Lundi de la Cybersécurité Janvier 2021 : Génomique et Cybersécurité avec Renaud Lifchitz

CMS header image

Génomique et Cybersécurité : Introduction

Par Gérard Peliks, Directeur adjoint du MBA Management de la Cybersécurité de l'ILV

Le résultat du séquençage de votre génome est un fichier texte qui, s’il est demandé, dérobé ou acheté par un cyberprédateur, peut révéler des informations qui lui seront très utiles pour ajuster une attaque ciblée contre vous, attaque basée sur des techniques d’ingénierie sociale comme le Spear Phishing ou hameçonnage ciblé[1] ou une arnaque au président[2].

Il sera donc question, dans notre « Lundi de la cybersécurité » de janvier 2021, de l’ARNm, Acide RiboNucléique messager, et plus généralement du contenu du séquencement de votre génome, et de son utilisation pour réaliser des cyberattaques ciblées. Bienvenue dans la cybercriminalité des temps modernes ! Il sera également question des contre-mesures pour en diminuer les risques.

La gestion de la sécurité des séquençages de l’ADN est devenue aujourd’hui un champ de recherche de pointe parallèlement à la cybercriminalité qui évolue vers plus d’efficacité grâce aux progrès de la génétique.

Nous entendons beaucoup parler de l’ARNm, Acide RiboNucléique messager, à la base du vaccin contre la Covid-19. Ces molécules, présentes de manière fugace dans nos cellules, injectent l’information permettant à ces cellules de produire une protéine de l’agent infectieux Sars Cov-2 contre lequel on souhaite obtenir une immunité. Les cellules de l’individu vacciné fabriquent le constituant viral qui déclenchera une réponse immunitaire à la Covid-19.

Les molécules d’ARNm sont très proches des molécules d’ADN (acide désoxyribonucléique) qui sont, elles, très stables. Présent dans l’ADN, le nucléotide SNP (Single Nucleotide Polymorphism), est visible dans le séquencement du génome. Et ce nucléotide est une donnée à caractère très personnel.

Le problème est que ce séquencement peut tomber dans les mains d’un cyberprédateur, car cette information peut être dérobée, souvent directement au laboratoire qui réalise ce séquencement. Plus simplement le résultat du séquencement de votre génome peut être demandé à votre place, ou acheté dans les marchés noirs de la cybercriminalité. Avec cette donnée, il sera facile au cyberprédateur de trouver le meilleur angle d’attaque pour vous escroquer, pour vous nuire ou pour s’infiltrer dans votre organisation. Car ce nucléotide révèle beaucoup de choses sur vos tendances profondes (naïveté, appât du gain…).

[1] Si le séquençage de votre génome indique que vous aimez les paris, le jeu, le gain d’argent facile et immédiat, et que vous êtes d’un naturel optimiste, une attaque en « Spear Phishing » sur vous aura de grandes chances d’aboutir. On vous proposera, par mail, de jouer à une loterie avec un gros gain à la clé. Vous devrez entrer vos coordonnées bancaires qui seront ensuite exploitées par le cybercriminel. La tentation aura été trop forte, c’était prévu dans votre ADN.

[1] Si le séquençage de votre génome indique que vous aimez le risque, que vous êtes plutôt d’un naturel naïf et que la conscience du danger n’est pas votre fort, et si de plus, vous avez révélé sur les réseaux sociaux que vous travaillez dans un service comptable, vous allez être victime d’une « fraude au président ». Le cybercriminel imite au téléphone la voix de votre « patron » pour vous faire virer une grosse somme d’argent sur un compte qu’il vous indique.

Si votre génome, en particulier votre nucléotide SNP (Single Nucleotide Polymorphism) qui est une donnée à caractère très personnel, n’est plus un secret, il sera facile de trouver le meilleur angle d’attaque pour vous escroquer, pour vous nuire ou pour s’infiltrer dans votre organisation.

150 000 Français, et 26 millions d’Américains, auraient aujourd’hui procédé à leur séquençage ADN, illégal en France mais pouvant être obtenu à l’étranger pour quelques centaines d’euros. Des cyberprédateurs de proximité peuvent ainsi prendre connaissance des données intimes contenues dans le séquençage de votre génome en les demandant à votre place, avec juste un de vos cheveux ou quelques gouttelettes de votre salive ou plus simplement, s’ils ne sont pas dans votre entourage immédiat, en les volant directement sur les serveurs des opérateurs de séquençage, ou en les achetant dans les marchés noirs de la cybercriminalité. Ils connaissent ainsi vos tendances les plus intimes : Vous allez subir une cyberattaque qui a de grandes chances de réussir.

Le site Web de généalogie et de tests ADN, MyHeritage, par exemple, a révélé la fuite des données de plusieurs dizaines de millions de ses clients. Les risques qu’ils soient attaqués en ingénierie sociale sont aujourd’hui bien réels, surtout si la confidentialité de ces données n’est pas assurée car elles ne sont pas chiffrées.

