Les données pseudonymisées de 500 000 volontaires UK Biobank ont été découvertes en vente sur Alibaba en Chine, déclenchant une crise diplomatique et la suspension de la plateforme.
En bref
- Les données médicales de 500 000 volontaires UK Biobank ont été repérées en vente sur Alibaba, en Chine, dans trois listings distincts.
- Trois instituts de recherche chinois avaient téléchargé légitimement le jeu avant de le revendre sur la plateforme.
- UK Biobank suspend l'accès à sa plateforme et les ministres britanniques réclament un gel du partage de données de santé avec la Chine.
Ce qui s'est passé
Le gouvernement britannique a confirmé le 24 avril 2026 que les données pseudonymisées d'environ 500 000 participants à UK Biobank, l'une des plus grandes cohortes biomédicales au monde, étaient proposées à la vente sur Alibaba. Trois listings distincts avaient été identifiés sur la plateforme, exposant des informations démographiques, des habitudes de vie et des mesures biologiques. Selon les autorités, Alibaba a retiré les annonces avant qu'aucune transaction n'ait pu aboutir.
UK Biobank précise que le jeu de données ne contient ni nom, ni adresse, ni numéro NHS, mais que les profils restent ré-identifiables par recoupement, en particulier dans les zones géographiques peu peuplées. Trois instituts de recherche chinois, qui avaient obtenu un accès légitime via le portail de recherche, ont vu leurs comptes suspendus. L'organisation britannique a également gelé temporairement l'ensemble des téléchargements et annonce de nouvelles limites par utilisateur.
L'incident relance un débat politique sensible. Plusieurs ministres britanniques demandent désormais une suspension immédiate du partage de données médicales avec la Chine, dans la lignée des restrictions appliquées aux États-Unis pour la recherche biomédicale.
Pourquoi c'est important
UK Biobank est un actif scientifique stratégique : 500 000 volontaires suivis depuis près de vingt ans, avec génotypage, imagerie et historique médical. Voir ce trésor de recherche se retrouver en vente sur une marketplace publique souligne la fragilité du modèle « accès chercheur sous contrat » : une fois les fichiers téléchargés, le contrôle technique disparaît et il ne reste que la confiance contractuelle.
Pour les entreprises et organismes qui partagent des données sensibles avec des partenaires académiques, l'épisode est un avertissement direct. La chaîne de responsabilité juridique entre l'organisme propriétaire des données, l'institut de recherche et le pays hôte devient quasi inopérante quand les données traversent une frontière. L'affaire s'inscrit dans un contexte déjà chargé, avec la fuite ANTS sur 19 millions de Français et l'intrusion Vercel qui ont exposé ces dernières semaines la difficulté de protéger des données sensibles dès qu'elles sortent du périmètre initial de collecte.
Ce qu'il faut retenir
- La pseudonymisation ne suffit plus : UK Biobank revendique l'absence de noms, mais les profils biomédicaux restent ré-identifiables.
- Les contrats d'accès chercheur deviennent vulnérables dès que les données sont copiées hors juridiction d'origine.
- Pour les RSSI manipulant des données santé partagées, il devient nécessaire d'imposer des watermarks et des audits actifs des téléchargements, pas seulement des engagements contractuels.
Les données UK Biobank vendues sur Alibaba contenaient-elles des identifiants directs ?
Non. Selon UK Biobank, le jeu ne comportait ni noms, ni adresses, ni numéros NHS. Mais il incluait des données démographiques, des habitudes de vie et des paramètres biologiques, ce qui permet une ré-identification par recoupement, surtout dans des zones géographiques restreintes.
Quelles conséquences pour les chercheurs ayant un accès légitime à UK Biobank ?
UK Biobank a suspendu l'accès à sa plateforme de recherche le temps de revoir ses contrôles. De nouvelles limites de téléchargement par utilisateur sont annoncées, ainsi qu'un audit rétroactif des comptes ayant exfiltré de gros volumes. Les trois instituts chinois mis en cause ont déjà perdu leur accès.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Autovista : ransomware, 13 M de dossiers exposés
Autovista, fournisseur britannique de données automobiles, victime d'un ransomware. 29 Go exfiltrés, 13 millions d'enregistrements exposés, filiales Europe et Australie touchées.
Cisco SD-WAN Manager : CVE-2026-20133 exploitée
Cisco PSIRT confirme l'exploitation active de CVE-2026-20133 dans Catalyst SD-WAN Manager. La faille expose des données sensibles du système et facilite la latéralisation vers les routeurs gérés.
nginx-ui CVE-2026-33032 : auth bypass exploitée (9.8)
La CVE-2026-33032 (CVSS 9.8) permet de contourner l'authentification de nginx-ui et de prendre le contrôle complet du service Nginx. Exploitation active confirmée, patch 2.1.6 disponible.
Commentaires (1)
Laisser un commentaire