À l’image de l’Australie, qui a fixé une majorité numérique à 16 ans, Emmanuel Macron a récemment évoqué la possibilité d’interdire l’accès aux plateformes sociales aux moins de 15 ans. En attendant une éventuelle évolution législative, la Commission nationale de l’informatique et des libertés (CNIL) a dévoilé ce mois-ci FantomApp, une application gratuite destinée aux 10-15 ans, déjà disponible sur les magasins d’applications et en version web . Son objectif est de permettre aux plus jeunes de mieux protéger leurs comptes, leurs données personnelles et d’identifier les bons réflexes en cas de difficulté en ligne. Conçue à partir d’ateliers menés dans plusieurs collèges, FantomApp a été développée en associant directement des adolescents au projet. Cette démarche collaborative a permis d’identifier des attentes fortes : comprendre les paramètres de visibilité, sécuriser ses comptes sans expertise technique et savoir vers qui se tourner en cas de problème. Selon une étude ...
Par Benoit Grunemwald, expert en cybersécurité chez ESET France.
Les chercheurs ont décrit une cyberattaque potentielle qui pourrait être utilisée pour tromper des scientifique et les amener à produire des substances biologiques dangereuses, des toxines et des virus synthétiques.
L’article, rédigé par des chercheurs de l’université Ben-Gourion du Néguev en Israël, met en lumière les risques potentiels que des cyberattaquants utilisent des logiciels malveillants pour détourner l’ordinateur d’un scientifique et interférer avec le processus de synthèse de l’ADN.
« Alors que la synthèse de l’ADN se répand, on craint de plus en plus qu’une cyberattaque intervenant avec des ordres de synthèse de l’ADN puisse conduire à la synthèse d’acides nucléiques codant pour des parties d’organismes pathogènes ou des protéines et toxines nocives », souligne l’équipe au journal scientifique Nature Biotechnology.
Selon les chercheurs, l’attaque exploiterait une faiblesse dans la conception du cadre de sélection des fournisseurs d’ADN double brin synthétique et de son successeur, le protocole de sélection harmonisé v2.0, qui permet de contourner ces protocoles par une procédure d’obscurcissement générique. En combinant cela avec des mesures de cybersécurité inadéquates protégeant le pipeline du génie génétique synthétique, un acteur de menace à distance pourrait s’immiscer dans les processus biologiques.
« Ensemble, ces faiblesses facilitent une attaque cyberbiologique de bout en bout, dans laquelle un attaquant distant peut injecter de l’ADN pathogène obscurci dans un ordre en ligne de gènes synthétiques, en utilisant un plugin de navigateur malveillant », expliquent les chercheurs.
Le document de recherche démontre un scénario d’attaque potentiel qui utilise cette combinaison de faiblesses et permet à un acteur distant de duper la cible en créant une substance dangereuse sans qu’aucune interaction physique ne soit nécessaire du côté de l’attaquant.
L’attaquant devrait commencer par compromettre l’ordinateur de la cible par une attaque de type man-in-the-browser. Lorsque la marque conçoit une expérience sur l’ADN et commande en ligne de l’ADN synthétique à une société de synthèse d’ADN, l’attaquant en remplace une partie par un fragment de l’ADN pathogène qui est obscurci et séquencé en vue d’une désobfuscation ultérieure.
Comme l’ADN malveillant est obscurci, il n’est pas détecté par le processus de dépistage. La commande est livrée à la cible, et même si elle est vérifiée après le séquençage, l’inspection est effectuée à l’aide d’ordinateurs compromis, qui ne signaleront pas l’ADN. Au final, une substance nocive serait produite.
L’équipe de recherche a pu prouver la viabilité de la menace en menant une attaque de validation de concept, où elle a réussi à encoder l’ADN d’un peptide toxique et à le faire passer à la phase de production, tout en évitant la détection par le logiciel de dépistage. Ils ont ensuite révélé la menace au Consortium international de synthèse des gènes et partagé des conseils sur la manière de l’atténuer.
Les contre-mesures consistent à renforcer les protocoles de cybersécurité, notamment en ajoutant des signatures électroniques aux ordres de séquences et en proposant des méthodes de détection des intrusions, tout en utilisant l’apprentissage automatique pour identifier les codes malveillants.
Les experts terminent avec quelques mises en garde : « Les cyberdangers s’étendent à l’espace physique, brouillant la séparation entre le monde numérique et le monde réel, en particulier avec les niveaux croissants d’automatisation dans le laboratoire biologique. Les meilleures pratiques et normes doivent être intégrées dans les protocoles biologiques opérationnels pour combattre ces menaces ».