BFM Business

Les tests ADN en kit, une nouvelle mine d'or pour les pirates?

BFM Tech

FIC 2020 - D'après l'expert en cybersécurité Renaud Lifchitz, les données génétiques décortiquées par de grandes plateformes de tests ADN telles que 23andMe ou MyHeritage pourraient être mises à profit pour mener des cyberattaques toujours plus ciblées.

Ils permettent d'établir des liens de parenté, d'en savoir plus sur ses origines, voire de scruter en détails ses prédispositions génétiques à certaines maladies. Les tests ADN en vente libre, rendus célèbres par des sociétés telles que 23andMe, MyHeritage ou Ancestry, ne nécessitent bien souvent qu'un simple échantillon de salive pour décoder le génome de leurs clients.

Illégaux en France, ils ont séduit près de 26 millions de curieux aux Etats-Unis. Autant de données génétiques qui, une fois tombées entre de mauvaises mains, pourraient être mises à profit pour personnaliser encore davantage des cyberattaques. Renaud Lifchitz, expert en sécurité informatique chez Digital Security, a réalisé une présentation à ce sujet à l'occasion du FIC, le grand rendez-vous de la cybersécurité qui se tient actuellement à Lille. 

BFM Tech: Pourquoi avoir effectué, pour la première fois, ce rapprochement entre données génétiques et cybersécurité?
Renaud Lifchitz: Les tests ADN en vente libre connaissent un très grand succès, tant et si bien qu'ils viennent régulièrement faire figure de cadeaux de Noël, quitte à être offerts entre membres d'une même famille. Les bases de données constituées à partir de ces tests n'en sont pas moins extrêmement sensibles. Je me suis donc efforcé d'estimer de quelle manière des fuites de données sur de grandes plateformes de séquençage génétique pourraient venir affecter la sécurité personnelle ou professionnelle de leurs utilisateurs. 

De quelle façon les données génétiques pourraient-elles, elles aussi, être utilisées pour mener à bien et peaufiner des cyberattaques?
Les tests ADN peuvent être révélateurs de traits de personnalité. Certaines combinaisons de gènes vont laisser entendre une propension à être davantage optimiste, plus joueur ou encore à reconnaître plus ou moins facilement les visages. En cela, ces mêmes tests ADN peuvent aussi donner des renseignements sur nos faiblesses. Concrètement, on peut imaginer qu'à partir de données génétiques, un hacker pourrait avoir tendance à ajuster une cyberattaque. 

Quels cas de figure précis cela laisse-t-il envisager?
Cibler les attaques en fonction des profils génétiques reviendrait, par exemple, à piéger une personne ayant tendance à apprécier la gratification instantanée, le jeu et l'argent par une attaque de phishing, l'incitant à confier ses données personnelles pour mieux accéder à un jeu de loterie instantanée. De même, quelqu'un qui aime la prise de risque et s'avère a priori peu résilient à la pression pourra davantage être vulnérable à une arnaque au président, menée par mail ou au téléphone, et qui consistera à l'inciter à effectuer un virement indu en urgence. En somme, il s'agit de choisir l'attaque qui aura le plus de chances de fonctionner, en tablant sur ces prédispositions génétiques. 

De quelle façon ces données génétiques pourraient être récupérées par des hackers? 
Soit après des fuites de données informatiques, comme cela a déjà pu se produire pour de très grandes plateformes de données génétiques, telles que Veritas en novembre dernier ou MyHeritage en février; soit en fréquentant sa future victime et en prélevant discrètement du matériel génétique - un cheveu ou de la salive sur un verre - à cette occasion. 

L’armée américaine en est venue, il y a quelques semaines, à déconseiller à ses soldats d’avoir recours aux tests ADN grand public, en mettant en avant des "risques personnels et opérationnels". Lesquels pouvait-elle redouter?
L'armée n'a pas clairement expliqué pour quelle raison cette annonce avait été formulée. Un ancien réserviste avait néanmoins avancé que des décisions sur le caractère "opérationnel" des soldats pourraient être prises à partir de ces mêmes informations, et parfois nuire à leur carrière. On peut également imaginer qu'en souscrivant à ces tests, les soldats puissent in fine donner des renseignements sur l'emplacement de bases militaires confidentielles, en se faisant livrer leurs résultats. Enfin, l'armée américaine se prémunit vraisemblablement des risques de profiling permis par le matériel génétique de ses soldats... et qui permettaient à certains de venir compromettre certains agents en tirant parti de leurs vulnérabilités.

https://twitter.com/Elsa_Trujillo Elsa Trujillo Journaliste BFM Tech