Piratage de tests ADN : quand la fuite de données donne dans la délation

Par Marine Protais - Le 9 octobre 2023

Accueil > Tech à suivre > Piratage de tests ADN : quand la fuite de données donne dans la délation

Des pirates ont eu accès aux données de clients de 23andMe, puis les ont mises en vente pour quelques dollars. Des personnes avec des origines juives ashkénazes seraient spécifiquement touchées par cette vente de données.

Le nom, le sexe, la date de naissance et les origines ethniques d’une personne en vente pour quelques dollars. Vendredi 6 octobre, l’entreprise de tests génétiques 23andMe a confirmé que des données de certains de ses utilisateurs avaient été compromises. Mais elle assure n’avoir observé aucun incident de sécurité.

Following a claim that someone had gained access to and is selling certain 23andMe customer data, we conducted an investigation. We have not identified any unauthorized access to our systems. We will continue to monitor the situation.
— 23andMeSupport (@23andMeSupport) October 6, 2023

Pour rappel, 23andMe est une entreprise qui vend des tests génétiques pour 119 dollars minimum. À partir d’un échantillon de salive, ce service vous donne les origines géographiques de vos ancêtres, un arbre généalogique, la possibilité de retrouver des membres de votre famille proches ou lointains, la liste de traits caractéristiques (sensibilité au soleil, goûts…). Des formules plus onéreuses permettent de connaître des prédispositions médicales.

Une base de données qui cible des personnes d’origines juives ashkénazes

Les hackers clament avoir obtenu 13 millions points de données selon Ars Technica. Le compte Twitter Dark Web Informer indique quant à lui que la moitié des utilisateurs de l'entreprise serait touchée (soit 7 millions de personnes).

1/2 A threat actor has allegedly leaked data from 23andMe @23andMe. They claim the data has a list of half of the users of 23andMe; 7 million. The data includes a lot of confidential information. #23andMe #DNA #Clearnet #DarkWeb #DarkWebInformer #Database #Leaks #Leaked pic.twitter.com/OAj1m0gjgx
— Dark Web Informer (@DarkWebInformer) October 3, 2023

Une première base de données contenant les informations d’un million de personnes aurait déjà été mise en vente via le site BreachForums, sorte de supermarché en ligne des données volées, précise Wired. Selon les pirates, il s’agirait de données de personnes ayant des origines juives ashkénazes. Une autre base de données de 300 000 utilisateurs ayant des origines chinoises, aurait également été mise en vente quelques jours auparavant. Le fait de se concentrer sur une origine ethnique peut être une attaque formelle contre cette population, mais aussi un moyen pour les hackers de faire plus facilement les gros titres, explique Brett Callow, un analyste de l’entreprise cyber Emisoft. Les pirates affirment également avoir les données de célébrités, comme Elon Musk et Sergey Brin, mais 23andMe n’a pas confirmé la véracité de leurs dires. Aucune donnée génétique brute n’a, a priori, été mise en vente.

Une fuite prévisible

Les pirates informatiques se seraient connectés à des comptes en utilisant des mots de passe volés, puis auraient ensuite eu accès aux données d’autres utilisateurs. Un type d’attaque baptisé « credential stuffing » (essayer diverses combinaisons de mot de passe/login pour accéder à un compte), dans le jargon cyber. La plateforme permet en effet de se connecter à d’autres utilisateurs, partageant le même code génétique. C’est ce côté réseau social qui rend 23andMe particulièrement sensible aux vols de données, et qui avait inquiété par le passé des observateurs et les autorités.

Ce n’est pas la première fois qu’un service de tests génétiques est confronté à un vol de données. En 2018, 98 millions de comptes de MyHeritage (un équivalent de 23andMe) avaient vu leurs identifiants volés et divulgués (mais les données sur leurs arbres généalogiques n’étaient pas concernées). En 2023, l’entreprise américaine DNA Diagnostics Center a dû payer une amende de 400 000 dollars, suite à une fuite de données sensibles (noms, numéros de sécurité sociale, coordonnées bancaires) de 2 millions d’utilisateurs.

En Chine, le vol de visages

La multiplication des tests ADN (qui sont, rappelons-le, illégaux en France) et autres services personnalisés à partir de données génétiques accroît le risque de voir se dérouler ce type de fuite de données sensibles. Autres facteurs de risque : la multiplication des outils d’intelligence artificielle et de reconnaissance faciale, notamment de retouche photo, de réalisations d’avatars vidéo, qui réclament parfois des selfies ou encore des extraits vidéos et vocaux.

En Chine, ces données permettent à un nouveau type de cyberattaque sophistiquée de proliférer. Le média Xinjing Bao traduit par Courrier International rapporte que la surveillance numérique et le paiement par reconnaissance faciale ont rendu facilement accessible aux hackers le visage et la voix des citoyens chinois. Ceux-ci s’en servent ensuite pour usurper l’identité d’une personne et réclamer des sommes d’argent à ses proches.