Un petit test salivaire, et vous voilà prêt à remonter votre arbre généalogique. C'est sympathique, sauf quand les données collectées sont mises en vente par un hacker sur des forums spécialisés.
C'est une tendance qui a le vent dans le dos : le test ADN récréatif. Il s'agit d'envoyer un échantillon de votre ADN à une entreprise privée qui se chargera de l'analyser. Pour quoi faire ? Pour le comparer à d'immenses bases de données et vous donner les probabilités de vos origines ethniques.
Certaines entreprises sont des colosses dans le domaine, comme MyHeritage, fondée en 2003. Qui dit base de données, dit potentiellement données récupérables et exploitables de manière illégale. C'est ce qu'il vient de se passer pour 23AndMe, une entreprise américaine qui propose le même type de services. Celle-ci avait d'ailleurs connu un fort déclin de ses ventes en 2020.
Une intrusion massive toute en discrétion
Un seul et même hacker prétend actuellement détenir « des millions de profils génétiques » qu'il aurait obtenus en détournant des comptes clients de la plateforme 23AndMe. Pourquoi ces profils vaudraient-ils de l'argent, après tout, ce ne sont que des données concernant le génome des personnes concernées ? Pas seulement. Ceux-ci contiennent des photos, des adresses e-mail, des dates de naissance et les origines ethniques des utilisateurs. Selon les déclarations de l'entreprise, le système de sécurité de 23AndMe ne serait pas responsable de la fuite. Le hacker aurait exploité d'autres services en ligne compromis afin d'accéder aux comptes des clients.
Parmi les outils que propose la société, on trouve « DNA Relative », soit un moyen de connecter les personnes ayant des éléments d'ADN similaires. Un facteur biologique qui peut être synonyme, selon les cas, d'un lien de parenté existant. Or, cet outil permet aux utilisateurs d'avoir accès au profil génétique des utilisateurs dans le cas d'une similarité. Cette fonctionnalité a été exploitée par le hacker pour opérer une extraction de données massive, par la simple création de profils fictifs en copiant le nom des personnes reliées identifiées par l'outil.
Les conséquences et la réponse de 23AndMe
L'entreprise a tout de suite lancé une enquête. Premièrement, elle s'est montrée rassurante en affirmant qu'il n'y avait pas de faille logicielle de son côté. Le hacker s'est semble-t-il connecté au service en exploitant des identifiants déjà utilisés sur d'autres sites, et déjà piratés. Elle a ensuite vivement conseillé à ses utilisateurs de réinitialiser leurs mots de passe grâce à un envoi de liens, et à mettre en place une authentification à deux étapes.
Si l'on en croit certaines sources, ce sont 7 millions de comptes qui seraient concernés par cette vente massive, ce qui correspond à la moitié des usagers totaux de la plateforme. Bleeping Computers avait d'ailleurs révélé il y a quelques jours que le hacker en question avait tout d'abord mis en vente les données d'un million de Juifs ashkénazes, groupe ethnique situé principalement en Europe centrale et orientale, avant d'élargir les ventes à l'intégralité des comptes. Le P.-D.G. de 23AndMe aurait été conscient de cette fuite bien avant que la plateforme ne la communique.
S'il peut apparaître comme tout à fait séduisant de connaître ses origines et ses ancêtres grâce à un simple test salivaire, il ne faut pas oublier que cette entreprise n'est pas sans risques. Si vous détenez un compte sur 23AndMe, le mieux serait d'aller en vérifier la sécurité.
Sources : Yahoo, The Verge, 23AndMe, 23AndMe sur X.com
Une fois réveillé dans le bateau arrivé en Morrowind, j’avais mis le doigt dans l'engrenage. Un autre de mes doigts fut lui aussi coincé entre les pages des livres d’auteurs classiques : Charles Baudelaire, Émile Zola, Choderlos de Laclos ou Victor Hugo pour ne citer qu’eux. Vingt ans après, quelques milliers d'heures à jouer, à lire, et me voilà ! Mon coeur balance toujours entre ma passion de la tech, des jeux vidéo et mon amour incommensurable pour les Lettres. Spoiler : je n’ai pas choisi et cela ne risque pas d’arriver de sitôt.
Lire d'autres articles
