Des données d'utilisateurs de l'entreprise de tests génétiques 23andMe piratées

Des données d’utilisateurs de l’entreprise de tests génétiques 23andMe piratées

Allez on met à jour son ADN... Oh wait !

Avatar de l'auteur
Sébastien Gavois

Publié dans

Société numérique

09/10/2023 7 minutes
10

Des données d'utilisateurs de l'entreprise de tests génétiques 23andMe piratées

Des pirates ont pu accéder à des comptes de 23andMe (tests ADN) d'utilisateurs ayant réutilisé le même mot de passe que sur d'autres services. Pire encore, ils auraient récupéré des données d'autres clients via une fonction « DNA relatives ». L'occasion de rappeler les risques en cas de fuite et la législation sur le sujet en Europe et en France. 

C'est pas moi, c'est lui

Des données d'au moins un million d'utilisateurs 23andMe ont été proposées à la vente sur un forum et l'entreprise de tests génétiques a confirmé que des données de certains de ses utilisateurs ont été compromises, explique Wired.

Dans un communiqué, la société indique avoir rapidement diligenté une enquête et estime que les données mises en vente ne proviennent pas d'une fuite interne :

« Nous pensons que les acteurs malveillants ont pu accéder à certains comptes dans des cas où les utilisateurs ont recyclé les identifiants, c’est-à-dire que les noms d’utilisateur et mots de passe utilisés sur 23andMe.com étaient les mêmes que ceux utilisés sur d’autres sites qui ont précédemment été piratés ».

On ne le répètera jamais assez, mais c'est là encore l'exemple flagrant du pourquoi il ne faut pas réutiliser le même mot de passe sur plusieurs sites, d'autant plus avec des données aussi sensibles. La fuite de l'un entraine automatiquement des risques sur les autres. Les pirates n'ont en effet qu'à tester le couple email et mot de passe sur une multitude de services afin de voir s'ils sont acceptés. 

 La fonction « DNA relatives » utilisée comme caisse de résonance

Ce n'est que la première étape de l'attaque. Une fois qu'il a eu accès aux comptes de quelques utilisateurs, il aurait utilisé la fonction « DNA relatives », qui permet de voir d'autres utilisateurs qui ont aussi activé la fonction et dont le profil génétique est similaire. Il aurait ainsi constitué un important fichier de données génétiques. Ce qui montre, comme le pointe Bleeping Computer, « comment le fait d'accepter une fonctionnalité peut avoir des conséquences inattendues sur la vie privée ». D'une certaine manière, cette histoire n'est pas sans rappeler celle de « heatmap » de Strava. 

Les données concernées sont notamment le nom, le sexe, l'année de naissance et des informations sur l'ascendance génétique déduite par 23andMe (par exemple, « venant essentiellement d'Europe »). Les données génétiques brutes ne seraient pas concernées.

23andMe se défend d'une fuite

Chez 23andMe l'enquête est toujours en cours afin de « confirmer ces résultats préliminaires ». La société affirme ensuite n'avoir pour le moment « aucune indication montrant qu’il y a eu un incident de sécurité dans ses systèmes, ou que 23andMe était la source des informations d’identification des comptes utilisées dans ces attaques ». Elle rappelle que depuis 2019 elle propose l'authentification multifacteurs, mais visiblement sans la rendre obligatoire, dommage pour de telles données sensibles. 

23andMe pousse ses utilisateurs à utiliser des mots de passe forts et uniques ainsi que la fonctionnalité d'authentification à deux facteurs ; des règles basiques que l'on peut transposer à tous les services. Elle ne dit par contre rien concernant sa fonction « DNA relatives », qui est pourtant utilisé par les pirates comme amplificateurs pour récupérer un maximum de données. 

Des données publiées, des vérifications sont en cours

De leur côté, les pirates ont publié un premier échantillon avec des données concernant des juifs ashkénazes. Des personnes d'origine chinoise seraient aussi touchées. L'entreprise n'a pas encore validé si les échantillons publiés correspondaient à la réalité des informations contenues dans sa base de données.

Wired explique que cette information est importante pour les utilisateurs qui y figurent, mais aussi parce que l'échantillon contient des noms de personnes connues comme Mark Zuckerberg, Elon Musk et Sergey Brin. Des données ont potentiellement été ajoutées pour médiatiser l'attaque.

Un expert en analyse interrogé par Wired, Brett Callow, explique que « cet incident met réellement en évidence les risques associés aux bases de données génétiques », et rajoute que « le fait que des comptes aient apparemment opté pour la fonction 'DNA Relatives' est particulièrement inquiétant, car cela pourrait avoir pour conséquence de rendre publiques des informations extrêmement sensibles ».

De son côté, Reuters précise qu'au moins un des messages du pirate « a depuis été retiré du forum. L'ampleur de la brèche n'était pas immédiatement apparente et le pirate a fourni des chiffres et des descriptions contradictoires de ce qu'il avait volé ». L'enquête de 23andMe est donc importante afin d'en apprendre davantage. 

Des risques indélébiles, des précédents

Ce n'est pas la première société de tests ADN à faire face à une fuite de données. En 2019, la société Veritas Genetics était piratée. En 2020, c'était au tour de GEDmatch d'exposer plus d'un million de profils ADN. En 2021, la société DNA Diagnostics Center était la cible d'une cyberattaque avec plus de 2 millions de comptes piratés, etc. Ce ne sont que quelques exemples dans l'actualité récente (et surtout dans les failles/fuites rendues publiques.  

