Le génie génétique vient de connaître un épisode comparable au quotidien du secteur de la sécurité informatique : quand des hackeurs bienveillants trouvent une faille, ils alertent les concepteurs de logiciels ou de microprocesseurs. Les industriels de la biologie synthétique sont confrontés à un tel « exploit », sur fond de menace bioterroriste.
Le généticien Kevin Esvelt, au Massachusetts Institute of Technology (MIT), est en effet parvenu, avec deux de ses étudiants, à contourner le système de détection censé prévenir la recréation de virus pandémiques tels que celui de la grippe espagnole ou de toxines comme la ricine, à partir de fragments d’acides nucléiques commandés en ligne dans le commerce. Dans une note publiée début mai, le trio décrit comment il a procédé, sous la supervision du FBI, à ce « crash-test ».
Ils ont ciblé trente-huit fournisseurs situés aux Etats-Unis et dans des pays desquels il est licite d’importer des produits biologiques, à des fins médicales ou de recherche. Parmi ceux-ci, treize sont membres du Consortium international pour la synthèse génétique (IGSC), qui s’engagent à vérifier si les séquences génétiques commandées présentent un risque, et si leurs clients potentiels sont autorisés à les manipuler dans des installations qui assurent la sécurité de ces opérations.
Pour circonvenir ces protections, les apprentis biohackeurs ont utilisé plusieurs stratégies. L’une d’elles a consisté à « camoufler » les séquences problématiques du virus à ARN de la grippe espagnole en leur adjoignant des bouts correspondant à des grippes bénignes. Aucune commande ne couvrait plus d’un tiers du virus grippal ou de la ricine, pour passer au-dessous des radars.
Une faille connue
Au total, à l’automne 2023, parmi ceux qui n’étaient pas affiliés à l’IGSC, vingt-quatre fournisseurs sur vingt-cinq ont livré les séquences « déguisées ». Et sur les treize membres du consortium contactés, la très grande majorité a honoré les commandes. Kevin Esvelt et ses collègues ont attendu que des parades puissent être adoptées « depuis au moins trois mois », avant de rendre publiques ces failles.
Dans une tribune publiée le 3 juin dans le Bulletin of the Atomic Scientists, l’IGSC rétorque que les procédures de ses membres n’ont pas été prises en défaut. Ceux-ci auraient conclu que les commandes étaient légitimes, parce qu’elles émanaient d’un étudiant de Kevin Esvelt, une personnalité bien identifiée dans ce milieu. A quoi l’intéressé rétorque que son laboratoire ne dispose pas du niveau de sécurité (P3) suffisant pour manipuler un agent à potentiel pandémique. Il note qu’un fournisseur américain a bien refusé de livrer les séquences de ricine en raison d’une absence d’autorisation par une autorité légitime, suivant en cela des directives américaines de 2010. Mais il a honoré la commande du virus grippal.
Il vous reste 58.16% de cet article à lire. La suite est réservée aux abonnés.
