Tech-Sciences

Votre ADN peut-il être hacké ?

Par Claire Commissaire I Publié le 19 Juillet 2018

De plus en plus d'entreprises proposent aux particuliers de tester leur ADN pour connaître pêle-mêle, leurs origines géographiques ou retrouver des parents éloignés. Mais communiquer ces données sensibles est-il vraiment sans risque ?


Notre ADN intéressera-t-il bientôt les hackers ? (Crédits : Shutterstock)
Notre ADN intéressera-t-il bientôt les hackers ? (Crédits : Shutterstock)
Début juin, une entreprise privée de tests ADN a annoncé que les adresses mails de 92 millions de ses clients, ainsi que leurs mots de passe chiffrés, avaient fuité sur la toile en octobre dernier. La plateforme MyHeritage s’est rapidement fendue d’un post de blog, pour rassurer ses utilisateurs, assurant qu’aucune donnée sensible n’avait été compromise. Mais demain ? Le piratage informatique peut-il s'immiscer jusqu'à notre ADN ?

Interdites en France, les "box" de tests ADN font un tabac partout où elles sont autorisées. Aux États-Unis, elles sont devenues un cadeau presque incontournable à Noël et – devraient représenter un marché de 340 millions de dollars d'ici 2022, selon un rapport de Credence Research. Pour quelques dizaines de dollars, ces entreprises vous promettent monts et merveilles : déterminer votre origine géographique, retrouver des cousins plus ou moins éloignés, pour certains, estimer votre risque de contracter telle ou telle maladie, voire… vous conseiller un régime alimentaire adapté à vos gènes. Et ouaip. Une sorte de Michel Cymes, version personnalisée. En kit.
 

Un test ADN 23andMe (Crédits : Wikimédia Commons)
Un test ADN 23andMe (Crédits : Wikimédia Commons)

Comment ça marche ?

Le principe est simple : le client se voit offrir une sorte de tube, dans lequel il crache. Il envoie ensuite cet échantillon de salive à l’entreprise choisie, qui le fait analyser dans un laboratoire.

Et ensuite ? Votre ADN, le mien, et ceux de vos grands-parents, sont tous constitués de 4 éléments, des sortes de briques appelés A,C,T, G. Ce qui change selon les individus, c’est l’ordre dans lequel ces briques se succèdent : on appelle cela des séquences. Selon la manière dont elles sont agencées, et le nombre de répétition d’une même séquence, on est capable de déterminer la couleur de vos yeux, le battement de votre coeur, si vous voyez bien la nuit… Bref, tout ce qui fait de vous un être unique au monde. Et on est capable de savoir tout ça grâce à un simple crachat. Pas mal, hein ?

Bon, au risque de vous décevoir, vous partagez quand même 99,5% de votre ADN avec votre voisin. Seuls 0,5 % diffèrent selon les individus : et c'est justement sur ces "variations" que reposent les analyses, et en particulier, sur les zones qui révèlent des gènes "invisibles", comme vos risques d’avoir un cancer. L’entreprise privée reçoit entre ses mains ces "données brutes" de votre ADN, et les analysent selon le service que vous avez demandé.  


Des données pas si protégées

Les données récupérées se retrouvent dans les mains de plusieurs entités : l’entreprise, mais aussi, les laboratoires qui les ont analysées. Ensuite, pour savoir qui détient quoi, pour combien de temps, c'est en fonction des conditions d'utilisation de chaque entreprise.

Le plus souvent, l’ADN et la salive sont stockés par le laboratoire pour être analysés ultérieurement. D’autres entreprises, comme 23andMe, donnent la possibilité a ses utilisateurs de supprimer l'échantillon une fois analysé. Si la plupart du temps, les données sont chiffrées sur les serveurs, ce n'est pas systématique : par exemple, dans les conditions d'utilisation du site GedMatch, on peut lire que "l'ADN et les données généalogiques ne sont pas chiffrées. L'ADN est compressé dans un format propriétaire qui le rend illisible sans un grand nombre d'effort. Les données généalogiques sont stockées sous forme de texte dans une base de données". Rassurant. 

Même quand ces données sont cryptées, nul ne peut garantir qu'elles seront protégées pour toujours. Comme le rappelle Christophe Dessimoz, professeur de bio-informatique à l’Université de Lausanne : 
 
"Si on crypte les données, il est improbable que les organisations ou des particuliers motivés puissent y accéder dans quinze ou vingt ans. Mais à l’échelle d’une vie, on n'a pas du tout ces garanties. Et en plus, il y a tous les jours des progrès sur les capacités de calcul, et ce qu'on peut découvrir depuis un ADN."

Autre problème : certains sites permettent le téléchargement des résultats sous forme de document. Concrètement, cela veut dire qu’un particulier possède une copie, lisible, de son séquençage ADN sur un support qui n’est plus protégé par l’entreprise, le rendant ainsi plus vulnérable en cas d’attaque informatique. 

Dernier détail, c’est que ces entreprises fournissent déjà de nombreuses informations aux institutions de recherche, qu’elles soient universitaires ou reconnues par l’État, mais aussi de gros laboratoires pharmaceutiques (comme Pfizer, qui collabore avec 23andMe par exemple).

Les données fournies peuvent être utilisées pour étudier des corrélations entre certains comportements ou maladies, et certains types de gènes. Lorsque les entreprises livrent ces données à ces tiers à fin de recherche, elles sont anonymisées : cela signifie qu’aucun nom n’est associé aux données transmises. Cela signifie-t-il que l’on ne court aucun risque ? Là encore, pas franchement.

