La mégarde d’une société spécialisée dans les tests ADN sur le plan de la cybersécurité a débouché sur son piratage. Au cours de leur intrusion, les pirates ont siphonné les informations liées au génome de millions de clients. Cinq serveurs, sur lesquelles étaient sauvegardées 28 bases de données, ont été concernés par l’attaque.
En 2021, l’entreprise américaine de test de paternité et ADN, DNA Diagnostics Center (DDC), a subi un piratage informatique. Des cybercriminels ont infiltré ses bases de données entre les 24 mai et 28 juillet 2021. Ils ont alors collecté les renseignements concernant l’ADN de 2,1 millions d’individus .
Outre le génome, les malfaiteurs ont par ailleurs subtilisé les données de paiement de l’ensemble des clients. Leurs numéros de Sécurité sociale ainsi que leurs noms sont aussi en leur possession . Des informations qui, comme le rappellent sans cesse les experts cybersécurité , mettent en péril leurs propriétaires. Des hackers sont en effet susceptibles de s’en servir notamment à des fins d’hameçonnage.
DNA Diagnostics Center entend renforcer sa sécurité informatique
Ces données avaient été acquises par l’intermédiaire d’Orchid Cellmark , une entreprise de médecine légale reprise par la DDC en 2012. Selon la société américaine, elles ont été obtenues par inadvertance au moment du rachat. DNA Diagnostics Center souligne ne les avoir jamais exploitées. En réalité, la firme ne s’était même pas rendu compte que ces informations étaient renfermées dans ses serveurs . Pour sa défense, elle précise que leur existence n’a jamais été découverte. Pourtant, le groupe assure avoir réalisé un relevé de ses archives.
Les procureurs généraux de l’Ohio et de Pennsylvanie ont rapidement ouvert une investigation. Les enquêteurs ont constaté que l’entreprise américaine a transgressé le Health Insurance Portability and Accountability Act , en vigueur depuis 1996. L’infraction s’explique par la négligence des mises en garde de son prestataire, ont-ils déclaré. Cette législation fixe les impératifs fédéraux réglementaires concernant la confidentialité et de la sécurité des informations de santé.
À la suite de cette affaire, la DDC s’est vue infliger une amende de 400 000 dollars au total. Une procureure générale justifie qu’à mesure que les pirates accèdent à des données, la vulnérabilité des titulaires augmente . Le groupe, qui se pose comme le numéro un mondial des tests ADN a promis d’améliorer ses pratiques de cybersécurité. Des mises à jour, un nouveau relevé des archives et des appréciations des risques sont prévus .
Les voleurs ont exigé une rançon
Dans les détails, un logiciel appelé Cobalt Strike a réussi à entrer dans le réseau de DNA Diagnostics Center. Le programme est aussi bien utilisé par des hackers que par des spécialistes de la sécurité informatique, pour :
- Procéder à des simulations d’espionnage ;
- Expérimenter des protocoles.
Détourné par les pirates, il peut être persistant, exécuter des commandes arbitraires ou téléverser/télécharger des fichiers sur l’appareil contaminé .
Sa présence a été détectée par une entreprise missionnée pour inspecter les renseignements possédés par la DDC. La société a aussitôt avisé le groupe d’une activité suspecte sur le réseau. Un avertissement en vain, puisque ce dernier n’y a pas réagi immédiatement pour une raison qu’on ignore. Selon les autorités américaines, le prestataire a alerté à plusieurs reprises DNA Diagnostics Center par e-mail pendant une soixantaine de jours.
La décision du spécialiste des tests de paternité de prendre des dispositions est survenue trop tard. Les hackers avaient dérobé les informations et exigé une rançon, dont le montant reste secret. Ils s’engageaient à les effacer en contrepartie, la DDC a alors cédé au chantage. Les cybercriminels allèguent avoir supprimé l’ensemble des renseignements détournés .