de Troie capable de s’infiltrer et d’infecter les ordinateurs. Une attaque qui aurait pu être évitée si l’entreprise avait écouté les avertissements d’un de ses prestataires.

Des données détenues sans le savoir

Quelques semaines plus tôt, la présence de Cobalt Strike avait en effet été notifiée à DNA Diagnostics Center par la société chargée de surveiller les données de l’entreprise. De multiples avertissements par mail qui n’ont pas été pris en compte par DCC, pour une raison inconnue.

Cette négligence a ainsi permis aux pirates d’accéder sans problème aux bases de données du groupe, récoltant au passage les informations personnelles de 2,1 millions de personnes ayant réalisé un test entre 2004 et 2012, principalement en Pennsylvanie et dans l’Ohio.

Pour se justifier, DNA Diagnostics Center a plaidé la non-connaissance de la possession de ces données. En effet, les informations récoltées appartenaient normalement à Orchid Cellmark, une société de médecine légale rachetée par DCC en 2012. Les données avaient alors été transférées par erreur, en même temps que l’acquisition de l’entreprise, sans que DCC ne soit au courant qu’elle disposait de ces informations sur ses serveurs.

400.000 dollars d'amende

C’est alors la double peine pour DCC qui, en plus de devoir payer la rançon exigée par les pirates, a été assignée en justice par les procureurs de Pennsylvanie et d’Ohio pour cette fuite de données très sensibles. Les noms, numéros de sécurité sociale et coordonnées bancaires des clients ont en effet été volés.

"Plus les criminels ont accès à des informations sensibles, plus les personnes volées deviendront vulnérables. La négligence n’est pas une excuse pour laisser les données des consommateurs être volées", ont indiqué les procureurs de l’Ohio.
Sur le même sujet

Les deux Etats américains ont chacun demandé une amende de 200.000 dollars, résultant à une amende totale de 400.000 dollars pour DNA Diagnostics Center. La société a annoncé qu'elle allait renforcer ses ressources en sécurité et procéder à des évaluations annuelles pour vérifier leur efficacité.

Julie Ragot

A la Une

Les images de l'arrivée de Donald Trump au château de Windsor, accueilli par la famille royale