Outre le fait qu'il est difficile de contrôler les paramètres de sécurité de ces collaborateurs, il n’est pas impossible de retrouver l’identité de quelqu’un à partir de ses données génétiques…
 
"J’aimerais rappeler les révélations de Snowden sur les pratiques de la NSA : beaucoup d’informations qui nous paraissent anonymes peuvent en réalité être corrélées avec d’autres données pour identifier une personne." 

Sur le site d'Ancestry, il est par exemple clairement indiqué qu’il est possible d’être identifié par un tiers, le tout grâce à "par exemple s’il est capable d’associer vos données génétiques à d’autres informations vous concernant dont ils disposeraient, qui relient vos données génétiques à votre nom ou à d’autres informations d’identification courantes", comme par exemple une date de naissance.

Depuis les cyberattaques de WannaCry et NotPetya durant l’été 2017 — des "rançongiciels" qui chiffrent les données détenues par des entreprises pour les rendre illisibles, et demandaient une contrepartie financière pour leur rendre accessibles à nouveau — on sait que les données sont les poules aux oeufs d’or des hackers. Les bases ADN ne devraient pas déroger à la règle.

À tel point, que la Fédération américaine de protection des consommateurs a publié un post de blog en décembre dernier pour faire de la prévention auprès des citoyens américains sur d'éventuels problèmes de protection des données. Pour Peter Ney, doctorant à l'Université de Washington en sécurité informatique, "comme pour d’autres domaines où se développent de véritables marchés, il est probable que des gens soient là aussi heureux d’offrir leurs compétences en piratage informatique…" Mais qui pourrait avoir intérêt à accéder à notre ADN ?

Pirater nos données ADN, pour faire quoi ?

Raison 1 : brouiller les pistes lors d'enquêtes 

Tout d'abord, certains criminels pourraient profiter de ces failles pour brouiller les pistes lors d'enquêtes. "Si on peut hacker, on peut aussi modifier les informations, explique Peter Ney. Imaginons que vous avez tué quelqu'un : vous savez que vous avez laissé un peu de sang, donc votre ADN, sur la scène du crime, vous pourriez vous servir de ces bases de données pour modifier votre ADN."  

Si cette éventualité semble anecdotique, il faut savoir que plusieurs enquêtes ont pu aboutir  grâce à ces bases de données détenues par ces entreprises commerciales. 

• Raison 2 : votre ADN intéresse votre assureur, votre banquier voire votre employeur
 

Aux États-Unis, les assureurs ont théoriquement le droit de faire de la discrimination génétique pour les assurances vie (Crédits : Shutterstock)
Aux États-Unis, les assureurs ont théoriquement le droit de faire de la discrimination génétique pour les assurances vie (Crédits : Shutterstock)
L’autre crainte, c’est que ces données sensibles soient transmises à des personnes intéressées par votre état de santé : votre employeur, mais surtout… votre assureur.

Dans un article de The Verge, Giovanni Vigna,  professeur de sciences informatiques à l’UC Santa Barbara :
 
"Ces données pourraient être vendues incognito à des compagnies d’assurances : un jour, je pourrais faire une demande de prêt de longue durée et être rejetée, parce qu’au coeur du système de l’entreprise, il y aura des données qui diront que j’ai de grandes chances d’avoir Alzheimer et mourir avant de rembourser le prêt."

Si ces tests à domicile sont légaux aux États-Unis, en revanche, ce qui ne l’est pas, c’est de discriminer une personne sur la base de ces données. Depuis 2009, le GINA (Genetic Information Non-Discrimination Act) protège les citoyens de cette "discrimination génétique"… dans une certaine mesure. Côté emploi, cette loi ne protège que les entreprises de plus de quinze salariés. Côté santé, elle ne s’applique pas aux assurances vie, ou à l’assurance handicap. Comprendre : ces institutions sont en droit de demander l’historique des familles en terme de santé ainsi que des informations génétiques, et rejeter la demande si elles considèrent la personne comme trop à risque. 

Toutefois, dans les pays où la régulation est plus féroce, comme en France, où les tests ADN sont peu démocratisés car réservés à un usage médical et sont strictement encadrés, il n’est peut-être pas utile de s’inquiéter tout de suite. "Si les données ADN sont divulguées aujourd’hui, c’est peu problématique surtout si on ne porte pas de variations extrêmement néfastes. Mais on ne sais pas ce qu'il sera possible d’interpréter d’ici cinq ou dix ans" , explique Christophe Dessimoz.

Des données uniques... et donc précieuses

In fine, pas forcément besoin d’aller bien loin pour identifier ces risques. "Beaucoup de personnes ne se rendent pas compte que ces données sont sensibles et peuvent les partager", explique Peter Ney. D'autant plus qu'il n'est pas nécessaire de faire soi-même un test ADN pour être vulnérable à un éventuel piratage :
 
"Vous n'avez jamais un contrôle total sur vos données ADN, car votre famille porte elle aussi une partie de votre ADN. Si l'on connaît le séquençage de vos deux parents, on a déjà beaucoup d'informations sur vous.", rappelle Peter Ney.

Un point central, rappelée par Christophe Dessimoz, devrait nous faire prendre conscience de l'importance de ces petits bouts de fils entrelacés qui déterminent qui nous sommes :
 
"Lorsqu'un numéro de carte de crédit ou un mot de passe est dérobé, il peut être régénéré. Pas notre ADN qui, lui, est unique."

... et ce, alors que la fiabilité de ces tests fait encore largement débat. Pour savoir si l'on est plutôt 60 % celte ou 7 % gaulois, le jeu en vaut-il vraiment la chandelle ?













Newsletter : recevez chaque semaine
une sélection de nos meilleurs articles


wedemain.fr sur votre mobile