Une cyberattaque pourrait entrainer des scientifiques à produire des substances dangereuses

Benoit Grunemwald, Expert en Cyber sécurité, ESET France

Sans jamais mettre les pieds dans un laboratoire, un acteur de la menace pourrait duper les chercheurs en ADN pour créer des agents pathogènes, selon une étude décrivant une cyber-attaque biologique de bout en bout.

Les chercheurs ont décrit une cyberattaque potentielle qui pourrait être utilisée pour tromper des scientifiques et les amener à produire des substances biologiques dangereuses, des toxines et des virus synthétiques.

L’article, rédigé par des chercheurs de l’université Ben-Gourion du Néguev en Israël, met en lumière les risques potentiels que des cyberattaquants utilisent des logiciels malveillants pour détourner l’ordinateur d’un scientifique et interférer avec le processus de synthèse de l’ADN.

« Alors que la synthèse de l’ADN se répand, on craint de plus en plus qu’une cyberattaque intervenant avec des ordres de synthèse de l’ADN puisse conduire à la synthèse d’acides nucléiques codant pour des parties d’organismes pathogènes ou des protéines et toxines nocives », souligne l’équipe au journal scientifique Nature Biotechnology.

Selon les chercheurs, l’attaque exploiterait une faiblesse dans la conception du cadre de sélection des fournisseurs d’ADN double brin synthétique et de son successeur, le protocole de sélection harmonisé v2.0, qui permet de contourner ces protocoles par une procédure d’obscurcissement générique. En combinant cela avec des mesures de cybersécurité inadéquates protégeant le pipeline du génie génétique synthétique, un acteur de menace à distance pourrait s’immiscer dans les processus biologiques.

« Ensemble, ces faiblesses facilitent une attaque cyberbiologique de bout en bout, dans laquelle un attaquant distant peut injecter de l’ADN pathogène obscurci dans un ordre en ligne de gènes synthétiques, en utilisant un plugin de navigateur malveillant », expliquent les chercheurs.

Le document de recherche démontre un scénario d’attaque potentiel qui utilise cette combinaison de faiblesses et permet à un acteur distant de duper la cible en créant une substance dangereuse sans qu’aucune interaction physique ne soit nécessaire du côté de l’attaquant.

L’attaquant devrait commencer par compromettre l’ordinateur de la cible par une attaque de type man-in-the-browser. Lorsque la marque conçoit une expérience sur l’ADN et commande en ligne de l’ADN synthétique à une société de synthèse d’ADN, l’attaquant en remplace une partie par un fragment de l’ADN pathogène qui est obscurci et séquencé en vue d’une désobfuscation ultérieure.

Comme l’ADN malveillant est obscurci, il n’est pas détecté par le processus de dépistage. La commande est livrée à la cible, et même si elle est vérifiée après le séquençage, l’inspection est effectuée à l’aide d’ordinateurs compromis, qui ne signaleront pas l’ADN. Au final, une substance nocive serait produite.

L’équipe de recherche a pu prouver la viabilité de la menace en menant une attaque de validation de concept, où elle a réussi à encoder l’ADN d’un peptide toxique et à le faire passer à la phase de production, tout en évitant la détection par le logiciel de dépistage. Ils ont ensuite révélé la menace au Consortium international de synthèse des gènes et partagé des conseils sur la manière de l’atténuer.

Les contre-mesures consistent à renforcer les protocoles de cybersécurité, notamment en ajoutant des signatures électroniques aux ordres de séquences et en proposant des méthodes de détection des intrusions, tout en utilisant l’apprentissage automatique pour identifier les codes malveillants.

Les experts terminent avec quelques mises en garde : « Les cyberdangers s’étendent à l’espace physique, brouillant la séparation entre le monde numérique et le monde réel, en particulier avec les niveaux croissants d’automatisation dans le laboratoire biologique. Les meilleures pratiques et normes doivent être intégrées dans les protocoles biologiques opérationnels pour combattre ces menaces ».

Quitter la version mobile