Des données d’utilisateurs de l’entreprise de tests génétiques 23andMe piratées

Des pirates ont pu accéder à des comptes de 23andMe (tests ADN) d'utilisateurs ayant réutilisé le même mot de passe que sur d'autres services. Pire encore, ils auraient récupéré des données d'autres clients via une fonction « DNA relatives ». L'occasion de rappeler les risques en cas de fuite et la législation sur le sujet en Europe et en France. 

C'est pas moi, c'est lui

Des données d'au moins un million d'utilisateurs 23andMe ont été proposées à la vente sur un forum et l'entreprise de tests génétiques a confirmé que des données de certains de ses utilisateurs ont été compromises, explique Wired.

Dans un communiqué, la société indique avoir rapidement diligenté une enquête et estime que les données mises en vente ne proviennent pas d'une fuite interne :

« Nous pensons que les acteurs malveillants ont pu accéder à certains comptes dans des cas où les utilisateurs ont recyclé les identifiants, c’est-à-dire que les noms d’utilisateur et mots de passe utilisés sur 23andMe.com étaient les mêmes que ceux utilisés sur d’autres sites qui ont précédemment été piratés ».

On ne le répètera jamais assez, mais c'est là encore l'exemple flagrant du pourquoi il ne faut pas réutiliser le même mot de passe sur plusieurs sites, d'autant plus avec des données aussi sensibles. La fuite de l'un entraine automatiquement des risques sur les autres. Les pirates n'ont en effet qu'à tester le couple email et mot de passe sur une multitude de services afin de voir s'ils sont acceptés. 

 La fonction « DNA relatives » utilisée comme caisse de résonance

Ce n'est que la première étape de l'attaque. Une fois qu'il a eu accès aux comptes de quelques utilisateurs, il aurait utilisé la fonction « DNA relatives », qui permet de voir d'autres utilisateurs qui ont aussi activé la fonction et dont le profil génétique est similaire. Il aurait ainsi constitué un important fichier de données génétiques. Ce qui montre, comme le pointe Bleeping Computer, « comment le fait d'accepter une fonctionnalité peut avoir des conséquences inattendues sur la vie privée ». D'une certaine manière, cette histoire n'est pas sans rappeler celle de « heatmap » de Strava. 

• Comment Strava permettait de remonter la piste d’agents des renseignements français et étrangers

Les données concernées sont notamment le nom, le sexe, l'année de naissance et des informations sur l'ascendance génétique déduite par 23andMe (par exemple, « venant essentiellement d'Europe »). Les données génétiques brutes ne seraient pas concernées.

23andMe se défend d'une fuite

Chez 23andMe l'enquête est toujours en cours afin de « confirmer ces résultats préliminaires ». La société affirme ensuite n'avoir pour le moment « aucune indication montrant qu’il y a eu un incident de sécurité dans ses systèmes, ou que 23andMe était la source des informations d’identification des comptes utilisées dans ces attaques ». Elle rappelle que depuis 2019 elle propose l'authentification multifacteurs, mais visiblement sans la rendre obligatoire, dommage pour de telles données sensibles. 

23andMe pousse ses utilisateurs à utiliser des mots de passe forts et uniques ainsi que la fonctionnalité d'authentification à deux facteurs ; des règles basiques que l'on peut transposer à tous les services. Elle ne dit par contre rien concernant sa fonction « DNA relatives », qui est pourtant utilisé par les pirates comme amplificateurs pour récupérer un maximum de données. 

Des données publiées, des vérifications sont en cours

De leur côté, les pirates ont publié un premier échantillon avec des données concernant des juifs ashkénazes. Des personnes d'origine chinoise seraient aussi touchées. L'entreprise n'a pas encore validé si les échantillons publiés correspondaient à la réalité des informations contenues dans sa base de données.

