L’analyse de l’ADN permet de trouver une cinquantaine de traits de caractère très précis d’une personne : son attitude consciencieuse, sa résilience c’est-à-dire sa capacité à résister à la pression, sa prise de risques… Autant d’informations très utiles pour lancer des attaques informatiques…
Il y a quelques mois, des inconnus ont mis en vente sur le dark web des assiettes et des couverts utilisés lors d’un repas organisé lors d’un sommet du Forum Économique de Davos. Impossible d’être sûr qu’ils avaient été utilisés par Donald Trump, Angela Merkel ou Emmanuel Macron. Mais cette vente montre que l’imagination des pirates ou des officines à la solde d’un État n’a pas de limite.
En analysant l’ADN présent sur ces assiettes, il est en effet possible d’en savoir beaucoup plus sur les traits de caractère d’une personne. « Ce risque est d’autant plus inquiétant pour les chefs d’entreprises et les hommes politiques que le séquençage d’ADN devient à la portée de tous. Le premier séquençage d’un génome avait couté 2,2 milliards de dollars en 2003 et nécessité plusieurs années. Aujourd’hui, pour moins de 400 € vous obtenez le résultat sous quelques semaines », prévient Renaud Lifchitz, spécialiste chez Digital Security (Groupe Econocom).
Un vigile pas physionomiste
Cet expert en cybersécurité a réalisé une étude très originale, car elle est à la croisée de deux domaines : la cybersécurité et la génomique grand public. « J’ai pu constater qu’on pouvait désanonymiser assez facilement un génome. Grâce à l’accès ouvert à plusieurs bases de données généalogiques et génomiques en ligne et aux réseaux sociaux, on peut recouper ces informations et trouver assez souvent quel est son porteur. On peut déjà le faire avec une quasi-certitude aux États-Unis où environ 25 millions d’Américains auraient déjà fait séquencer leur ADN », explique-t-il.
Or, les risques de cette démocratisation ne sont pas anodins. Le principal est celui d’une attaque ciblée, c’est-à-dire visant une entreprise en particulier. « Jusqu’à présent, les attaquants n’ont que des moyens “techniques” pour analyser le niveau de sécurité d’une entreprise. Après avoir récupéré un cheveu (ou son verre d’eau, son empreinte) du vigile à l’accueil d’une entreprise, le séquençage de son ADN permet de découvrir ses traits de caractère. Dans le cas de notre vigile, si on découvre par exemple qu’il n’est probablement pas très physionomiste, cette information permet à un attaquant d’entrer dans l’entreprise sans être trop repéré et ensuite d’étudier in situ les faiblesses du réseau informatique… », déclare Renaud Lifchitz.
Fuites de données génétiques
Les exemples d’exploitation malveillante du séquençage de l’ADN par des pirates sont multiples. Si on constate que le comptable ou le directeur financier d’une entreprise n’est pas très « consciencieux », cela peut représenter une faiblesse exploitable. Les pirates peuvent en profiter pour infiltrer le réseau informatique de l’entreprise en envoyant un e-mail de phishing à ce collaborateur qui ne respectera certainement pas toutes les consignes de cybersécurité de son entreprise (comme ne pas cliquer sur une pièce jointe infectée d’un e-mail envoyé par un inconnu par exemple).
Des scenarii dignes d’un film de science-fiction ? Pas sûr. En 2019, un mystérieux groupe de hackers iraniens a piraté une dizaine d’applications de séquençage d’ADN.
Et le contexte est plutôt favorable aux pirates, car il y a de plus en plus d’entreprises – notamment en Europe (Italie et Pays-Bas notamment) – qui font du séquençage d’ADN. « Or, plus il y a d’entreprises qui manipulent ce genre d’informations, plus il y a de risques de piratage et de fuites de données personnelles (dont des informations génétiques). Certaines de ces entreprises ont passé des certifications de sécurité, mais d’autres se contentent d’indiquer qu’elles sécurisent les données… », prévient Renaud Lifchitz.
La preuve, le site Web de généalogie et de tests ADN, MyHeritage, a été victime d’une fuite des données concernant plusieurs dizaines de millions de ses clients.
Le séquençage d’ADN pourrait également favoriser les dérives. Un DRH pourrait exploiter ce type d’informations pour faire du « profiling » de ses salariés. Autre risque : des assureurs pourraient nous demander notre ADN avant de souscrire un contrat d’assurance. Leurs primes varieraient en fonction de notre empreinte génétique.
Pour l’instant, la réglementation française encadre les usages des séquençages. La loi bioéthique interdit les séquençages récréatifs. Ils sont limités aux enquêtes criminelles et aux dépistages de maladies génétiques. Ceci dit, ce séquençage à titre personnel est autorisé dans la plupart des pays d’Europe.
Superbe article, merci
Réagissez à cet article
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Inscrivez-vous !
Vous n'avez pas encore de compte ?
CRÉER UN COMPTE