Selon une nouvelle étude, les séquenceurs génétiques portables utilisés dans le monde entier pour séquencer l'ADN présentent des vulnérabilités de sécurité critiques, jusqu'alors non signalées, qui pourraient révéler ou modifier des informations génétiques sans détection.
Des chercheurs de l'Université de Floride ont, pour la première fois, exposé ces risques de sécurité dans les appareils d'Oxford Nanopore Technologies, qui produit presque tous les séquenceurs génétiques portables du monde.
Alerté par les chercheurs en sécurité, Oxford Nanopore Technologies a déployé un logiciel mis à jour pour corriger les vulnérabilités. Mais des logiciels obsolètes ou des systèmes Internet non sécurisés pourraient encore rendre certains séquenceurs d’ADN vulnérables aux attaques.
« Personne au monde n'avait regardé la sécurité de ces appareils, ce qui m'a choqué », a déclaré Christina Boucher, Ph.D., professeur d'informatique et de sciences et d'ingénierie de l'information à l'UF, experte en bioinformatique et co-auteur du nouveau rapport.
Boucher a collaboré avec Sara Rampazzi, Ph.D., également professeure d'informatique et de sciences et d'ingénierie de l'information, experte en cybersécurité et chef de projet à l'UF, et avec des étudiants du département pour tester les séquenceurs Nanopore pour détecter les failles de sécurité. L'étude sert d'avertissement à la communauté scientifique : les nouvelles menaces qui pèsent sur les données génomiques incitent à adopter des systèmes « sécurisés dès la conception », à mesure que les séquenceurs d'ADN portables deviennent de plus en plus courants. L'équipe a publié ses conclusions dans Communications naturelles.
Les chercheurs ont découvert trois vulnérabilités dans le séquenceur portable Oxford Nanopore MinION et son logiciel associé. Deux de ces failles permettent à un utilisateur non autorisé d'accéder de manière inappropriée à l'appareil et potentiellement de copier ou de modifier les données ADN à l'insu de l'utilisateur autorisé. Une troisième faille expose le séquenceur à une attaque par déni de service, qui interromprait l'opération de séquençage et donnerait l'impression que l'appareil est cassé.
La Cybersecurity and Infrastructure Security Agency, le coordinateur du gouvernement fédéral en matière de cyberdéfense, a vérifié ces vulnérabilités dans un rapport publié le 21 octobre. Le rapport fournit également des instructions d'Oxford Nanopore Technologies sur la manière dont les utilisateurs peuvent mettre à jour leurs séquenceurs pour corriger les failles de sécurité.
Les versions avec des logiciels plus anciens resteraient ouvertes aux attaques. Cela est particulièrement possible lorsque les séquenceurs portables sont connectés à des réseaux Wi-Fi non sécurisés ou que la télécommande est activée.
Ne coûtant que quelques milliers de dollars et pouvant fonctionner partout dans le monde, ces séquenceurs de la taille d’une paume ont transformé le travail auparavant fastidieux et coûteux de séquençage de l’ADN. Mais cette portabilité contribue aux risques de sécurité de ces appareils car les séquenceurs doivent être connectés à un ordinateur pour fonctionner.
« Vous connectez un appareil très spécialisé à un appareil à usage général comme un ordinateur portable, qui est intrinsèquement supposé sécurisé », a déclaré Rampazzi. « Au lieu de cela, cet ordinateur portable pourrait être connecté à un réseau non sécurisé, ou il pourrait être infecté par des logiciels malveillants ou des ransomwares, surtout s'il est utilisé sur le terrain en dehors d'environnements contrôlés. »
Ces séquenceurs de nanopores sont commercialisés uniquement à des fins de recherche et ne doivent pas être utilisés à des fins de diagnostic clinique. Pourtant, même lorsqu’ils sont limités à la recherche, ces appareils peuvent être utilisés pour séquencer l’ADN de personnes.
L'Institut national américain des normes et technologies, qui se concentre sur la définition de lignes directrices en matière de cybersécurité génomique et de confidentialité, a seulement commencé à considérer les cas d'utilisation en recherche par opposition à l'utilisation clinique dans son dernier projet de lignes directrices, soulignant l'attention accrue portée au sujet et l'absence de norme claire.
La révélation de ces vulnérabilités jusqu’alors inconnues n’a été possible que grâce à la collaboration interdisciplinaire entre les laboratoires Rampazzi et Boucher. Boucher développe des algorithmes pour mieux analyser l'ADN, tandis que Rampazzi étudie les failles de sécurité dans les systèmes critiques allant des dispositifs médicaux aux voitures autonomes en passant par les centres de données sous-marins. La combinaison de leur expertise a permis d’alerter la communauté sur une menace importante pour la vie privée.
« En bioinformatique, nous n'avons pas travaillé aussi étroitement avec la communauté de la sécurité que je pense que nous devrions le faire », a déclaré Boucher.
