Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Fuite de tests ADN : 23andMe rejette la faute sur les utilisateurs

23andMe, mais surtout moi quand il s'agit de sécurité

Fuite de tests ADN : 23andMe rejette la faute sur les utilisateurs

Unsplash+

Un mois après avoir avoué que les infos d’un « nombre significatif » de ses utilisateurs ont fuité, la société de tests ADN dits récréatifs 23andMe se défend de toute responsabilité, explique TechCrunch. En effet, suite à cette fuite de données, plusieurs utilisateurs ont déjà porté l'affaire en justice contre 23andMe et l'entreprise cherche maintenant à se défendre.

Le 04 janvier à 10h42

Rappel des faits

Début octobre, on apprenait que des tests génétiques de la société avaient été récupérés par des pirates. 23AndMe montrait déjà du doigt ses clients à l’époque, qu’elle soupçonnait de recycler des identifiants. Une pratique qu’il faut bannir. En cas de fuite, des pirates récupèrent les informations et les essayent sur d’autres services. C’est ce qui s’est passé.

Trois jours plus tard, 23andMe réinitialisait « par prudence » tous les mots de passe. « Nous encourageons l’utilisation de l’authentification multifacteur (MFA) » ajoutait l’entreprise. On se demande pourquoi il a fallu attendre trois jours, la prudence aurait été de le faire immédiatement et d’imposer la double authentification.

Fin octobre, des millions de tests ADN étaient mis en ligne. Deux jours après, l’entreprise a « temporairement désactivé certaines fonctionnalités de l'outil DNA Relatives […] afin de protéger la vie privée de [ses] clients ». Là encore, on se demande pourquoi l’entreprise n’a pas réagi avant.

23andMe se dédouane : « aucune infraction n'a été commise »

Dans une lettre à un groupe de victimes, 23andMe affirme qu'« aucune infraction n'a été commise », qu'il n'y a eu aucune violation ni du « California Confidentiality of Medical Information Act » (CMIA, loi californienne protégeant la confidentialité des informations médicales) ni de l’« Illinois Genetic Information Privacy Act » (GIPA, loi illinoise protégeant contre la divulgation et/ou l'utilisation discriminatoire de leurs informations génétiques dans le cadre de l'emploi).

L'entreprise argue que ce sont des utilisateurs qui « ont négligemment recyclé et omis de mettre à jour leurs mots de passe à la suite de ces incidents de sécurité antérieurs ». Ils sont fautifs pour la société, qui affirme que toute cette histoire n'est donc « pas lié à 23andMe ». « Par conséquent, l'incident n'est pas dû au fait que 23andMe n'aurait pas maintenu des mesures de sécurité raisonnables » ajoute la lettre.

On ne peut pas « mettre à jour » son ADN

Contrairement à un mot de passe que l’on peut modifier comme on le souhaite, on ne peut pas changer son ADN. Une fois vos données en ligne, il n’y a malheureusement rien à faire. Avec des données aussi sensibles, on aurait pu imaginer que 23andMe impose a minima la double authentification, justement pour éviter ce genre de fuite.

En France, c’est par exemple le minimum requis par Lifen (une plateforme de coordination médicale) : « Le risque zéro n’existe pas, en particulier, dans le milieu de la santé où le partage d'informations sur un patient est une composante importante du processus de son suivi médical. Cela est d'autant plus nécessaire avec la multiplication des attaques et leur sophistication accrue. C'est pourquoi, la connexion avec la double authentification par vérification du numéro de téléphone est obligatoire pour les patients ».

« 23andMe a apparemment décidé de laisser ses clients à l'abandon »

Interrogé par TechCrunch, l'un des avocats d'utilisateurs, Hassan Zavareei, réagit : « plutôt que de reconnaître son rôle dans ce désastre en matière de sécurité des données, 23andMe a apparemment décidé de laisser ses clients à l'abandon tout en minimisant la gravité de ces événements ».

En ce qui concerne les informations obtenues via sa fonction « DNA relatives », qui a permis aux attaquants de récupérer non seulement les données de comptes mal sécurisés, mais aussi de leurs proches, l'entreprise explique que ce sont les clients qui les ont créées et qui ont choisi de les « partager avec d'autres utilisateurs sur la plateforme de 23andMe ».

Elle ajoute que « ces informations n'étaient disponibles que si les plaignants choisissaient explicitement de partager ces informations avec d'autres utilisateurs par le biais de la fonction DNA Relatives ».

Cette fonction a, quoi qu’il en soit, servi de caisse de résonance : à partir des 14 000 comptes auxquels les pirates ont eu directement accès, ils ont récupéré près de sept millions de résultats de tests ADN. Soit 500 résultats de tests ADN par compte piraté en moyenne. Dommage que 23andMe n’ait pas remarqué un tel trafic sur son réseau afin de stopper au plus vite l’hémorragie.

