Informatique Pirater un ordinateur grâce à l’ADN
Des chercheurs sont parvenus à prendre le contrôle d’un ordinateur avec de l’ADN. Si la menace de telles attaques n’est pas imminente, l’étude permet de mettre en lumière les failles de sécurité des logiciels de séquençage d’ADN.
Une équipe de l’université de Washington à Seattle, aux ÉtatsUnis, est parvenue à pirater un ordinateur à l’aide d’ADN (1). En introduisant un code malveillant dans un fragment d’ADN, puis en faisant analyser ce dernier par un séquenceur, ils ont réussi à prendre le contrôle de l’ordinateur associé. Les ingénieurs ont présenté leurs résultats lors du symposium Usenix sur la sécurité informatique, qui s’est tenu du 16 au 18 août à Vancouver, au Canada. Pour parvenir à ce résultat, l’équipe de Tadayoshi Kohno a d’abord modifié un programme utilisé par des séquenceurs pour lire et compresser des séquences d’ADN, en plafonnant sa mémoire tampon. Ils ont ensuite soumis au séquenceur d’ADN une séquence plus longue que ce que la mémoire pouvait traiter, ce qui a entraîné un débordement de mémoire tampon ( buffer overflow en anglais). Le bug engendré a alors permis aux pirates, à l’aide du code malveillant caché dans l’ADN, de s’introduire dans l’ordinateur et de lancer les instructions qu’ils désiraient. Encoder cette attaque dans l’ADN n’a pas été une mince affaire. En effet, les séquenceurs découpent des fragments d’ADN afin de les analyser en parallèle. Il fallait donc que les données de l’attaque tiennent en quelques centaines de bases pour augmenter la probabilité qu’elles ne soient pas morcelées. Les chercheurs ont également été confrontés, entre autres difficultés, au fait que l’ADN doit comporter, pour des raisons de stabilité, une certaine proportion de nucléotides G et C par rapport aux nucléotides A et T ; il a également fallu tenir compte de ce paramètre pour créer la séquence.
Fichiers de la police scientifique
Les bio-informaticiens reconnaissent avoir introduit eux-mêmes une vulnérabilité dans le programme et avoir désactivé les sécurités de l’ordinateur pour les besoins de l’expérience. Cependant, en passant en revue les logiciels de séquençage, ils ont découvert des vulnérabilités au dépassement de tampon dans plusieurs d’entre eux, couramment utilisés par les biologistes. La raison en est que ces logiciels libres utilisent des langages de programmation connus pour leurs failles de sécurité. Si une telle attaque n’est pas à la portée du premier venu pour le moment, la menace pourrait devenir réelle dans quelques années. Des pirates pourraient alors accéder à des données, voire les falsifier, par exemple dans les fichiers de la police scientifique, et ce d’autant plus que le séquençage d’ADN humain est de plus en plus courant et que son coût n’a cessé de chuter au cours de la dernière décennie. Mikaël Salson, enseignant chercheur en bio-informatique à l’université Lille 1, s’interroge : « Les entreprises qui offrent des services de séquençage et les hôpitaux, chez qui le séquençage se démocratise, sont-ils prémunis contre ce type d’attaque ? Cette étude a le mérite d’attirer l’attention sur ces questions » . Aline Gerstner (1) dnasec.cs.washington.edu/dnasec.pdf