Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

A chaque prédisposition génétique sa technique d’ingénierie sociale !

février 2020 par Emmanuelle Lamandé

Quelques semaines et quelques centaines d’euros suffisent aujourd’hui pour séquencer son propre ADN, ou celui de quelqu’un d’autre ! Plus de 25 millions de citoyens américains ont déjà franchi le pas et plusieurs centaines de fichiers bruts d’ADN sont à l’heure actuelle disponibles sur le Web, de manière consentie ou non… Toutes ces informations, si elles tombent entre de mauvaises mains, peuvent aujourd’hui être utilisées à l’encontre de leurs propriétaires, notamment dans le cadre d’attaques ciblées basées sur des techniques d’ingénierie sociale. Renaud Lifchitz, IT & Security Evangelist, digital.security, nous explique comment à l’occasion du FIC.

Le génome représente, pour l’humain, l’ensemble du matériel génétique codé dans son ADN. Les nucléotides, qui représentent les briques de l’ADN, reposent sur 4 types de molécules : A, C, G ou T. Le séquençage de l’ADN consiste à déterminer l’ordre d’enchaînement de ces nucléotides pour un fragment d’ADN donné. D’un individu à l’autre, le génome est globalement identique, les nucléotides humains étant similaires à 99,9%. Ce qui est intéressant est donc d’observer et de mettre en avant les différences, qui reposent, à 90%, sur un seul et unique nucléotide, appelé SNP (Single Nucleotide Polymorphism). Une fois le séquençage de l’ADN effectué, en ressort un fichier texte que l’on va alors pouvoir analyser en vue de mettre en exergue ces variations par rapport aux zones de références.

Le génome humain n’a plus beaucoup de secrets… pour personne

Le premier séquençage complet d’un génome humain s’est achevé en 2003 et a nécessité plusieurs années de travail, avec un investissement total de près de 2,2 milliards d’euros. Aujourd’hui, quelques semaines et quelques centaines d’euros suffisent pour séquencer son propre ADN, ou celui de quelqu’un d’autre… Les kits ADN en vente libre connaissent un franc succès depuis plusieurs années. Ils ont notamment été démocratisés par des entreprises, telles que 23andme, Ancestry.com, MyHeritage, GEDMatch, Family Tree DNA... Pour séquencer son ADN, rien de plus simple : demander un kit à la société choisie, leur renvoyer un échantillon (salive, peau morte ou cheveu), et attendre les résultats qui vous parviendront globalement quelques semaines plus tard.

Plus de 25 millions de citoyens américains ont d’ailleurs d’ores et déjà franchi le pas et fait séquencer leur ADN. Ces tests font même désormais fréquemment l’objet de cadeaux de Noël aux États-Unis. Bien que cette pratique se démocratise outre-Atlantique, elle est encore interdite dans certains pays, dont la France. Les tests ADN sont en effet soumis à une réglementation très stricte sur notre territoire, la Justice considérant que chaque génome appartient à l’individu en question. Ils sont autorisés uniquement dans le cadre d’une procédure judiciaire, à des fins médicales ou de recherche scientifique. Près de 150 000 Français auraient aujourd’hui procédé à leur séquençage ADN malgré tout, en faisant appel à des sociétés à l’étranger.

Les entreprises qui proposent aujourd’hui ce type de services sont nombreuses, même si globalement deux types de séquençage se distinguent :
- Une version « low-cost » et incomplète de votre séquençage ADN : pour cela il faut compter entre 50 et 150 dollars ;
- Le séquençage de votre génome en intégralité pour environ 300 dollars.

Votre ADN en dit long sur votre personnalité…

Résultat de cette nouvelle pratique à la mode : plusieurs centaines de fichiers bruts d’ADN sont à l’heure actuelle disponibles sur le Web, parfois sans le consentement de leur propriétaire... Même si l’ADN n’est pas un format complètement documenté, beaucoup de choses intimes peuvent être retrouvées à propos de leur porteur. Les tests ADN permettent, en effet, d’obtenir de multiples informations sensibles concernant l’individu en question : filiation, origines géographiques, caractéristiques physiques (couleur des cheveux, des yeux…), maladies, allergies, préférences alimentaires, traits de personnalité... Ils permettent ainsi de savoir si une personne aura plutôt tendance à être optimiste, craintive, consciencieuse, empathique, colérique, sociable, joueuse, résiliente, vigilante… A noter toutefois que les prédispositions génétiques ne sont en aucun cas déterministes et n’influencent qu’à hauteur de 10 à 40% maximum les traits de personnalité.

