Premier test de piratage informatique à partir d'une séquence d'ADN

Premier test de piratage informatique à partir d’une séquence d’ADN
5 images
Premier test de piratage informatique à partir d’une séquence d’ADN - © MATTHEW FEARN - BELGAIMAGE

On en parlait depuis quelques années, mais pour la première fois, des scientifiques ont réussi à créer un logiciel malveillant encodé dans un gène pour pourvoir ensuite modifier le contenu d’un programme informatique. Et si le risque n’est encore que théorique, un laboratoire américain a pu démontrer que "ça fonctionne".

C’est la revue Technology Review du MIT qui annonçait il y a quelques jours  le premier piratage réussi à l’aide d’un logiciel faisant appel de l’ADN. Le malware a été incorporé à une séquence de molécule génétique, permettant aux chercheurs de prendre le contrôle d’un ordinateur. Ordinateur qui est alors infecté via un extrait d’ADN qui se comporte comme un cheval de Troie.

Les auteur de ce piratage théorique sont des scientifiques de l’Université de Washington (Seattle) dirigé par Tadayoshi Kohno. Ils ont pour la première fois encodé un logiciel dans un petit extrait de séquence d’ADN acheté en ligne.

Etonnant scientifique

Tadayoshi Kohno, le patron du Lab, présente un curieux profile. C’est lui qui avait déjà montré, en 2010, comment pirater une automobile via son connecteur de diagnostic. Ou encore comment contrôler le véhicule à distance en utilisant cette fois, les connexions Bluetooth.

On lui doit enfin une technique permettant de contrôler à distance le pacemaker d’un patient cardiaque. Avec tous les dangers que l’on imagine. Mais, cette fois, les choses se compliquent, puisque son équipe a réussi à prendre le "contrôle total" sur un ordinateur qui devait traiter les données génétiques après avoir été lue par une machine de séquençage d'ADN.

Mise en garde contre les biocriminels

Les chercheurs ont mis en garde les laboratoires de génétique contre les pirates informatiques qui pourraient, un jour, utiliser des échantillons de sang synthétique ou de salive pour accéder aux ordinateurs de l'université, voler de l'information provenant de laboratoires de police judiciaire ou infecter des fichiers génomiques partagés par des scientifiques.

"Leur exploit est fondamentalement irréaliste" 

Pour l'instant, le malware de l'ADN ne présenterait pas de risque réel pour la sécurité. Car Les chercheurs admettent que pour faciliter leur intrusion, ils ont créé "les meilleures chances (de réussite) possibles" en désactivant les fonctionnalités de sécurité et en ajoutant une vulnérabilité à un programme de bio-informatique peu utilisé.

La Revue scientifique du MIT relève que, selon Yaniv Erlich, généticien, programmeur et responsable scientifique du site de généalogie MyHeritage.com "leur exploit est fondamentalement irréaliste". 

Comment-ça marche

Pour réussir la transmutation du virus ADN, il faut d’abord produire un brin d’ADN synthétique qui contient un code malveillant. Et ensuite modifier le code source du logiciel de séquençage pour le rendre vulnérable.  (voir graphique , plus bas)

Concrètement, les chercheurs ont d'abord codé un malware classique, avant de le traduire en une longue suite de caractères ADN.

L’équipe a ainsi traduit une simple commande d'ordinateur en un court extrait de 176 caractères d'ADN désignés par A, G, C et T.  (Adénine, Thymine…). Après avoir commandé des copies de l'ADN d'un fournisseur pour 89 $, les chercheurs ont alimenté de ces extraits une machine de séquençage, qui a lu les lettres génétiques pour les stocker comme de vulgaires données informatiques binaires 0 et 1.

Le généticien Yaniv Erlich affirme que l'attaque a profité d'un effet de déversement (spill-over). C’est ce qui arrive lorsque les flux des données dépassent la capacité d’un tampon de stockage. Dans ce cas-ci, la commande ainsi contacté un serveur (contrôlé par l'équipe de Kohno), depuis lequel les chercheurs ont pris le contrôle d'un ordinateur situé dans le laboratoire auquel ils avaient fait appel pour analyser le fichier ADN. L’ordinateur s’est alors retrouvé en communication avec un serveur contrôlé par l’équipe de Kohono. Et cette dernière n’a eu aucun mal à prendre le contrôle du système à distance.

Les laboratoires qui fabriquent de l’ADN de synthèse et l’expédient aux scientifiques ont déjà été alertés du risque bioterroriste potentiels.

L’équipe de l’université de Washington met également en garde contre les pirates qui pourraient utiliser des moyens plus conventionnels pour cibler les données génétiques des personnes, précisément parce qu'elles apparaissent de plus en plus en ligne.

Les conclusions à tirer de cette expérience

La première conclusion est que les logiciels utilisés pour traiter et analyser l’ADN séquencé sont mal sécurisés.

Un tel piratage théoriquement possible demeure, aujourd'hui peu probable en pratique. Et les victimes en seraient moins les citoyens que les sociétés de séquençage d’ADN. Mais il s’agit tout de même de données qui nous sont particulièrement intimes.

Or, la multiplication des outils de bio-informatiques pourrait attiser les passions. Il est aujourd’hui facile de commander en ligne des tests génétiques pour connaître ses ascendants, dépister des maladies ou identifier nos traits de caractères. Une Enterprise belge (Gene Plaza) vient d’ailleurs de se lancer dans ce business.

Estimer les risques de nouvelles menaces de sécurité

Pour partager cette découverte avec des spécialistes du secteur de la sécurité, les chercheurs présentent ce nouveau Malware ADN au Usenix Security Symposium de Vancouver qui se déroule actuellement (du 16 au 18 août). Le but de cette présentation est de pouvoir identifier, grâce aux nombreux spécialistes présents, les "technologies émergentes" et estimer les risques de nouvelles menaces de sécurité. Le (long)  rapport présenté par les chercheurs au Usenix Security Symposium est lisible ici

Newsletter info

Recevez chaque matin l’essentiel de l'actualité.

OK