Pas de préjudice pécuniaire pour 23andMe

Ne comprenant pas leur numéro de sécurité sociale, leur numéro de permis de conduire ou toute autre information financière ou de paiement, 23andMe considère que ces données ne peuvent pas avoir été utilisées pour causer un préjudice pécuniaire.

Pour éviter les actions collectives en justice, l'entreprise a modifié ses conditions de service avant de révéler l'attaque de sa plateforme, expliquait le média américain en décembre dernier. « Les changements visent à rendre plus difficile pour les victimes de se regrouper pour déposer une plainte contre l’entreprise », indiquent nos confrères. Pour des avocats interrogés par TechCrunch, ces changements sont « cyniques », « égoïstes » et s’apparentent à une « tentative désespérée ».

Des tests « récréatifs » interdits en France

Le Centre Européen de la Consommation explique qu'il n'existe pas de réglementation au niveau européen pour l’instant : « Les tests génétiques dits récréatifs proposés sur Internet aux consommateurs pour connaître l’origine de leurs ancêtres ou dépister une maladie sont autorisés dans plusieurs pays européens comme au Danemark, à Chypre, en Finlande, en Allemagne, en Italie, au Luxembourg ou aux Pays-Bas mais interdits au Portugal et en France ».

Commentaires (25)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Question naïve : concrètement, quel est le risque de voir son ADN divulgué aujourd'hui ? Qu'est-ce qu'une personne malveillante peut en faire ?
Je perçois le danger pour une personne importante (un chef d'état, etc), mais pour une personne lambda ?
votre avatar
Tu peux connaître des risques de maladie génétique. Les compagnies d'assurance aimeraient probablement connaître ce genre d’informations.

Tu peux aussi voir qu'une personne n’est pas le descendant biologique d'une autre.

Moi, par contre, je ne vois pas en quoi ce serait plus dangereux pour un chef d'état qu'une personne lambda.
votre avatar
Ben si, ils vont le cloner et le remplacer par le clone 😉
En vrai... je doute que l'impact en dehors des maladies (donc assurance) soit important
votre avatar
Ils l'ont déjà fait avec Poutine.
#noussachons
votre avatar
Ces données intéressent énormément les compagnies d'assurance, banque voire ton employeur...
Déjà que des boites font déjà des enquêtes pour savoir si une femme est en couple/Prévois d'avoir un enfant pour l'employer (ou pas...), imagine avec ce type de base de données dans la nature.

Tu vas te faire refuser des postes/prêts bancaire ou location parce que la boite aura "découvert" que tu es à risque de X ou Y.

Le risque est plus sociale qu'individuel.
votre avatar
Au delà de la santé, il y a également toutes les considérations sur l'origine ethnique des personnes qui se retrouve dans l'ADN…
votre avatar
Assez peu, en fait, quand on regarde au niveau d'un individu.
C'est largement du vent tout ca, assez peu précis (dans le sens où les genes en question sont souvent dispersés sur des zones géographiques assez larges et donc des populations assez diverses, ethniquement comme culturellement).
La genetique des populations ca a vraiment du sens sur les assez grands groupes.
votre avatar
il est facile d'extraire des données de ces tests ADN ? Ils disent explicitement les troubles génétiques, ou c'est juste ton génome ?
votre avatar
Cela donne des marqueurs de prévalences/Facteurs de risque sur pas mal de risque connus :

-Cardiovasculaire
-Cancer
-etc.

Après cela évolue avec les avancés en recherche génétiques. Mais les facteurs de risque pour certaines maladies sont connus.

