Une faille de sécurité a exposé plus d’un million de profils ADN sur une importante base de données généalogiques

Le 19 juillet, les amateurs de généalogie qui utilisent le site web GEDmatch pour télécharger leurs informations ADN et trouver des parents pour remplir leurs arbres généalogiques ont eu une mauvaise surprise. Soudainement, plus d’un million de profils ADN qui avaient été cachés aux policiers utilisant le site pour trouver des correspondances partielles avec l’ADN des scènes de crime étaient disponibles pour la police.

La nouvelle a sapé les efforts de Verogen, la société de génétique médico-légale qui a acheté GEDmatch en décembre dernier, pour convaincre les utilisateurs qu’elle protégerait leur vie privée tout en poursuivant une activité basée sur l’utilisation de la généalogie génétique pour aider à résoudre les crimes violents.

Une deuxième alerte a été donnée le 21 juillet, lorsque MyHeritage, un site web de généalogie basé en Israël, a annoncé que certains de ses utilisateurs avaient fait l’objet d’une attaque par hameçonnage pour obtenir leurs coordonnées de connexion au site – en ciblant apparemment les adresses électroniques obtenues lors de l’attaque contre GEDmatch deux jours auparavant.

Dans une déclaration envoyée par courriel à BuzzFeed News et publiée sur Facebook, Verogen a expliqué que le démasquage soudain des profils GEDmatch qui étaient censés être cachés aux forces de l’ordre a été « orchestré par une attaque sophistiquée sur l’un de nos serveurs via un compte utilisateur existant. »

Publicité

« À la suite de cette violation, toutes les autorisations des utilisateurs ont été réinitialisées, rendant tous les profils visibles pour tous les utilisateurs. Cela a été le cas pendant environ 3 heures », précise le communiqué. « Pendant ce temps, les utilisateurs qui n’avaient pas opté pour le jumelage des forces de l’ordre étaient disponibles pour le jumelage des forces de l’ordre et, inversement, tous les profils des forces de l’ordre ont été rendus visibles aux utilisateurs de GEDmatch. »

La généalogie génétique d’investigation a explosé sur la scène en avril 2018 avec l’arrestation de Joseph James DeAngelo, présumé être le Golden State Killer. DeAngelo a plaidé coupable de 13 meurtres et a admis des dizaines d’autres crimes le mois dernier. Les enquêteurs avaient partiellement fait correspondre l’ADN trouvé sur la scène d’un double meurtre en 1980 à des profils sur GEDmatch qui appartenaient à des parents éloignés de l’auteur du crime. Grâce à des recherches minutieuses, ils ont construit des arbres généalogiques qui ont fini par converger vers DeAngelo.

Depuis, des dizaines de meurtriers et de violeurs présumés ont été identifiés de la même manière. Mais cela a provoqué une grande division au sein du monde de la généalogie. Alors que certains généalogistes travaillent maintenant avec la police, d’autres affirment que la confidentialité génétique a été compromise.

La solution de GEDmatch, qui fait suite à un incident controversé dans lequel le site a plié ses propres règles pour permettre à la police d’enquêter sur une agression violente moins grave, était que les utilisateurs devraient explicitement opter pour la recherche par les forces de l’ordre. Selon Verogen, environ 280 000 des 1,45 million de profils avaient été activés avant le piratage. La brèche de dimanche a modifié les paramètres de sorte que les 1,45 million de profils ADN étaient optants pour les recherches par les forces de l’ordre.

Publicité

Les généalogistes des deux côtés de ce débat hargneux ont déclaré à BuzzFeed News qu’ils craignaient que les nouvelles brèches de sécurité découragent les gens de mettre leurs profils ADN en ligne – nuisant à la fois à la communauté de généalogie en ligne et aux efforts pour résoudre les affaires non résolues.

« C’est un tout nouveau niveau de mauvais », a déclaré à BuzzFeed News Leah Larkin, généalogiste à Livermore, en Californie, qui est un défenseur acharné de la confidentialité génétique.

« À long terme, si les gens décident qu’ils ont moins confiance en GEDmatch et que cela conduit à plus de suppressions de profils, ce n’est pas une bonne chose », a déclaré à BuzzFeed News CeCe Moore, généalogiste en chef de la société Parabon NanoLabs, qui travaille avec la police pour résoudre les crimes violents.

On ne sait pas si des profils non autorisés ont été recherchés par les forces de l’ordre. Cependant, Mme Moore a déclaré à BuzzFeed News que son équipe, qui est responsable de la plupart des identifications de suspects criminels réalisées grâce à la généalogie génétique jusqu’à présent, était hors ligne à ce moment-là. « Nous n’avons rien vu que nous n’aurions pas dû voir », a-t-elle déclaré.

Le service normal de GEDmatch avait brièvement repris après le piratage initial, mais le 20 juillet, Moore a remarqué que les autorisations sur tous les profils avaient été changées à nouveau, cette fois-ci bloquant les recherches des forces de l’ordre sur l’ensemble de la base de données, mais rendant visibles les profils marqués comme « Recherche », qui sont censés être cachés de toutes les recherches.

Le site a été rapidement mis hors ligne et remplacé par le message : « Le site gedmatch est hors service pour maintenance – Actuellement pas d’ETA. »

« Nous travaillons avec une entreprise de cybersécurité pour effectuer un examen médico-légal complet et nous aider à mettre en œuvre les meilleures mesures de sécurité possibles », a déclaré la déclaration de Verogen, qui a été publiée après le deuxième incident.

Publicité

La violation est embarrassante pour Verogen, dont les utilisateurs espéraient qu’elle apporterait une approche plus professionnelle de la confidentialité génétique lorsqu’elle a acheté le site il y a sept mois. Avant Verogen, GEDmatch a été fondé et géré par deux amateurs de généalogie, Curtis Rogers et John Olson.

Pour autant, la déclaration de l’entreprise a rassuré les utilisateurs : « Aucune donnée utilisateur n’a été téléchargée ou compromise. »