San Francisco, le samedi 20 janvier 2024 – Des pirates informatiques sont parvenu à voler les données génétiques de milliers de clients du site de généalogie génétique 23andMe.
Ancestry, GedMatch ou encore 23andMe : les sociétés proposant des décryptages de leurs codes génétiques aux particuliers connaissent un succès grandissant aux Etats-Unis et dans le reste du monde. Pour quelques centaines de dollars, ces entreprises vous proposent un test génétique complet qui vous permet de découvrir l’identité de vos parents et ancêtres, de mieux connaitre vos origines ethniques et également de détecter d’éventuelles maladies ou prédispositions génétiques. Interdit en France, ces tests génétiques sans but médical, suscitent régulièrement la controverse et soulèvent des questions de protection des données.
L’affaire survenue du côté de la société 23andMe, l’un des leaders du marché, a donné du grain à moudre aux détracteurs de ces tests génétique de loisir. Le 6 octobre dernier, la société californienne a en effet reconnu qu’elle avait été victime d’une cyber-attaque et que certaines données personnelles de ses plus de 14 millions de clients avaient été dérobées. Des internautes lui avait en effet signalé que des données appartenant à ses clients se vendaient entre 1 et 10 dollars sur le darknet, cette partie clandestine d’Internet où se déroule toute sorte d’activités criminelles.
Attention au vol de code (génétique) sur Internet
Il aura finalement fallu attendre près de deux mois pour que la firme de biotechnologie accepte, pour des raisons légales, de révéler l’ampleur du braquage dont elle avait été victime. Au total, 6,9 millions de clients du site, soit près de la moitié des utilisateurs, ont vu certaines de leurs données personnelles dérobées. Pour la plupart d’entre eux, il s’agit d’informations non médicales, comme leur nom, leur année de naissance, le pourcentage d’ADN qu’ils ont en commun avec d’autres utilisateurs, leur localisation ainsi que leur arbre généalogique. Mais les pirates informatiques ont également réussi à s’emparer des résultats ADN complets de 14 000 utilisateurs.
Comment les hackeurs ont-ils pu s’emparer d’autant d’informations ? En utilisant la technique dite du « bourrage d’identifiants », c’est-à-dire en utilisant des combinaisons d’adresse mail et de mots de passe volés sur d’autres sites et en partant du principe que les internautes utilisent régulièrement les mêmes mots de passe pour différents sites.
A partir des premiers comptes pirates, les délinquants ont ensuite pu accéder aux informations partagées par d’autres comptes. Car 23andMe n’est pas seulement une société d’analyse génétique, mais également une sorte de réseau social, où les individus peuvent entrer en contact avec leurs parents génétiques. Désormais, la firme américaine rejette donc la faute sur ses utilisateurs, qui ont fait l’erreur d’utiliser sur le site des mots de passe compromis. « L’incident n’est donc pas dû à un prétendu échec de 23andMe à garantir une sécurité information raisonnable » se défend ainsi la firme.
23andMe fait muter ses conditions d’utilisation
Une explication qui n’a pas découragé de nombreux utilisateurs dont les données ont été volées lors de cette cyber-attaque d’entamer des poursuites judiciaires contre 23andMe. Ces actions ont poussé la firme à renforcer le processus d’identification pour accéder au site mais aussi et surtout à modifier discrètement ses conditions d’utilisation, qui indiquent désormais depuis le 30 novembre dernier que tout litige entre un client et la société devra, même en cas de fuite de données, être tranché par un médiateur, sans possibilité d’appel. Informés par mail, les adhérents de 23andMe ont désormais 30 jours pour refuser ces nouvelles conditions d’utilisation sous peine de ne plus pouvoir saisir la justice, 23andMe espérant évidemment que ses clients n’auront pas la présence d’esprit de le faire.
Ce vol de données ADN ne devrait pas freiner l’engouement important que les tests génétiques connaissent auprès des Américains. En 2018, une étude avait établi que 60 % des Américains étaient d’ores et déjà identifiables génétiquement directement ou indirectement grâce aux bases de données des sociétés de génétique, dont la quasi-totalité de la population blanche.
Ces millions de tests génétiques ont notamment permis à des enfants nés par don de sperme anonyme de retrouver leur père biologique ou à la police de résoudre des enquêtes criminelles. Ces sociétés ont par ailleurs conclu des marchés juteux avec des firmes pharmaceutiques pour leur vendre les données génétiques dont elles disposent.
Une question demeure cependant, celle de l’intérêt pour des criminels d’acheter des données génétiques dérobées. Les utilisateurs dont les résultats de tests génétiques ont été volées vont-ils être clonés contre leur gré ?
Quentin Haroche
