Il fallait s'y attendre à partir du moment où les scientifiques ont appris à télécharger des informations numériques à l'intérieur de macromolécules d'acide désoxyribonucléique. Pour la première fois, des chercheurs ont réussi à infecter un ordinateur avec un virus qui analysait l'ADN dans lequel un code de programme malveillant avait été introduit. Il semble que nous attendions tous un avenir de biopanque passionnant, où absolument tout peut être piraté, y compris le principal référentiel d'informations génétiques de tout organisme biologique.
Une équipe de scientifiques de l'Université de Washington n'avait pas prévu de se lancer dans les nouvelles des portails scientifiques. Mais il semble que c'était inévitable. Ils s'inquiétaient de la sécurité du processus de transcription et d'analyse ADN, car cette tâche difficile repose sur un logiciel open source. De plus, des centaines de laboratoires à travers le monde utilisent ce logiciel. Si les attaquants parviennent à charger du code malveillant dans le système, des analyses très coûteuses, pour le moins dire, seront recouvertes d'un bassin de cuivre.
Bien entendu, les chercheurs ont pu démontrer la vulnérabilité du système en utilisant des méthodes plus traditionnelles. Par exemple, utilisez des outils pour accéder à distance via Internet. Mais les scientifiques ont décidé d'aller un peu plus loin dans leur expérience. Il a été décidé d'utiliser l'ADN comme support du code malveillant, le matériel source que le système d'analyse doit traiter chaque jour.
«Notre tâche principale était d'essayer d'éviter les situations dans lesquelles un criminel frapperait à notre porte, et nous n'y serions absolument pas préparés», déclare le professeur Tadayoshi Kono, qui étudie la sécurité de l'électronique embarquée et de niche depuis de nombreuses années, notamment instruments scientifiques coûteux.
Le logiciel de l'équipement scientifique est conçu de telle manière qu'il convertit les données obtenues à partir de l'ADN en données binaires. Le train de bits est stocké dans un tampon de taille fixe avec une longueur de lecture maximale raisonnable. Cela expose les attaquants à une vulnérabilité de dépassement de tampon de données sous-jacente, dans laquelle un logiciel exécute un faux code malveillant. Même si l'expérience n'utilisait pas de «virus informatique» au sens classique du terme, le code exécuté en était très proche. Après tout, avec son aide, les scientifiques ont réussi à accéder au contrôle informatique.
Les chercheurs ont bon espoir de pouvoir transmettre cette information importante à la communauté scientifique. Après tout, si l'équipement de recherche coûteux est si vulnérable qu'il peut être piraté même au niveau de l'ADN, de nombreuses études peuvent être menacées. Et cela n'augure rien de bon pour l'humanité. Les scientifiques présenteront les résultats de leur expérience au grand public lors de la conférence USENIX Security, qui se tiendra la semaine prochaine à Vancouver.
Sergey Gray