Wired explique que cette information est importante pour les utilisateurs qui y figurent, mais aussi parce que l'échantillon contient des noms de personnes connues comme Mark Zuckerberg, Elon Musk et Sergey Brin. Des données ont potentiellement été ajoutées pour médiatiser l'attaque.

Un expert en analyse interrogé par Wired, Brett Callow, explique que « cet incident met réellement en évidence les risques associés aux bases de données génétiques », et rajoute que « le fait que des comptes aient apparemment opté pour la fonction 'DNA Relatives' est particulièrement inquiétant, car cela pourrait avoir pour conséquence de rendre publiques des informations extrêmement sensibles ».

De son côté, Reuters précise qu'au moins un des messages du pirate « a depuis été retiré du forum. L'ampleur de la brèche n'était pas immédiatement apparente et le pirate a fourni des chiffres et des descriptions contradictoires de ce qu'il avait volé ». L'enquête de 23andMe est donc importante afin d'en apprendre davantage. 

Des risques indélébiles, des précédents

Ce n'est pas la première société de tests ADN à faire face à une fuite de données. En 2019, la société Veritas Genetics était piratée. En 2020, c'était au tour de GEDmatch d'exposer plus d'un million de profils ADN. En 2021, la société DNA Diagnostics Center était la cible d'une cyberattaque avec plus de 2 millions de comptes piratés, etc. Ce ne sont que quelques exemples dans l'actualité récente (et surtout dans les failles/fuites rendues publiques.  

Dans le cas de données génétiques ou biométriques, un problème important est souvent passé sous silence : il n'est pas possible de changer ses informations, contrairement à un mot de passe. Une fois vos données génétiques en ligne, elles seront ad vitam rattachées à vous, sans possibilité de les mettre à jour. 

Quid des tests ADN récréatifs en Europe et en France ?

Le Centre Européen de la Consommation rappelle qu'il n'existe pour le moment aucune réglementation européenne sur les tests ADN : « Les tests génétiques dits récréatifs proposés sur Internet aux consommateurs pour connaître l’origine de leurs ancêtres ou dépister une maladie sont autorisés dans plusieurs pays européens comme au Danemark, à Chypre, en Finlande, en Allemagne, en Italie, au Luxembourg ou aux Pays-Bas mais interdits au Portugal et en France ».

En France justement, « un test génétique ne peut être réalisé que sur demande du tribunal dans le cadre par exemple d’une recherche de paternité, ou à des fins médicales ou de recherche scientifique. Si vous soumettez un échantillon d’ADN en dehors des cas prévus par la loi, vous encourez une amende de 3 750 euros (article 226-28-1 du Code pénal) et les entreprises qui proposent ce service, un an d’emprisonnement ou 15 000 euros d’amende  ». Cette interdiction est également valable pour les commandes passées par Internet, « même si la société qui réalise le test est basée dans un pays européen où cela est autorisé ».  

Enfin, le Centre Européen de la Consommation donne des conseils « si vous achetez un test ADN pour un proche qui réside dans un pays où cela est autorisé ». Outre la vérification attentive de la politique de protection des données personnelles, il est recommandé de ne jamais donner votre accord à une utilisation ultérieure et une réévaluation de vos données, mais aussi de « demander à l'entreprise de supprimer les données une fois les résultats reçus », en espérant que cela soit fait proprement. 

Même aux États-Unis où les tests récréatifs sont autorisés, les risques sont réels. Fin 2020, le Pentagone demandait en effets aux militaires de ne pas utiliser ces kits : « Les tests génétiques grand public échappent largement à la régulation, et pourraient dévoiler des informations personnelles ou génétiques, et potentiellement […] entraîner des risques pour les forces armées en mission », comme le rapporte Les Echos. Le document met aussi en avant « les inquiétudes croissantes, dans la communauté scientifique, que des forces extérieures utilisent les données génétiques dans des buts douteux, comme la surveillance de masse et la possibilité de suivre les individus à leur insu ».