Des vulnérabilités dans les dispositifs médicaux : la nécessité d’améliorer la sécurité des équipements critiques

0
Serait-il possible de pirater un cœur humain? La réponse c’est facile: oui. Et non, nous ne parlons pas dans un sens romantique, mais littérale, de la manipulation, par exemple, d’un stimulateur cardiaque. L’avenir du secteur de la santé a beaucoup de possibilités. Imaginez qu’au lieu d’aller à l’hôpital pour un examen médical, votre médecin peut vous soigner à distance. Il existe aussi la possibilité de surveiller toutes nos fonctions vitales avec des dispositifs connectés, alertant si quelque chose va mal à notre médecin.
Néanmoins, ces grands progrès vers lequels nous nous dirigeons, ne sont pas prêts en termes de sécurité. Le secteur de la santé à il y a longtemps déjà été une des cibles préférées des cybercriminels: les attaques ransomware ont paralysé plusieurs hôpitaux, qui n’ont pas d’autre choix que de payer la rançon rapidement, même un million, afin d’obtenir l’accès aux dossiers et de leurs systèmes.

Des failles de sécurité dans les appareils médicaux : rien de nouveau !

D’ailleurs, les cybercriminels savent que dans un tel environnement critique on ne peut pas se permettre d’être déconnecté. Voila pourquoi certains des systèmes et des gadgets qui rendent la médecine numérisé peuvent être dangereux s’ils ne disposent pas des mesures de protection nécessaires.
Voici un cas réel: En 2016, un groupe de recherche a découvert une faille de sécurité dans un stimulateur cardiaque, fabriqué par l’un des plus importants fournisseurs de ces appareils. L’enquête a montré que les émetteurs utilisés dans le stimulateur avaient un bug qui permettait de vérifier l’état de l’appareil et sa configuration à distance. Cependant, pour ce faire, le patient devait être dans la portée de l’émetteur, comme indiquent les spécialistes de la sécurité de G DATA.
Cette affaire a de nombreuses implications pour la sécurité des personnes concernées: un attaquant qui veut exploiter cette vulnérabilité pourrait mettre le dispositif implanté chez un patient et le gestionner à la place de notre médicin. Heureusement, il n’y a pas eu de cas de dispositifs trafiqués, et le fabricant a déjà publié une mise à jour du logicielle pour résoudre ce défaut de sécurité.
Le problème c’est qu celui-ci n’est pas un cas isolé, seulement un exemple parmi des centaines. La sécurité dans ce type de matériel médical, et bien d’autres liées à l‘internet des objets, est en question depuis quelques mois.
Un autre cas récent est venu en 2015, quand un chercheur a réussi à éteindre le matériel d’anesthésie du ventilateur, qui était connecté au réseau. Il a découvert qu’un morceau de matériel travaillé avec un protocole de sécurité 1990. Cette année est également venu à la lumière que les pompes d’insuline sont vulnérables et il est possible d’administrer à distance des doses létales.
Le problème est que ces appareils ne sont créés avec une sécurité par défaut. Beaucoup de produits connectés étant déjà commercialisés ne disposent pas des mesures de sécurité appropriées. Et dans le cas de ces dispositifs, la vie des utilisateurs est en jeu.

Intégrer la sécurité dès la conception des appareils

appareils médicaux

Avec l’augmentation et la popularité croissante des ransomware, des nouveaux scénarios sont envisageables. Des attaquants pourraient demander des rançons en échange de quoi ils n’agiraient pas sur des appareils médicaux maintenant des patients en vie.

Pour éviter cela, une coopération efficace entre chercheurs en sécurité et fabricants est indispensable, au niveau des appareils mais aussi au niveau des plateformes connectées qui centralisent les données des patients. Accélérer les processus de certifications est également nécessaire. Enfin, intégrer la sécurité dès la conception des produits « security by design » constitue une étape indispensable pour l’industrie médicale.

Y at-il une solution?

Selon G DATA, bien que la recherche des fabricants de vulnérabilités peut être relativement simple, « la protection des objets connectés de toute nature est un véritable problème. Dans le cas d’un défibrillateur, l’intégration d’une solution de sécurité dans l’appareil n’est pas réellement envisageable. Il faudrait dans ce cas travailler sur des protection périphériques, par exemple en sécurisant l’émetteur/récepteur ».
En tant que fournisseur de solutions de sécurité, G DATA étudie de nombreuses possibilités techniques pour la protection de l’Internet des objets, «à défaut de solutions de protection véritablement globales, notre conseil est la prudence. A la maison ou dans l’entreprise, avant de connecter un objet sur Internet vous devez partir du postulat qu’il pourra faire office de porte dérobée dans votre réseau, notamment s’il n’est jamais mis à jour ou patché. Etant conscient de cela, posez-vous la question suivante : les avantages de cette connectivité valent-ils les risques encourus ? »

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply