Une brèche de sécurité a permis d'exposer plus d'un million de profils d'ADN dans GEDmatch,
Une importante base de données généalogique en ligne

Le service de comparaison d'ADN de GEDmatch, un site Web qui propose un service en ligne permettant de rapprocher les fichiers d'ADN autosomiques de différentes sociétés, a été victime d'une violation de données, selon une publication du service sur Facebook. GEDmatch est surtout connue pour ses analyses d'ADN qui ont conduit à l'arrestation du "Golden State Killer" en 2018. Plus 1 million d'enregistrements d'ADN appartenant à des utilisateurs auraient été mis à la disposition des services répressifs, et des adresses électroniques de certains ont été utilisées dans une attaque de phishing contre les utilisateurs de MyHeritage, un autre site de généalogie de premier plan.

Les données de GEDmatch peuvent être utilisées pour établir des correspondances familiales et trouver des parents afin de remplir son arbre généalogique par le biais de l'ADN. Le service en ligne est aussi utilisé pour aider les services de police à trouver des correspondances partielles avec l'ADN des scènes de crime. Depuis 2019, l'entreprise ne partage les données ADN avec les services de répression que lorsque les utilisateurs ont choisi d'autoriser le partage de leur ADN. Mais le dimanche 19 juillet, les amateurs de la généalogie qui utilisent le site GEDmatch pour télécharger leurs informations ADN ont été informés du piratage du site Web qui a partagé tout l'ADN de la base de données.

Nom : dna01.jpg
Affichages : 3055
Taille : 23,0 Ko

Deux jours après la première alerte, MyHeritage, basé en Israël, a annoncé le 21 juillet que certains de ses utilisateurs avaient été victimes d'une attaque de phishing pour obtenir leurs données de connexion au site Web par le biais d’une fausse page de connexion – en supposant que les adresses électroniques des victimes du phishing avaient été obtenues par les attaquants lors du piratage de GEDmatch.

Cette nouvelle a sapé les efforts de Verogen, la société de génétique médico-légale qui a acheté GEDmatch en décembre dernier, pour convaincre les utilisateurs qu'elle protégerait leur vie privée tout en poursuivant une activité basée sur l'utilisation de la généalogie génétique pour aider à résoudre des crimes violents.

Dans une déclaration publiée sur Facebook, Verogen a attribué la divulgation soudaine des profils GEDmatch à « une faille de sécurité orchestrée par une attaque sophistiquée sur l'un de nos serveurs via un compte utilisateur existant ».

« À la suite de cette brèche, toutes les autorisations des utilisateurs ont été réinitialisées, rendant tous les profils visibles pour tous les utilisateurs. Cela a été le cas pendant environ 3 heures », a déclaré GEDmatch dans son post sur Facebook lundi. « Pendant ce temps, les utilisateurs qui n'ont pas opté pour l’appariement des services de police étaient disponibles pour l’appariement des services de police et, inversement, tous les profils des services de police ont été rendus visibles aux utilisateurs de GEDmatch », lit-on.

Dans l’affaire Golden State Killer, les enquêteurs avaient partiellement fait correspondre l'ADN trouvé sur la scène d'un double meurtre en 1980 aux profils sur GEDmatch qui appartenaient aux parents éloignés de l'auteur présumé du crime, Joseph James DeAngelo. Grâce à des recherches minutieuses, ils ont établi des arbres généalogiques qui ont finalement convergé vers DeAngelo. Depuis lors, des dizaines de meurtriers et de violeurs présumés ont été identifiés de la même manière, selon BuzzFeed News. Mais cela a provoqué une grande fracture dans le monde de la généalogie. Si certains généalogistes travaillent désormais avec la police, d'autres affirment que la confidentialité des données génétiques a été compromise.

Depuis lors, les utilisateurs devaient explicitement opter pour une recherche par les forces de l'ordre. C’est ainsi qu’environ 280 000 profils sur 1,45 million avaient été sélectionnés de sorte que leurs profils soient visibles par les services de répression. Comme l’a expliqué Verogen, le piratage de dimanche a modifié les paramètres de sorte que les 1,45 million de profils ADN ont été choisis comme étant pour les recherches des forces de l'ordre.

Les généalogistes, y compris ceux qui travaillent avec la police, craignaient que les nouvelles failles de sécurité ne découragent les gens de mettre leurs profils ADN en ligne, ce qui nuirait à la fois à la communauté généalogique en ligne et aux efforts pour résoudre les affaires non résolues, a rapporté BuzzFeed News.

« C'est un niveau de mal supérieur », a déclaré à BuzzFeed News Leah Larkin, généalogiste à Livermore (Californie), qui est un fervent défenseur de la confidentialité des données génétiques. « À long terme, si les gens décident qu'ils ont moins confiance en GEDmatch et que cela entraîne plus de suppressions de profils, ce n'est pas une bonne chose », a déclaré à BuzzFeed News CeCe Moore, généalogiste en chef de la société Parabon NanoLabs, qui travaille avec la police pour résoudre les crimes violents.

Les données du piratage utilisées dans une attaque de phishing contre les utilisateurs de MyHeritage

Après l’attaque du dimanche, le service normal de GEDmatch avait brièvement repris, mais le 20 juillet, les autorisations sur tous les profils avaient de nouveau été permutées, cette fois-ci en bloquant les recherches des forces de l'ordre dans toute la base de données, tout en rendant visibles les profils marqués "Recherche", qui sont censés être cachés de toutes les recherches, a déclaré Moore. Le site a ensuite été mis hors ligne.

Verogen a affirmé, après la deuxième alerte, qu'aucune donnée d'utilisateur n'a été téléchargée ou compromise, et que la société travaille « avec une entreprise de cybersécurité pour mener une étude médico-légale complète et nous aider à mettre en œuvre les meilleures mesures de sécurité possible ».

Nom : dna02.png
Affichages : 2742
Taille : 104,5 Ko
L'e-mail de phishing envoyé par les attaquants


Mais, le 21 juillet, le site de généalogie MyHeritage a averti ses clients que les personnes possédant des comptes chez GEDmatch étaient visées par un courriel de phishing qui les envoyait sur une fausse page de connexion au domaine myheritaqe.com - qui remplaçait le "g" de MyHeritage par un "q" - pour récolter leurs noms d'utilisateur et leurs mots de passe.

« Parce que GEDmatch a subi une violation de données il y a deux jours, nous soupçonnons que c'est ainsi que les auteurs ont obtenu leurs adresses e-mail et leurs noms pour cet abus », a noté MyHeritage dans un article de blog. « Nous avons pu déterminer que 105 utilisateurs distincts ont été attirés par le phishing pour atteindre le faux site Web jusqu'à présent. Parmi ces utilisateurs, nous avons découvert que 16 d'entre eux ont été victimes du site Web et y ont entré leur mot de passe. Ce nombre pourrait être plus élevé à l'heure actuelle. Nous avons essayé de contacter chacun de ces utilisateurs individuellement pour les avertir de changer à nouveau leur mot de passe et de mettre en place une authentification à deux facteurs sur MyHeritage », a déclaré la société.

« Cette brèche est particulièrement alarmante en raison de la nature hautement sensible des données que les utilisateurs confient à la plateforme », a déclaré dans un communiqué Mark Bagley, vice-président produit chez la société de sécurité d'entreprise AttackIQ. « Le profil ADN d'une personne est unique et immuable et les données des clients ont été partagées sans leur consentement. En outre, l'attaque met en lumière la façon dont les pirates informatiques sont devenus plus créatifs dans leurs motivations, ciblant les organisations non seulement pour des gains monétaires, mais aussi pour des informations puissantes ».

Mais ce qui est encore plus alarmant, a-t-il ajouté, c'est que GEDmatch a été piraté deux fois en deux jours, révélant une faille majeure dans sa stratégie de cybersécurité. « Une approche active pour quantifier la performance des défenses face à des comportements adverses connus est impérative », a-t-il déclaré. « Cela devrait inclure un test continu des environnements de sécurité pour combler les lacunes défensives avant qu'elles ne puissent être exploitées par un adversaire ».

Selon un commentateur, cette attaque était prévisible : « J'ai attendu cela. Désolé pour tous ceux qui sont concernés, mais c'est peut-être un signe pour les autres de ne pas donner leur ADN à une entreprise au hasard ». « Et aussi pour ne pas être lié à quelqu'un qui a donné son ADN à une entreprise au hasard », a ajouté un autre. Et vous, qu’en pensez-vous ?

Sources : Post Facebook, MyHeritage

Et vous ?

Qu’en pensez-vous ?
Avez-vous un profil sur GEDmatch ? Qu’allez-vous faire après ces incidents ?
Pensez-vous que les utilisateurs se rendent compte que la décision d’ajouter leur ADN sur ces sites de généalogie ne se limite pas à eux seuls ?

Voir aussi :

USA : un système informatique du département de la santé piraté, et les données personnelles de plus de 75 000 individus compromises
Des millions de données médicales dont des images de radiologie ou de mammographies ont été mises en ligne, sans mesures de protection élémentaires et sont accessibles à tous
Piratage de données financières de la Bulgarie : la nation entière a été frappée, les données de plus de 5 millions de personnes rendues publiques
76 % des chefs d'entreprises perdent le sommeil à cause des soucis de cybersécurité, pourtant, moins de la moitié estime que leur entreprise a mis en place une stratégie efficace, selon une enquête