Ps : Par contre je relativiserai car je pense que ce genre de boite ne vont regarder que quelques gênes connus pour identifier des ethnies, et pas les marqueurs de maladie
votre avatar
Non, il y a bien l'analyse des maladies potentielles https://www.bortzmeyer.org/23andme.html
votre avatar
Je ne suis pas spécialiste, mais je doute qu'il s'agisse d'un séquençage complet du génome, vu la quantité de boulot et de données que ça représente (d'après https://fr.wikipedia.org/wiki/G%C3%A9n%C3%A9tique_humaine#S%C3%A9quen%C3%A7age_du_g%C3%A9nome_humain il a fallu 100 chercheurs pendant 3 ans pour séquencer entièrement le génome d'une personne, et le résultat était de 3 000 milliard de paires de bases, soit en gros 750 Go). Quand on cherche des maladies ou risques génétiques, on ne séquence que quelques gènes connus pour ça. Quand la police cherche à identifier un criminel à partir de son ADN, on ne séquence que quelques gènes connus pour être statistiquement différents d'une personne à l'autre. Dans le cas de 23andMe, je suppose qu'ils ne séquencent (et stockent) que quelques gènes connus pour être statistiquement plutôt identiques dans tel ou tel groupe ethnique.
Bref, les données volées ne permettent que de connaitre les origines ethniques des victimes. Et encore, de manière absolument pas fiable.
votre avatar
Non, il n'y a aucun séquençage. Que ce soit 23andMe ou la police scientifique, on recherche plusieurs marqueurs génétiques qui sont à la fois hétérogènes au sein de la population humaine, et ayant des caractéristiques similaires/identiques chez telle ou telle sous-population humaine (cf https://en.wikipedia.org/wiki/Genetic_marker pour plus de détails). Dans tous les cas, que ce soit 23andMe ou ses concurrents (il y en a plusieurs aux USA), on obtient de multiples probabilités d'appartenance à différentes sous-populations données. D’ailleurs, 23andMe ne se fatiguent pas trop, ils ne font que pomper les données académiques de génétique des populations.

Les détails techniques des marqueurs n'apportent pas à mon sens de valeurs prédictives DIRECTES à une maladie, ou autre. Par contre, l'analyse des résultats montrant l'appartenance relative à une sous population humaine peut révéler des éléments pouvant intéresser une personne ou organisation malveillante. Exemple, si le test montre que tu as une forte probabilité d'être associé à une population ashkénaze, tu peux inférer deux éléments indirectement :
- une probabilité de développer des maladies plus présente dans cette population (on connait de multiples biais de telle ou telle population versus la probabilité de développer des maladies génétiques),
- une probabilité d'appartenance à une religion dans des cas bien particuliers (les personnes ashkénazes ayant une probabilité d'être, ou d'avoir dans leur ascendance des personnes de religion juive). De manière similaire, on peut inférer aussi différentes caractéristiques : potentielles couleur de peau, des cheveux, ... (exemple : population subsaharienne, nordique, berbère, ...). Encore une fois, cela dépend de 2 facteurs : la qualité de l'analyse et des conclusions faite par 23andMe, et des données disponibles issues de la génétique des populations.

Maintenant, toute la question est de savoir si les données piratées de 23andMe permettent d'identifier les utilisateurs de 23andMe.
votre avatar
Il existe de nombreux risques.

On peut citer le risque lier aux assurances / prêt / mutuelle / etc. comme l'ont déjà fait d'autres commentaires, je ne vais pas forcément revenir dessus.

Cela permet également de connaitre beaucoup de chose sur la personne. Son genre, son origine ethnique (d'un point de vue "purement ADN" bien sur), certains problèmes de santé. Pour certains, une partie de nos comportement trouverait son origine également dans notre ADN. Avoir tout ça, permet d'établir un profil, permettant de mieux réaliser une attaque, ou simplement de faire de la publicité ciblé (homme grand blond aux yeux bleus vs une femme noire d'origine africaine par exemple).

Cela pourrait également avoir de nombreux impacts dans plein de domaines, de la recherche d'un emploi à l'octroi d'un logement par exemple.

Autrement dit : la personne malveillante ne va pas forcément en faire grand chose par elle-même. Simplement "revendre". Les conséquences de cette revente va forcément dépendre de qui achète.

On pourrait également avoir une variante du prince Nigérian sinon (on a vu avec votre ADN que vous étiez le seul et unique héritier, ...)
votre avatar
Regarde le film Gattaca et t'auras tous les exemples possibles :)
votre avatar
C'est exactement ce que j'allai dire.
Film extraordinaire et visionnaire vu sa sortie en 1997.
votre avatar
Future réalité potentielle, pour ceux intéressés je recommande la lecture du polar "Séquences mortelles" de Michael Connelly (2021) : outre la dénonciation de ce secteur - les tests ADN récréatifs et le profilage ADN - ainsi que son absence totale de régulation qui a permis bien des dérives, le livre explore une possibilité de ciblage qui fait froid dans le dos…

Et sans parler en effet de la mine d'or pour les assureurs entre autres.
votre avatar
Et côté film, vous pouvez regarder "Bienvenu a Gattaca", qui parle justement de la dérive de la génétique.
votre avatar
Bienvenue à Gataca parle de l'eugénisme, c'est un peu différent même si le profilage ADN pourrait techniquement y mener.
Je m'interroge sur la fiabilité de ces tests, quelle est leur précision ?
Je me demande aussi s'il est possible de les pratiquer anonymement, en effet, tout se fait pas courrier, alors je met Jacques Dupont sur la boîte aux lettres de ma grand-mère et c'est réglé, non ?
votre avatar
Je pensais surtout au fait que, parce que tu as un risque élevé de telle ou telle maladie, on t'interdit l'accès à certains postes.
votre avatar
Il y a tout un passage dans le film qui explique comment les entreprises embauchent, en prélevant la salive du timbre de la lettre de candidature, ou sur une poignée de porte, par exemple.

Les tests récréatifs sont plutôt fiables, parce qu'il me semble qu'ils tentent plusieurs fois la lecture pour être sûr de pas se planter.
Par contre, ils ne lisent pas tout l'ADN, juste des parties qui ont été jugées comme intéressantes. J'ai un membre de ma famille qui a fait un test chez 23andMe et ils ont fournit ~638000 lignes, contenant chacune deux lettres (AA, AC…) qui sont pour les deux branches des chromosomes (attention, je parle pas du brin d'ADN, avec les paires complémentaires, mais les paires de chromosomes), ou une lettre (AGTC) pour les parties n'ayant pas deux lettres (le chromosome Y), et le code des mitochondries.
Ce fichier texte fournit, sans compression (et contenant à chaque ligne l'adresse du fragment, donc non-optimal) faisait 16 Mo. On estime que le génome complet humain représente entre 700 Mo et 200 Go (https://medium.com/precision-medicine/how-big-is-the-human-genome-e90caa3409b0), on en est donc très loin.

Dans un sujet similaire, il est important de noter que lors des tests ADN destinés aux fichiers policiers, le législateur a dit qu'il ne fallait garder que de l'ADN non codant (→ dont on a trouvé aucune utilité physiologique). Donc même croiser ces fichiers policiers avec ceux de 23andMe me semble hasardeux (mais ça dépend de facteurs que je ne connais pas).
votre avatar
Je pense aussi que le film "Bienvenue à Gataca" illustre bien les dérives qui deviennent possible avec le profilage ADN. C'est clairement le côté sombre du phénomène.

Pour le côté plus sympa, des personnes nées sous X ont put retrouver des cousins voire une sœur comme Labajon l'explique dans une interview Konbini.
Je crois aussi qu'il y a une histoire de tueur ou violeur qui a été retrouvé indirectement grâce à une personne de sa famille qui a fait ce genre de test.

Bref comme souvent, ces avancées technologiques ou leur généralisation ne sont ni bonne ni mauvaises. C'est ce que nous en faisons qui est important.
votre avatar
Je crois aussi qu'il y a une histoire de tueur ou violeur qui a été retrouvé indirectement grâce à une personne de sa famille qui a fait ce genre de test.
Pas tout à fait.
La gendarmerie a fait une recherche en parentèle:
https://fr.m.wikipedia.org/wiki/Affaire_%C3%89lodie_Kulik#Identification_d'un_des_agresseurs

https://www.francetvinfo.fr/societe/justice/video-13h15-la-premiere-utilisation-de-la-recherche-adn-par-parentele-pour-resoudre-un-cold-case_2189245.html
votre avatar
c’est quoi cette citation de Lifen, société qui na rien a voir avec la choucroute ? un placement sponsorisé ?
votre avatar
Je suis d'accord que le lien avec Lifen est assez lointain même si la protection des données gérées devrait être du même niveau parce que ce sont des données sensibles.
Ce n'est pas une raison pour être désagréable et accusateur.

Va relire la Charte éthique et journalistique du site : next.ink Next
Tu verras qu'il n'y a plus aucune sorte de publicité sur le site.
votre avatar
Arrêtez moi si je dis une bêtise mais en risque je pense qu'il est techniquement possible de reproduire dans sa totalité un ADN. Il pourrait être placé sur des scènes de crimes pour diriger les investigations et incriminer une autre personne ?
Plus besoin de prendre le risque de récupérer des éléments physiques d'une personne pour le placer ensuite au "bon endroit".
En analogie :
- Ce que la cyber attaque est à l'attaque informatique par pénétration physique ?
- Ou comme dupliquer la plaque d'immatriculation de la voiture de tonton qui habite en Aveyron vue sur une photo sur les réseaux sociaux et la réutiliser sur une autre voiture pour faire des go fast ?

Fuite de tests ADN : 23andMe rejette la faute sur les utilisateurs

  • Rappel des faits

  • 23andMe se dédouane : « aucune infraction n'a été commise »

  • On ne peut pas « mettre à jour » son ADN

  • « 23andMe a apparemment décidé de laisser ses clients à l’abandon »

  • Pas de préjudice pécuniaire pour 23andMe

  • Des tests « récréatifs » interdits en France

Fermer