Si les résultats obtenus concernant les origines géographiques ne sont pas encore vraiment fiables à l’heure actuelle et varient en fonction des tests effectués, les autres informations recueillies le sont beaucoup plus et en disent long sur « Qui vous êtes »… Caractéristiques physiques, filiation, maladies, allergies, préférences alimentaires, traits de personnalités… sont autant d’informations qui peuvent s’avérer très utiles pour qui cherche à vous nuire ou à vous utiliser pour parvenir à ses fins. Toutes ces informations, si elles tombent entre de mauvaises mains, peuvent par exemple être exploitées pour peaufiner une attaque de type ingénierie sociale.

…et sur le type d’attaque dont vous risquez d’être victime !

Par exemple, si de vos traits de personnalité ressort le fait que vous aimez le jeu, l’argent et la gratification instantanée, un attaquant privilégiera une attaque de type spear-phishing pour vous atteindre (via un jeu de loterie instantané par exemple…).
Autre exemple : si vous avez le goût du risque, mais que vous êtes peu résilient et peu consciencieux, il préférera alors peut-être recourir au vishing (phishing par téléphone…).
Si vous travaillez à l’accueil d’une entreprise, et que vous êtes sociable, mais peu consciencieux et que la reconnaissance faciale n’est pas votre fort, alors il tentera peut-être une intrusion physique dans les locaux. A chaque prédisposition génétique sa technique d’ingénierie sociale !

Pour parvenir à ses fins et obtenir ces données génétiques, une personne mal intentionnée pourra soit user d’une proximité physique avec sa victime pour récupérer un échantillon de salive, de peau ou un cheveu, soit pirater ses données en ligne… ou tout simplement surfer sur la vague des failles de sécurité et attendre la prochaine fuite de données… à exploiter.

Le séquençage ADN au cœur de l’actualité

Le séquençage ADN a, effectivement, été plus que jamais au cœur de l’actualité ces dernières années :
- Le site Web de généalogie et de tests ADN, MyHeritage, a révélé la fuite des données de 92 millions de ses clients, dont l’origine remonte à 2017.
- Un mystérieux groupe iranien a commencé à pirater des applications de séquenceur d’ADN accessibles sur le Web, en juin dernier, en utilisant une faille zéro day non patchée pour prendre le contrôle des dispositifs ciblés.
- En novembre 2019, l’appartenance de l’ADN a été au cœur d’une polémique. Si vous avez procédé au séquençage de votre ADN, ce dernier fait-il partie du domaine privé ? Le gouvernement peut-il y avoir accès ? Quelle réglementation vient encadrer ces nouvelles pratiques ?
- En novembre dernier, une faille de sécurité de l’entreprise Veritas Genetics a potentiellement exposé les données ADN de ses clients.
- Un groupe prétend avoir récupéré, pendant le dernier Forum de DAVOS, des éléments (cheveux…) appartenant à Angela Merkel, Donald Trump, etc., qu’il revend aux enchères.
- Récemment, l’armée américaine a déconseillé à ses soldats de recourir à ces tests ADN grand public en raison des « risques personnels et opérationnels » que cela comporte. Les explications de l’armée restent assez floues, même si on peut imaginer pourquoi : atteinte au respect de la vie privée, risques de divulgation d’informations confidentielles et de compromission de missions, risques de profiling…

Tous ces éléments montrent bien que le séquençage ADN est plus que jamais au cœur de l’actualité et que les risques sont aujourd’hui bien réels. De la génomique à la SSI, il n’y a donc qu’un pas ! Sans compter toutes les problématiques éthiques, sociales et juridiques que cela comporte…

Si l’envie vous prend malgré tout…

Si jamais l’envie de séquencer votre ADN vous prend malgré tout, avant de vous lancer dans une telle démarche, soyez vigilants et respectez au moins quelques recommandations de base :
- Lisez avec attention les termes du contrat et les conditions générales de ventes ;
- Privilégiez les sociétés européennes, telles que Dante Labs, qui sont conformes au RGPD, ISO 27001…, et qui ont effectué un audit de sécurité récemment ;
- Enfin, préférez les organismes qui ne partagent ni ne vendent les informations recueillies, et qui « savent » supprime vos données en temps utile.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants