Dès que 23andMe a déposé le bilan, les inquiétudes concernant ses vastes données génétiques et personnelles ont explosé. Peu de temps après, un juge américain a statué que l’entreprise pouvait vendre ses données de consommateurs dans le cadre de la faillite, déclenchant des alarmes sur l’utilisation abusive potentielle d’informations sensibles. Bien que la plupart se soient concentrés sur les données génétiques, le véritable risque pour la vie privée réside dans les informations d’enquête personnelles que l’entreprise a recueillies. Qu’il s’agisse de détails sur la santé ou d’habitudes de vie, ces réponses apparemment inoffensives représentent aujourd’hui une menace bien plus grande, surtout lorsqu’elles sont combinées à des données génétiques que les clients pensaient anonymes.

Les données génétiques : pas seulement un échantillon, mais un risque pour la sécurité

Lorsque les clients ont envoyé leur ADN à 23andMe, ils ont remis plus qu’un simple échantillon biologique. Ils ont renoncé à un profil détaillé de leurs traits génétiques, de leurs risques pour la santé et de leurs antécédents familiaux. Bien que ces données puissent profiter aux chercheurs, elles créent également un risque de sécurité si elles sont utilisées à mauvais escient.

Mais la menace va au-delà de la génétique. 23andMe a également collecté de grandes quantités de données d’enquête personnelles. Plus de 85 % des utilisateurs ont consenti à partager des informations sensibles sur leur santé, leurs habitudes et même leurs vulnérabilités personnelles telles que leurs habitudes de consommation d’alcool et leur tolérance au risque. Combiné aux données génétiques, cela crée un profil d’utilisateur très détaillé.

Cette double menace – les données génétiques et les réponses personnelles aux enquêtes – fait de la base de données de 23andMe une cible pour l’espionnage industriel, l’usurpation d’identité et la manipulation géopolitique.

Le problème de la protection de la vie privée des données d’enquête personnelles

Alors qu’une grande partie de l’inquiétude du public se concentre sur la vente de données génétiques, le problème le plus pressant réside dans la richesse des données d’enquête personnelles collectées par 23andMe. Ces informations – sur des choses comme les problèmes de santé, la santé mentale et même les préférences en matière de mode de vie – sont beaucoup plus personnelles que beaucoup ne le pensent. Il s’agit d’informations qui, si elles sont mal gérées ou vendues à la mauvaise entité, pourraient être utilisées à des fins de publicité ciblée, de manipulation ou même de discrimination.

Par exemple, si les données étaient consultées par les compagnies d’assurance-vie, cela pourrait conduire à des pratiques discriminatoires fondées sur des prédispositions génétiques ou des risques pour la santé. Les informations personnelles glanées à partir des réponses aux enquêtes pourraient être utilisées par les spécialistes du marketing ou même les agences gouvernementales pour établir des profils détaillés à des fins de manipulation ou de surveillance.

Il suffit de regarder le cas de GEDmatch, où les forces de l’ordre ont utilisé des données génétiques pour appréhender le Golden State Killer, pour comprendre les dangers potentiels d’un accès illimité à ce type d’informations. En 2018, la police a téléchargé un ancien échantillon de sang de scène de crime dans GEDmatch, qui correspondait à un parent éloigné dans la base de données. Cela a violé les politiques de confidentialité de la plateforme, mais a conduit à une arrestation réussie. La situation soulève une question inconfortable : les données de 23andMe pourraient-elles un jour être utilisées de la même manière, pour des enquêtes criminelles ou, pire, pour la surveillance gouvernementale ?

Données d’enquête : l’actif le plus dangereux

Alors que la vente de données génétiques présente des risques évidents, les données d’enquête détenues par 23andMe sont sans doute tout aussi dangereuses, sinon plus. Il s’agit de l’information qui révèle les choix de mode de vie, la santé mentale, les vulnérabilités et les comportements sociaux d’une personne. Comme l’a souligné le professeur Kayte Spector-Bagdady, les idées personnelles sur les peurs, les espoirs et les limites d’une personne ne sont pas seulement précieuses pour l’entreprise qui les recueille – elles sont précieuses pour quiconque est prêt à les exploiter.

Prenons, par exemple, les données relatives à la santé mentale ou aux habitudes sociales d’une personne. Cela peut être utilisé pour les cibler avec des publicités manipulatrices, exploiter leurs vulnérabilités émotionnelles ou même leur vendre des produits dont ils n’ont pas besoin. Comme nous l’avons vu avec les plateformes de médias sociaux comme Facebook, où les données des utilisateurs sont collectées pour influencer le comportement des consommateurs, les enjeux en matière de confidentialité sont élevés.

Les risques d’utilisation abusive des données ne sont pas seulement hypothétiques. Les recherches de Cybernews montrent que les violations de données de santé sont très courantes, 65 % des 100 plus grands hôpitaux et systèmes de santé américains ayant récemment été victimes d’une violation. Le fait que 79 % de ces institutions aient obtenu de mauvais résultats en matière de cybersécurité souligne à quel point les informations sensibles peuvent être vulnérables. Si les systèmes de santé, qui gèrent des données beaucoup moins détaillées, sont sujets à des violations, les risques liés à la richesse des informations personnelles et génétiques de 23andMe sont tout aussi importants.

Lorsqu’elles sont combinées à d’autres points de données disponibles sur Internet, tels qu’un profil de rencontre, une activité sur les réseaux sociaux ou même un dossier médical, les données de l’enquête de 23andMe créent une image incroyablement détaillée d’un individu. Cela pourrait conduire à des attaques personnalisées, à la cyberintimidation ou à la fraude financière, ainsi qu’à des formes plus insidieuses de manipulation par ceux qui ont accès à ces données.

L’IA, le croisement des données et la fin de l’anonymat

Les risques sont aggravés par les progrès de l’IA et de l’analyse des données, qui peuvent croiser les données génétiques et d’enquête avec les registres publics, les médias sociaux et d’autres bases de données. Cette combinaison de machine learning et de vastes jeux de données permet d’identifier les individus avec une grande précision, même lorsque leurs données sont censées être anonymisées.

Par exemple, alors que 23andMe assure aux consommateurs que leurs données sont protégées, la réalité est que l’IA peut faire de l’ingénierie inverse des identités à partir de données anonymisées.

À PROPOS DE L’EXPERT

Aras Nazarovas est chercheur en sécurité de l’information chez Cybernews, une publication en ligne axée sur la recherche. Aras est spécialisé dans la cybersécurité et l’analyse des menaces. Il enquête sur les services en ligne, les campagnes malveillantes et la sécurité matérielle tout en compilant des données sur les menaces de cybersécurité les plus courantes. Aras et l’équipe de recherche de Cybernews ont découvert d’importants problèmes de confidentialité et de sécurité en ligne ayant un impact sur des organisations et des plateformes telles que la NASA, Google Play, l’App Store et PayPal. L’équipe de recherche de Cybernews mène plus de 7 000 enquêtes et publie plus de 600 études par an, aidant les consommateurs et les entreprises à mieux comprendre et à atténuer les risques de sécurité des données.

Recherches précédentes de Cybernews :

1. Les chercheurs de Cybernews ont analysé 156 080 applications iOS sélectionnées au hasard – environ 8 % des applications présentes sur l’App Store – et ont découvert un énorme oubli : 71 % d’entre elles exposent des données sensibles.
2. Récemment, Bob Dyachenko, chercheur en cybersécurité et propriétaire de SecurityDiscovery.com, et l’équipe de recherche sur la sécurité de Cybernews ont découvert un index Elasticsearch non protégé, qui contenait un large éventail de détails personnels sensibles liés à l’ensemble de la population de Géorgie.
3. L’équipe a analysé le trafic Web du nouveau smartphone Pixel 9 Pro XL et a constaté que le dernier smartphone phare de Google transmet fréquemment des données privées d’utilisateurs au géant de la technologie avant l’installation d’une application.
4. L’équipe a révélé qu’une fuite massive de données chez MC2 Data, une société de vérification des antécédents, affecte un tiers de la population américaine.
5. L’équipe de recherche en sécurité de Cybernews a découvert que les 50 applications Android les plus populaires nécessitent en moyenne 11 autorisations dangereuses.
6. Ils ont révélé que deux créateurs de PDF en ligne ont divulgué des dizaines de milliers de documents d’utilisateurs, notamment des passeports, des permis de conduire, des certificats et d’autres informations personnelles téléchargées par les utilisateurs.
7. Une analyse de Cybernews Research a découvert plus d’un million de secrets publiquement exposés à partir de plus de 58 000 fichiers d’environnement exposé (.env) de sites Web.
8. L’équipe a révélé que l’instance dirigeante du football australien, Football Australia, a divulgué des clés secrètes qui pourraient ouvrir l’accès à 127 ensembles de données, y compris les données personnelles des acheteurs de billets et les contrats et documents des joueurs.
9. L’équipe de recherche de Cybernews, en collaboration avec le chercheur en cybersécurité Bob Dyachenko, a découvert une fuite de données massive contenant des informations provenant de nombreuses violations passées, comprenant 12 téraoctets de données et couvrant plus de 26 milliards d’enregistrements.
10. L’équipe a analysé le site Web de la NASA et a découvert une vulnérabilité de redirection ouverte qui sévit sur le site Web d’astrobiologie de la NASA.
11. L’équipe a enquêté sur 30 000 applications Android et a découvert que plus de la moitié d’entre elles divulguent des secrets qui pourraient avoir d’énormes répercussions sur les développeurs d’applications et leurs clients.