Quels sont les outils disponibles pour analyser le séquençage de votre ADN ? Quelles sont les problématiques éthiques, sociales et juridiques que cela comporte ?

Des conseils de bon sens vous seront donnés, comme lire attentivement les termes du contrat que vous établissez avec votre opérateur de séquençage situé à l’étranger puisque le séquençage de l’ADN est illégal aujourd’hui en France : Cet opérateur, même situé aux Etats Unis, est-il en conformité avec le RGPD ? Chiffre-t-il les transferts qu’il vous envoie et vos données qu’il conserve, et pour combien de temps ? Est-il connu pour avoir partagé et même avoir vendu les informations recueillies ?

Le thème Génomique et cybersécurité sera traité par Renaud Lifchitz, grand expert du domaine, et de plus un excellent pédagogue.

Renaud Lifchitz, ARCSI - Association des Réservistes du Chiffre et de la Sécurité de l’Information

Renaud Lifchitz est un éminent membre de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information). Il est Directeur scientifique chez Holiseum. Il a une expérience de plus de 15 ans en tant qu’auditeur, chercheur et formateur, principalement dans le secteur bancaire.

Il est intervenu plusieurs fois dans nos « Lundi de la cybersécurité » et c’est toujours un plaisir de l’entendre parler d’ordinateurs quantiques, d’algorithmes de chiffrement post quantiques, de sécurité des protocoles des objets connectés… et des liens entre la génomique et la cybersécurité.

Au programme du Lundi de la Cybersécurité Janvier 2021

  • Généralités sur l’ADN et les gènes
  • Services de séquençage : différences entre les bons et les mauvais
  • Formats de fichiers ADN
  • Bases de données et outils génétiques open source
  • Services en ligne intéressants
  • Sources OSINT d’ADN
  • Comment trouver n’importe qui avec de l’ADN
  • Trouvez les forces et les faiblesses de votre adversaire à l’aide son ADN
  • Recommandations au sujet de l’ADN et de la protection de la vie privée

Les « Lundi de la cybersécurité »

Organisés par Béatrice Laurent et Gérard Peliks, avec la logistique en présentiel ou en distanciel de l’université de Paris, les « Lundi de la cybersécurité » se tiennent un lundi par mois, de 18h à 20h. Entre 150 et 200 participants assistent et peuvent aussi, à la suite de la présentation, poser des questions aux intervenants. S’ensuivent des débats très intéressants entre experts du sujet traité.

Quand la situation sanitaire le permet, « Lundi de la cybersécurité » ont lieu dans un amphithéâtre de l’université de Paris, sinon en distanciel par webinaires. Des sommités interviennent, toujours sur un sujet de pointe, dans divers domaines de la sécurité du numérique. A titre d’exemple, quelques sujets précédemment abordés ont été « les cyber assurances », « RINA, l’Internet du futur, non-IP », « Le pouvoir des algorithmes qui nous gouvernent… ». Des évènements de qualité qui se sont bien insérés, depuis une dizaine d’années, dans l’écosystème du numérique.

Lundi de la Cybersécurité MBA Gérard Péliks

Gérard Peliks, Directeur adjoint du MBA Management de la Cybersécurité de l'ILV

Gérard Péliks est directeur adjoint du MBA Management de la Cybersécurité de l’Institut Léonard de Vinci. Ingénieur diplômé, expert en cybersécurité, et aujourd’hui retraité, lieutenant-colonel dans la Réserve Citoyenne de Cyberdéfense de la gendarmerie nationale, Gérard Peliks s’implique dans des associations comme l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information). Il est également chargé de cours au sein des mastères d’écoles d’ingénieurs et universités.

Béatrice Laurent Cybersécurité

Béatrice Laurent

Titulaire d’un doctorat en littérature et civilisation anglo-américaine, Béatrice Laurent a notamment créé et dirigé un cabinet de « chasseur de têtes » avant de devenir directrice de la communication et des relations extérieures, successivement pour l’Union des Industries chimiques (UIC) puis pour le Medef Hauts-de-Seine. Dès 1995 elle a créé un Cercle d’Intelligence économique, dont l’une des « branches » a évolué pour devenir les « Lundi de la cybersécurité ».

Inscription aux Lundi de la Cybersécurité

La Participation aux Lundi de la Cybersécurité est gratuite, et la demande d’inscription par mail est obligatoire. Les inscrits recevront l’hyperlien vers le webinaire quelques jours avant l’évènement. Les inscriptions doivent être adressées à  beatricelaurent.CDE@gmail.com avec « Inscription 25/01 » dans l’objet ET dans le corps du mail, quelques mots sur vous et sur l’intérêt que vous accordez au sujet traité, pour permettre à Gérard Péliks et Béatrice Laurent d’organiser des « Lundi de la cybersécurité » de manière toujours plus ciblée.

Vous pouvez prendre connaissance de quelques-uns des évènements passés, avec parfois un replay disponible, sur la rubrique agenda du site www.medef92.fr  et sur LinkedIn avec le Hashtag #Lundidelacybersécurité.