Lundi de la Cybersécurité Janvier 2021 : Génomique et Cybersécurité avec Renaud Lifchitz
16 février 2021
Génomique et Cybersécurité : Introduction
Par Gérard Peliks, intervenant du MBA Management de la Cybersécurité
Le résultat du séquençage de votre génome est un fichier texte qui, s’il est demandé, dérobé ou acheté par un cyberprédateur, peut révéler des informations qui lui seront très utiles pour ajuster une attaque ciblée contre vous, attaque basée sur des techniques d’ingénierie sociale comme le Spear Phishing ou hameçonnage ciblé[1] ou une arnaque au président[2].
Il sera donc question, dans notre « Lundi de la cybersécurité » de janvier 2021, de l’ARNm, Acide RiboNucléique messager, et plus généralement du contenu du séquencement de votre génome, et de son utilisation pour réaliser des cyberattaques ciblées. Bienvenue dans la cybercriminalité des temps modernes ! Il sera également question des contre-mesures pour en diminuer les risques.
La gestion de la sécurité des séquençages de l’ADN est devenue aujourd’hui un champ de recherche de pointe parallèlement à la cybercriminalité qui évolue vers plus d’efficacité grâce aux progrès de la génétique.
Au programme du Lundi de la Cybersécurité Janvier 2021
- Généralités sur l’ADN et les gènes
- Services de séquençage : différences entre les bons et les mauvais
- Formats de fichiers ADN
- Bases de données et outils génétiques open source
- Services en ligne intéressants
- Sources OSINT d’ADN
- Comment trouver n’importe qui avec de l’ADN
- Trouvez les forces et les faiblesses de votre adversaire à l’aide son ADN
- Recommandations au sujet de l’ADN et de la protection de la vie privée
Qu'est ce que l'ARNm ?
Nous entendons beaucoup parler de l’ARNm, Acide RiboNucléique messager, à la base du vaccin contre la Covid-19. Ces molécules, présentes de manière fugace dans nos cellules, injectent l’information permettant à ces cellules de produire une protéine de l’agent infectieux Sars Cov-2 contre lequel on souhaite obtenir une immunité. Les cellules de l’individu vacciné fabriquent le constituant viral qui déclenchera une réponse immunitaire à la Covid-19.
Les molécules d’ARNm sont très proches des molécules d’ADN (acide désoxyribonucléique) qui sont, elles, très stables. Présent dans l’ADN, le nucléotide SNP (Single Nucleotide Polymorphism), est visible dans le séquencement du génome. Et ce nucléotide est une donnée à caractère très personnel.
Le problème est que ce séquencement peut tomber dans les mains d’un cyberprédateur, car cette information peut être dérobée, souvent directement au laboratoire qui réalise ce séquencement. Plus simplement le résultat du séquencement de votre génome peut être demandé à votre place, ou acheté dans les marchés noirs de la cybercriminalité. Avec cette donnée, il sera facile au cyberprédateur de trouver le meilleur angle d’attaque pour vous escroquer, pour vous nuire ou pour s’infiltrer dans votre organisation. Car ce nucléotide révèle beaucoup de choses sur vos tendances profondes (naïveté, appât du gain…).
[1] Si le séquençage de votre génome indique que vous aimez les paris, le jeu, le gain d’argent facile et immédiat, et que vous êtes d’un naturel optimiste, une attaque en « Spear Phishing » sur vous aura de grandes chances d’aboutir. On vous proposera, par mail, de jouer à une loterie avec un gros gain à la clé. Vous devrez entrer vos coordonnées bancaires qui seront ensuite exploitées par le cybercriminel. La tentation aura été trop forte, c’était prévu dans votre ADN.
[1] Si le séquençage de votre génome indique que vous aimez le risque, que vous êtes plutôt d’un naturel naïf et que la conscience du danger n’est pas votre fort, et si de plus, vous avez révélé sur les réseaux sociaux que vous travaillez dans un service comptable, vous allez être victime d’une « fraude au président ». Le cybercriminel imite au téléphone la voix de votre « patron » pour vous faire virer une grosse somme d’argent sur un compte qu’il vous indique.
" Si votre génome, en particulier votre nucléotide SNP (Single Nucleotide Polymorphism) qui est une donnée à caractère très personnel, n’est plus un secret, il sera facile de trouver le meilleur angle d’attaque pour vous escroquer, pour vous nuire ou pour s’infiltrer dans votre organisation. "
150 000 Français, et 26 millions d’Américains, auraient aujourd’hui procédé à leur séquençage ADN, illégal en France mais pouvant être obtenu à l’étranger pour quelques centaines d’euros. Des cyberprédateurs de proximité peuvent ainsi prendre connaissance des données intimes contenues dans le séquençage de votre génome en les demandant à votre place, avec juste un de vos cheveux ou quelques gouttelettes de votre salive ou plus simplement, s’ils ne sont pas dans votre entourage immédiat, en les volant directement sur les serveurs des opérateurs de séquençage, ou en les achetant dans les marchés noirs de la cybercriminalité. Ils connaissent ainsi vos tendances les plus intimes : Vous allez subir une cyberattaque qui a de grandes chances de réussir.
Le site Web de généalogie et de tests ADN, MyHeritage, par exemple, a révélé la fuite des données de plusieurs dizaines de millions de ses clients. Les risques qu’ils soient attaqués en ingénierie sociale sont aujourd’hui bien réels, surtout si la confidentialité de ces données n’est pas assurée car elles ne sont pas chiffrées.
Quels sont les outils disponibles pour analyser le séquençage de votre ADN ? Quelles sont les problématiques éthiques, sociales et juridiques que cela comporte ?
Des conseils de bon sens vous seront donnés, comme lire attentivement les termes du contrat que vous établissez avec votre opérateur de séquençage situé à l’étranger puisque le séquençage de l’ADN est illégal aujourd’hui en France : Cet opérateur, même situé aux Etats Unis, est-il en conformité avec le RGPD ? Chiffre-t-il les transferts qu’il vous envoie et vos données qu’il conserve, et pour combien de temps ? Est-il connu pour avoir partagé et même avoir vendu les informations recueillies ?
Le thème Génomique et cybersécurité sera traité par Renaud Lifchitz, grand expert du domaine, et de plus un excellent pédagogue.
Renaud Lifchitz, ARCSI - Association des Réservistes du Chiffre et de la Sécurité de l’Information
Renaud Lifchitz est un éminent membre de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information). Il est Directeur scientifique chez Holiseum. Il a une expérience de plus de 15 ans en tant qu’auditeur, chercheur et formateur, principalement dans le secteur bancaire.
Il est intervenu plusieurs fois dans nos « Lundi de la cybersécurité » et c’est toujours un plaisir de l’entendre parler d’ordinateurs quantiques, d’algorithmes de chiffrement post quantiques, de sécurité des protocoles des objets connectés… et des liens entre la génomique et la cybersécurité.
Les « Lundi de la cybersécurité »
Organisés par Béatrice Laurent et Gérard Peliks, intervenant au sein du MBA Management de la Cybersécurité Devinci Executive Education avec la logistique en présentiel ou en distanciel de l’université de Paris, les « Lundi de la cybersécurité » se tiennent un lundi par mois, de 18h à 20h. Entre 150 et 200 participants assistent et peuvent aussi, à la suite de la présentation, poser des questions aux intervenants. S’ensuivent des débats très intéressants entre experts du sujet traité.