Tests ADN : la société américaine 23andMe subit un piratage, des millions de données d’utilisateurs volées et mises en vente

MONDE - Les données de plusieurs millions de personnes inscrites sur le site 23andMe, société américaine de biotechnologie qui propose aux particuliers l’analyse de leurs codes génétiques, ont été dérobées et mises en vente en ligne la semaine dernière par des hackers (pirates informatiques, NDLR). Les informations piratées comprennent le nom, le prénom et le sexe des victimes, ainsi que les rapports de 23andMe sur leurs origines et celles de leurs ancêtres. La société californienne affirme n’avoir détecté aucune brèche dans ses systèmes.

La plateforme 23andMe, société de kits de tests génétiques, propose de retracer l’ascendance de particuliers via des analyses salivaires. Dans la soirée du mardi 3 octobre dernier, un hacker a publié un post de chantage menaçant de divulguer de nombreuses données, dans un forum du dark web, une partie cachée ou clandestine du réseau Internet accessible uniquement via des logiciels ou des protocoles spécifiques.

Environ 7 millions d’utilisateurs concernés

La plateforme 23andMe a confirmé le mercredi 4 octobre à des médias spécialisés que les données qui circulent sur le forum proviennent bien de sa base de données. Dans un communiqué publié lundi 9 octobre, la société américaine a confirmé qu’une “quantité indéterminée” d’informations liées à ses clients “a été compilée grâce à l’accès à des comptes individuels”. "Nous n'avons pour l'instant aucune indication qu'il y ait eu un incident de sécurité au sein de nos systèmes", indique le communiqué.

L’hypothèse avancée par la société est que les hackers ont réussi à collecter les informations de connexions comme les emails et les mots de passe depuis d’autres sites ayant déjà subi une cyberattaque. Cette technique, appelée “credential stuffing” (bourrage d’identifiants, NDLR), consiste à mener, de manière automatisée ou manuelle, des tentatives massives de connexions à une plateforme à l’aide d’identifiants et de mots de passe récoltés ailleurs. C’est la raison pour laquelle les experts en cybersécurité déconseillent d'utiliser le même mot de passe pour différents sites.

Les hackers ont bien trouvé des identifiants fonctionnels de plusieurs clients de 23andMe, particulièrement ceux qui ont souscrit à la fonctionnalité “DNA Relatives”. Celle-ci leur permet de se connecter avec des parents potentiels partageant un ADN similaire et d’échanger leurs profils génétiques.

La souscription à “DNA Relatives” a ainsi permis aux pirates informatiques d’accéder à des centaines d’autres profils, parfois des centaines par compte. Selon plusieurs médias, la moitié des 14 millions de clients de la société sont concernés. Les données n'incluent pas les détails génomiques, très sensibles, mais l’identité des utilisateurs, les emplacements régionaux, les résultats des tests menés par 23andMe ainsi que les photos de profil et les années de naissance.

Dans son communiqué, la plateforme californienne a affirmé que son enquête “se poursuivait”. “Nous contactons nos clients pour leur fournir une mise à jour sur l'enquête et les encourager à prendre des mesures supplémentaires pour assurer la sécurité de leurs comptes et de leurs mots de passe”, lit-on.

Le facteur humain, cible privilégiée des hackers

“Par prudence, nous exigeons que tous les clients réinitialisent leur mot de passe et nous encourageons l'utilisation de l'authentification à deux facteurs”, un processus de connexion qui impose, en plus des identifiants, de recourir à un autre moyen de confirmation comme l’envoi de SMS à un smartphone. “Si nous apprenons que les données d’un client ont été consultées sans son autorisation, nous l’en informerons directement avec plus d’informations”, conclut 23andMe.

Celle-ci fait désormais l’objet d’une plainte, déposée au tribunal de Californie. Les plaignants reprochent à la société de biotechnologie d’avoir fait preuve “d’imprudence” dans la protection des informations génétiques de ses clients, et de n’avoir pas pris des mesures “adéquates” pour garantir la sécurité des données.

Interdits en France, ces kits de prélèvement d'ADN proposés par 23andMe, MyHeritage ou encore AncestryDNA ont souvent fait l’objet d’avertissements, de la part d’experts en cybersécurité ou d’autorités officielles comme le Pentagone aux États-Unis en 2019.

Un responsable chez MyHeritage admettait lui-même que “les techniques d’identification des personnes à partir de leur ADN pourraient être utilisées de façon abusive et dans des buts néfastes, car les bases de données sont potentiellement ouvertes à tout le monde”. Parmi les risques encourus figure justement le piratage. D’ailleurs, cette société a été victime en 2018 d’une fuite de données de plus de 92 millions de comptes.

A l’image de deux grands casinos de Las Vegas entièrement paralysés par une cyberattaque en septembre, le facteur humain est encore une fois la méthode utilisée par les hackers pour accéder aux informations sensibles des clients de 23andMe.

Ce même scénario, très récurrent à l’ère du tout numérique, est appréhendé en Europe avec l’élaboration en cours du projet d’un euro numérique, porté par la Banque centrale européenne (BCE). La version dématérialisée de la monnaie unique ne sera pas “totalement anonyme” selon une récente déclaration de Christine Lagarde, présidente de la BCE, et une faille compromettrait vite la sécurité des données récupérées par les établissements bancaires...