La firme MyHeritage, qui propose un séquençage d’ADN a des fins généalogiques, a dû faire face au fuitage des données de 92 millions des comptes. L’ADN est sauf.
À voir aussi sur Konbini
Ça devait bien finir par arriver. Aucun secteur numérique n’étant à l’abri d’une fuite massive de données personnelles, ce n’était qu’une question de temps avant que des pirates ne s’attaquent à celui, lucratif et sensible, du test d’ADN privé. Mais si, vous savez, ces entreprises bourgeonnantes comme Illumina ou 23andMe, qui proposent à coups de campagnes vidéo virales de vous tirer le portrait génomique pour connaître, au choix et rayez les mentions inutiles : votre part, en pourcentage, de caucasien, d’Africain, d’Asiatique ou d’Aborigène, votre arbre généalogique jusqu’à X générations ou, moins drôle, votre risque de développer telle ou telle maladie génétique.
Aujourd’hui, moyennant quelques centaines de dollars et un peu de salive, n’importe qui peut s’offrir le service. Et si la libéralisation de ce marché est en soi intéressante pour la compréhension du génome humain, la question du stockage des données personnelles fournies aux entreprises se pose. Peut-on en effet imaginer matériel plus sensible que l’ADN ? Que nous le souhaitions ou non, la question du piratage de ce type d’entreprise était inévitable, et la première fuite de données massive vient donc de se produire.
E-mails, mots de passe, pas d’ADN
Le 5 juin, The Verge se faisait l’écho d’un communiqué de l’entreprise de test ADN israélienne MyHeritage dans lequel la firme reconnaissait la fuite de données personnelles liées à 92 millions de comptes d’utilisateurs, survenue vraisemblablement le 26 octobre 2017. Selon MyHeritage, qui propose à ses utilisateurs de retracer des arbres généalogiques à partir d’un échantillon ADN, le responsable de la sécurité informatique aurait reçu un message d’un homologue le 4 juin, l’informant que ces données était disponibles sur un serveur privé n’appartenant pas à l’entreprise.
Après une rapide enquête interne, MyHeritage a donc déterminé que la base de données était authentique, et que les adresses e-mail et les mots de passe “hashés” (rendus illisibles par un système de chiffrement) de 92 millions d’utilisateurs avaient fuité. En soi, MyHeritage s’en sort donc plutôt bien, et ses utilisateurs peuvent souffler : ni leurs données bancaires, ni leurs arbres généalogiques et surtout pas leur précieux ADN n’ont été dérobés dans le vol de données, car MyHeritage les conserve dans des systèmes dotés de protocoles de sécurité supérieurs. D’autre part, l’entreprise affirme avoir lancé un audit interne et avoir déterminé qu’aucune autre intrusion n’avait eu lieu depuis cette fuite.
À première vue, donc, tout roule ou presque, puisque peu de hackers iront se donner le mal d’aller déchiffrer un hash de mot de passe pour obtenir l’accès à un compte utilisateur lambda, d’autant que MyHeritage semble utiliser une technique de sécurité additionnelle appelée salage, qui permet à chaque mot de passe d’avoir un hash unique. D’autre part, MyHeritage vient d’annoncer la mise en place prochaine d’un système d’authentification à deux facteurs, pour assurer une nouvelle couche de sécurité à ses utilisateurs.
En gardant à l’esprit l’aphorisme “no system is safe” cher aux chercheurs en sécurité informatique, le boulot a donc été plutôt bien fait cette fois-ci. Mais s’il y a une leçon à retenir de cette première débâcle, c’est bien celle-ci : n’utilisez pas le même mot de passe à travers différents services. Oh, et sérieusement, ne donnez pas votre ADN à n’importe qui.
