Certains établissements hospitaliers et laboratoires étudient les agents pathogènes mortels. Ils sont alors munis d’une chambre à pression négative, permettant de protéger de manière sûre les zones extérieures de l’exposition à ces agents pathogènes. Récemment, des chercheurs ont démontré que ces chambres sont vulnérables aux attaques terroristes sonores, notamment via un simple morceau de musique joué sur un smartphone ! Explications.
Il faut savoir qu’un niveau de biosécurité (BSL) est un ensemble de réglementations strictes assignées à un laboratoire biologique ou à un établissement hospitalier pour empêcher la fuite d’agents pathogènes mortels/dangereux hors de l’établissement. Un BSL est classé de BSL-1 (niveau de sécurité le plus bas) à BSL-4 (niveau de sécurité le plus élevé), en fonction des microbes contenus dans un laboratoire ou un hôpital. En français, ce classement est plutôt connu sous les noms allant de P1 à P4.
Les Centres pour le contrôle et la prévention des maladies (CDC) définissent les BSL pour qu’ils présentent des contrôles spécifiques pour le confinement des microbes afin de protéger l’environnement et la communauté environnants. Les BSL exigent que les chambres d’isolement d’un laboratoire biologique ou d’un hôpital de contrôle des infections maintiennent une pression négative par rapport au couloir extérieur.
Par conséquent, la salle est connue sous le nom de salle à pression négative (NPR). Cette dernière garantit que les microbes potentiellement nocifs ne peuvent pas s’échapper de l’installation par le flux d’air en maintenant une pression négative à l’intérieur. Avec les préoccupations croissantes du bioterrorisme, un NPR doit maintenir une certaine pression négative en suivant des réglementations strictes établies par les CDC, l’ASHRAE ou d’autres autorités.
Récemment, un groupe de chercheurs de l’Université de Californie, a démontré que le fonctionnement sûr de cette chambre à pression négative peut être perturbé par un attaquant armé d’un simple smartphone diffusant une certaine musique. Ils ont partagé leurs conclusions avec les participants à la récente conférence sur la sécurité informatique et des communications de l’Association for Computing Machinery à Los Angeles. Leur étude est publiée sur arXiv.
Trouver la bonne fréquence
Selon les experts en sécurité des systèmes cyber-physiques de l’UCI, les mécanismes qui contrôlent le flux d’air entrant et sortant des installations de bioconfinement (chambre à pression négative) peuvent être amenés à fonctionner irrégulièrement par un son d’une fréquence particulière, éventuellement caché subrepticement dans une chanson populaire.
Le co-auteur principal Mohammad Al Faruque, professeur de génie électrique et d’informatique à l’UCI, explique dans un communiqué : « Quelqu’un pourrait jouer un morceau de musique chargé sur son smartphone ou le faire transmettre à partir d’un téléviseur ou d’un autre appareil audio dans ou à proximité d’une salle à pression négative. Si cette musique est intégrée avec une tonalité qui correspond à la fréquence de résonance des commandes de pression de l’un de ces espaces, cela pourrait provoquer un dysfonctionnement et une fuite de microbes mortels ».
Concrètement, les infrastructures de chauffage, de ventilation et de climatisation maintiennent le flux d’air frais entrant et d’air contaminé hors d’un espace donné. Ces systèmes comprennent généralement des moniteurs de pression de salle, qui à leur tour utilisent des capteurs de pression différentielle qui comparent les atmosphères à l’intérieur et à l’extérieur des salles. Les ondes sonores qui entrent en contact avec ces capteurs peuvent les faire vibrer à la même fréquence. Ainsi, comme l’explique l’auteur principal Anomadarshi Barua, de l’UCI : « Un attaquant averti peut utiliser cette technique pour déplacer artificiellement le diaphragme, modifier la lecture de la pression et provoquer un dysfonctionnement de l’ensemble du système ».
Pour éprouver leur hypothèse de vulnérabilité, les chercheurs ont testé huit DPS standard de cinq fabricants, tous les appareils fonctionnant avec des fréquences de résonance dans la plage audible et donc sujets à altération. Ils ont alors conçu « une musique malveillante » afin de créer une résonance dans les DPS, entraînant un dépassement des lectures de pression normales. Par conséquent, la chambre transforme sa pression négative en une pression positive, provoquant une fuite potentielle de microbes mortels.
Ils expliquent que les attaquants pourraient contrecarrer les systèmes de chambres à pression négative de diverses manières. Ils pourraient les manipuler sans fil ou se faire passer pour du personnel de maintenance pour placer un appareil audio à l’intérieur ou à proximité d’une telle pièce. Barua souligne : « Une attaque plus sophistiquée pourrait impliquer que les auteurs intègrent des technologies émettrices de sons dans un DPS avant qu’il ne soit installé dans une installation de bioconfinement ».
Comment pallier ce défaut de sécurité ?
Dans leur présentation à la conférence, les chercheurs ont suggéré plusieurs contre-mesures pour empêcher un assaut musical sur les installations de biosécurité.
L’insonorisation peut être obtenue en allongeant le tube d’échantillonnage du port d’un DPS jusqu’à 7 mètres. L’équipe a également proposé d’enfermer le port de pression dans une structure en forme de boîte. Ces deux mesures réduiraient la sensibilité du DPS, a déclaré Barua.
Al Faruque a déclaré que ce projet de recherche démontre les vulnérabilités des systèmes embarqués aux attaques aléatoires, mais a souligné qu’avec un peu de planification et de prévoyance, les installations peuvent être renforcées contre le sabotage.