Le gouvernement américain a tiré la sonnette d’alarme concernant une vulnérabilité logicielle critique trouvée dans les dispositifs de séquençage d’ADN du géant de la génomique Illumina, que les pirates peuvent exploiter pour modifier ou voler les données médicales sensibles des patients.
Dans des avis distincts publiés jeudi, l’agence américaine de cybersécurité CISA et la Food and Drug Administration des États-Unis ont averti que la faille de sécurité – identifiée comme CVE-2023-1968 avec un indice de gravité de vulnérabilité maximal de 10 sur 10 – permet aux pirates d’accéder à distance à un système affecté. appareil sur Internet sans avoir besoin d’un mot de passe. S’il est exploité, le bogue pourrait permettre aux pirates de compromettre les appareils pour produire des résultats incorrects ou altérés, voire aucun.
Les avis mettent également en garde contre une deuxième vulnérabilité, identifiée comme CVE-2023-1966 avec un indice de gravité inférieur de 7,4 sur 10. Le bogue pourrait permettre aux attaquants de télécharger et d’exécuter à distance du code malveillant au niveau du système d’exploitation, leur permettant de modifier les paramètres. et accéder aux données sensibles sur le produit concerné.
Les vulnérabilités affectent les produits iScan, iSeq, MiniSeq, MiSeq, MiSeqDx, NextSeq et NovaSeq d’Illumina. Ces produits, utilisés dans le monde entier dans le secteur de la santé, sont conçus pour une utilisation diagnostique clinique dans le séquençage de l’ADN d’une personne pour diverses conditions génétiques ou à des fins de recherche.
Le porte-parole d’Illumina, David McAlpine, a déclaré à TechCrunch qu’Illumina « n’a reçu aucun rapport indiquant qu’une vulnérabilité a été exploitée, et nous n’avons aucune preuve d’exploitation de vulnérabilités ». McAlpine a refusé de dire si Illumina a les moyens techniques de détecter l’exploitation, ou de dire combien d’appareils sont vulnérables aux failles.
Le PDG d’Illumina, Francis deSouza, a déclaré en janvier que sa base installée était de plus de 22 000 séquenceurs.
Dans un article sur LinkedIn, Illumina CTO Alex Aravanis a déclaré que la société avait découvert la vulnérabilité dans le cadre d’efforts de routine pour évaluer son logiciel pour les vulnérabilités et les expositions potentielles.
« Après avoir identifié cette vulnérabilité, notre équipe a travaillé avec diligence pour développer des mesures d’atténuation afin de protéger nos instruments et nos clients », a déclaré Aravanis. « Nous avons ensuite contacté et travaillé en étroite collaboration avec les régulateurs et les clients pour résoudre le problème avec une simple mise à jour logicielle gratuite, nécessitant peu ou pas de temps d’arrêt pour la plupart. »
La nouvelle de la vulnérabilité d’Illumina survient après que la FDA a annoncé le mois dernier qu’elle obligerait les fabricants de dispositifs médicaux à répondre à des exigences spécifiques en matière de cybersécurité lors de la soumission d’une demande pour un nouveau produit. Les fabricants d’appareils devront soumettre un plan expliquant comment ils prévoient de suivre et de traiter les vulnérabilités, et d’inclure une nomenclature logicielle détaillant chaque composant d’un appareil.