211service.com
Des scientifiques piratent un ordinateur à l'aide d'ADN
Dans ce qui semble être le premier piratage réussi d'un logiciel utilisant l'ADN, les chercheurs affirment qu'un logiciel malveillant qu'ils ont incorporé dans une molécule génétique leur a permis de prendre le contrôle d'un ordinateur utilisé pour l'analyser.
Le malware biologique a été créé par des scientifiques de l'Université de Washington à Seattle, qui l'appellent le premier exploit basé sur l'ADN d'un système informatique.
Pour effectuer le piratage, des chercheurs dirigés par Tadayoshi Kohno (voir Innovateurs de moins de 35 ans, 2007) et Luis Ceze ont encodé un logiciel malveillant dans une courte portion d'ADN qu'ils ont acheté en ligne. Ils l'ont ensuite utilisé pour prendre le contrôle total d'un ordinateur qui tentait de traiter les données génétiques après leur lecture par une machine de séquençage d'ADN.
Les chercheurs avertissent que les pirates pourraient un jour utiliser de faux échantillons de sang ou de crachats pour accéder aux ordinateurs universitaires, voler des informations aux laboratoires médico-légaux de la police ou infecter des fichiers génomiques partagés par des scientifiques.
Pour l'instant, les logiciels malveillants ADN ne posent pas beaucoup de risques pour la sécurité. Les chercheurs admettent que pour réussir leur intrusion, ils ont créé les meilleures chances de succès possibles en désactivant les fonctions de sécurité et même en ajoutant une vulnérabilité à un programme bioinformatique peu utilisé. Leur papier apparaît ici .
Leur exploit est fondamentalement irréaliste, déclare Yaniv Erlich, généticien et programmeur qui est directeur scientifique de MyHeritage.com, un site Web de généalogie.
Auparavant, Kohno a été parmi les premiers à montrer comment pirater une automobile via son port de diagnostic, puis a également obtenu un accès à distance en attaquant des voitures via des connexions Bluetooth.
Le nouveau malware ADN sera présenté la semaine prochaine au Symposium Usenix sur la sécurité à Vancouver. Nous examinons les technologies émergentes et demandons s'il y a des menaces de sécurité à venir qui pourraient se manifester, donc l'idée est d'aller de l'avant, explique Peter Ney, étudiant diplômé du laboratoire de recherche sur la sécurité et la confidentialité de Kohno.
Pour créer le logiciel malveillant, l'équipe a traduit une simple commande informatique en une courte séquence de 176 lettres d'ADN, notées A, G, C et T. Après avoir commandé des copies de l'ADN à un fournisseur pour 89 $, ils ont transmis les brins à un machine de séquençage, qui lit les lettres des gènes, les stockant sous forme de chiffres binaires, 0 sable un s.
Erlich dit que l'attaque a profité d'un effet de débordement, lorsque les données qui dépassent un tampon de stockage peuvent être interprétées comme une commande informatique. Dans ce cas, la commande a contacté un serveur contrôlé par l'équipe de Kohno, à partir duquel ils ont pris le contrôle d'un ordinateur dans leur laboratoire qu'ils utilisaient pour analyser le fichier ADN.
Les entreprises qui fabriquent des brins d'ADN synthétiques et les envoient aux scientifiques sont déjà à l'affût des bioterroristes. À l'avenir, suggèrent les chercheurs, ils pourraient également devoir commencer à vérifier les séquences d'ADN pour détecter les menaces informatiques.
L'équipe de l'Université de Washington prévient également que les pirates pourraient utiliser des moyens plus conventionnels pour cibler les données génétiques des personnes, précisément parce qu'elles apparaissent de plus en plus en ligne (voir 10 Breakthrough Technologies 2015 : Internet of DNA) et sont même accessibles via des magasins d'applications (voir 10 Breakthrough Technologies 2016 : ADN App Store).
Dans certains cas, les programmes scientifiques utilisés pour organiser et interpréter les données ADN ne sont pas activement maintenus, ce qui pourrait créer des risques, explique James Bonfield, expert en bioinformatique au Sanger Institute, au Royaume-Uni. Bonfield dit qu'il est l'auteur du programme que les chercheurs de l'Université de Washington ont ciblé dans leur attaque. Il dit que le programme court, fqzcomp, a été écrit comme une expérience pour un concours de compression de fichiers et n'a probablement jamais été utilisé.