Dans le cas de données génétiques ou biométriques, un problème important est souvent passé sous silence : il n'est pas possible de changer ses informations, contrairement à un mot de passe. Une fois vos données génétiques en ligne, elles seront ad vitam rattachées à vous, sans possibilité de les mettre à jour. 

Quid des tests ADN récréatifs en Europe et en France ?

Le Centre Européen de la Consommation rappelle qu'il n'existe pour le moment aucune réglementation européenne sur les tests ADN : « Les tests génétiques dits récréatifs proposés sur Internet aux consommateurs pour connaître l’origine de leurs ancêtres ou dépister une maladie sont autorisés dans plusieurs pays européens comme au Danemark, à Chypre, en Finlande, en Allemagne, en Italie, au Luxembourg ou aux Pays-Bas mais interdits au Portugal et en France ».

En France justement, « un test génétique ne peut être réalisé que sur demande du tribunal dans le cadre par exemple d’une recherche de paternité, ou à des fins médicales ou de recherche scientifique. Si vous soumettez un échantillon d’ADN en dehors des cas prévus par la loi, vous encourez une amende de 3 750 euros (article 226-28-1 du Code pénal) et les entreprises qui proposent ce service, un an d’emprisonnement ou 15 000 euros d’amende  ». Cette interdiction est également valable pour les commandes passées par Internet, « même si la société qui réalise le test est basée dans un pays européen où cela est autorisé ».  

Enfin, le Centre Européen de la Consommation donne des conseils « si vous achetez un test ADN pour un proche qui réside dans un pays où cela est autorisé ». Outre la vérification attentive de la politique de protection des données personnelles, il est recommandé de ne jamais donner votre accord à une utilisation ultérieure et une réévaluation de vos données, mais aussi de « demander à l'entreprise de supprimer les données une fois les résultats reçus », en espérant que cela soit fait proprement. 

Même aux États-Unis où les tests récréatifs sont autorisés, les risques sont réels. Fin 2020, le Pentagone demandait en effets aux militaires de ne pas utiliser ces kits : « Les tests génétiques grand public échappent largement à la régulation, et pourraient dévoiler des informations personnelles ou génétiques, et potentiellement […] entraîner des risques pour les forces armées en mission », comme le rapporte Les Echos. Le document met aussi en avant « les inquiétudes croissantes, dans la communauté scientifique, que des forces extérieures utilisent les données génétiques dans des buts douteux, comme la surveillance de masse et la possibilité de suivre les individus à leur insu ». 

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

C'est pas moi, c'est lui

 La fonction « DNA relatives » utilisée comme caisse de résonance

23andMe se défend d'une fuite

Des données publiées, des vérifications sont en cours

Des risques indélébiles, des précédents

Quid des tests ADN récréatifs en Europe et en France ?

Fermer

Commentaires (10)



En France justement, « un test génétique ne peut être réalisé que sur demande du tribunal dans le cadre par exemple d’une recherche de paternité, ou à des fins médicales ou de recherche scientifique. Si vous soumettez un échantillon d’ADN en dehors des cas prévus par la loi, vous encourez une amende de 3 750 euros (article 226-28-1 du Code pénal) et les entreprises qui proposent ce service, un an d’emprisonnement ou 15 000 euros d’amende ». Cette interdiction est également valable pour les commandes passées par Internet, « même si la société qui réalise le test est basée dans un pays européen où cela est autorisé ».




Des sites comme Geneanet, site français, dont la société éditrice est française proposent de procéder à ce genre de test. Sans aucun problème. Donc bon… Ils on même une belle “charte ADN” complétant leur CGU, sur un truc interdit…


Chic, avec un peu de chance, vous pouvez trouver sur le Dark Dark Web mon ADN https://www.bortzmeyer.org/23andme.html


Il faut re-booter !



(reply:2157496:Stéphane Bortzmeyer)




Tu devrais changer ton code génétique pour plus de sécurité :transpi:



(reply:2157496:Stéphane Bortzmeyer)




J’aurais su, je t’aurais dédicacé le sous-titre :transpi:



eglyn a dit:


Tu devrais changer ton code génétique pour plus de sécurité :transpi:




Fastoche, avec les vaccins à ARN (ça doit être vrai, je l’ai lu sur Twitter, donc ça doit être authentique).


Marc ou Elon qui activent cette option, ça m’étonne…



(reply:2157554:Stéphane Bortzmeyer)




Blague à part, il y a quelques années ça parlait de CRISPR et il y a eu des gens qui en ont utilisé de façon amateur (extrêmement déconseillé). Je crois que CRISPR fonctionne via l’ARN




Des “kits CRISPR” sont même disponibles sur internet pour 150$. Un rapport de la CIA a classé le CRISPR-Cas9 dans la catégorie des “armes de destruction massive” potentielles. Un biohacker comme Josiah Zayner a fondé une société en 2016 en Californie pour commercialiser ce type de kits, ce qui provoque une bataille juridique



L’amende semble dérisoire au vu du préjudice.



(quote:2157554:Stéphane Bortzmeyer)
Fastoche, avec les vaccins à ARN (ça doit être vrai, je l’ai lu sur Twitter, donc ça doit être authentique).




Les vaccins sont à ARNm, et on les appelle des vaccins parce que leur but n’est pas de faire ça. En revanche la technique utilisée est celle des thérapies géniques, dont le but est effectivement de corriger le génome. https://www.inserm.fr/dossier/edition-genomique/
Après est-ce qu’on atteint toujours son but avec une probabilité nulle de dérapage, les journaux m’ont dit que oui donc ça doit être vrai.