Il y a quelques mois, des inconnus ont mis en vente sur le dark web des assiettes et des couverts utilisés lors d’un repas organisé lors d’un sommet du Forum Économique de Davos. Impossible d’être sûr qu’ils avaient été utilisés par Donald Trump, Angela Merkel ou Emmanuel Macron. Mais cette vente montre que l’imagination des pirates ou des officines à la solde d’un État n’a pas de limite.
En analysant l’ADN présent sur ces assiettes, il est en effet possible d’en savoir beaucoup plus sur les traits de caractère d’une personne. « Ce risque est d’autant plus inquiétant pour les chefs d’entreprises et les hommes politiques que le séquençage d’ADN devient à la portée de tous. Le premier séquençage d’un génome avait couté 2,2 milliards de dollars en 2003 et nécessité plusieurs années. Aujourd’hui, pour moins de 400 € vous obtenez le résultat sous quelques semaines », prévient Renaud Lifchitz, spécialiste chez Digital Security (Groupe Econocom).
Un vigile pas physionomiste
Cet expert en cybersécurité a réalisé une étude très originale, car elle est à la croisée de deux domaines : la cybersécurité et la génomique grand public. « J’ai pu constater qu’on pouvait désanonymiser assez facilement un génome. Grâce à l’accès ouvert à plusieurs bases de données généalogiques et génomiques en ligne et aux réseaux sociaux, on peut recouper ces informations et trouver assez souvent quel est son porteur. On peut déjà le faire avec une quasi-certitude aux États-Unis où environ 25 millions d’Américains auraient déjà fait séquencer leur ADN », explique-t-il.
Or, les risques de cette démocratisation ne sont pas anodins. Le principal est celui d’une attaque ciblée, c’est-à-dire visant une entreprise en particulier. « Jusqu’à présent, les attaquants n’ont que des moyens “techniques” pour analyser le niveau de sécurité d’une entreprise. Après avoir récupéré un cheveu (ou son verre d’eau, son empreinte) du vigile à l’accueil d’une entreprise, le séquençage de son ADN permet de découvrir ses traits de caractère. Dans le cas de notre vigile, si on découvre par exemple qu’il n’est probablement pas très physionomiste, cette information permet à un attaquant d’entrer dans l’entreprise sans être trop repéré et ensuite d’étudier in situ les faiblesses du réseau informatique… », déclare Renaud Lifchitz.
Fuites de données génétiques
Les exemples d’exploitation malveillante du séquençage de l’ADN par des pirates sont multiples. Si on constate que le comptable ou le directeur financier d’une entreprise n’est pas très « consciencieux », cela peut représenter une faiblesse exploitable. Les pirates peuvent en profiter pour infiltrer le réseau informatique de l’entreprise en envoyant un e-mail de phishing à ce collaborateur qui ne respectera certainement pas toutes les consignes de cybersécurité de son entreprise (comme ne pas cliquer sur une pièce jointe infectée d’un e-mail envoyé par un inconnu par exemple).
Des scenarii dignes d’un film de science-fiction ? Pas sûr. En 2019, un mystérieux groupe de hackers iraniens a piraté une dizaine d’applications de séquençage d’ADN.
Et le contexte est plutôt favorable aux pirates, car il y a de plus en plus d’entreprises – notamment en Europe (Italie et Pays-Bas notamment) – qui font du séquençage d’ADN. « Or, plus il y a d’entreprises qui manipulent ce genre d’informations, plus il y a de risques de piratage et de fuites de données personnelles (dont des informations génétiques). Certaines de ces entreprises ont passé des certifications de sécurité, mais d’autres se contentent d’indiquer qu’elles sécurisent les données… », prévient Renaud Lifchitz.
La preuve, le site Web de généalogie et de tests ADN, MyHeritage, a été victime d’une fuite des données concernant plusieurs dizaines de millions de ses clients.
Le séquençage d’ADN pourrait également favoriser les dérives. Un DRH pourrait exploiter ce type d’informations pour faire du « profiling » de ses salariés. Autre risque : des assureurs pourraient nous demander notre ADN avant de souscrire un contrat d’assurance. Leurs primes varieraient en fonction de notre empreinte génétique.
Pour l’instant, la réglementation française encadre les usages des séquençages. La loi bioéthique interdit les séquençages récréatifs. Ils sont limités aux enquêtes criminelles et aux dépistages de maladies génétiques. Ceci dit, ce séquençage à titre personnel est autorisé dans la plupart des pays d’Europe.
Dans l'actualité
- Dispositifs médicaux et piratage : il y a urgence
- Le génome du SARS-CoV-2 analysé grâce à un logiciel étudiant
- Les cartes indispensables pour suivre la propagation du Covid-19
- Nous sommes plus que notre ADN : découverte d’un nouveau mécanisme d’hérédité épigénétique
- Piratage des hôpitaux : l’arbre qui cache la forêt
- Des nano-objets en origami d’ADN pour le piégeage de virus
Dans les ressources documentaires
- Séquençage à haut débit - Outils et enjeux pour la santé humaine
- RDISK : une architecture reconfigurable pour l'exploration des banques génomiques
- Bioinformatique
- Sécurité informatique pour la gestion des risques - Application aux systèmes scientifiques et techniques
- Technologies d’identification et d’authentification pour un système de traçabilité