Pirater  » les mains et les yeux  » d’un robot médical…

1 Mai 2015

Selon le MIT Technology Review, un groupe de chercheurs en sécurité aurait réussi à prendre le contrôle d’un robot de téléchirurgie.

doct

La téléchirurgie – peut être mieux connue sous le nom de chirurgie à distance – se définit de manière très simple. Il s’agit tout simplement d’un docteur assis face à un ordinateur (lui-même doté de logiciels et de matériel hautement spécialisés) quelque part dans le monde qui contrôle un robot réalisant une opération dans une autre partie du globe. Ce n’est peut-être pas très surprenant pour une personne qui a déjà vu une opération chirurgicale dirigée par un humain et réalisée par un robot médical. Les opérations de ce type sont d’ailleurs moins chères que les opérations effectuées par des humains, surtout si le médecin doit voyager.

 

De ce fait, la téléchirugie permet aux médecins hautement qualifiés de pouvoir effectuer des opérations chirurgicales sur des patients se trouvant dans des régions du monde qui manquent de chirurgiens hautement qualifiés, et ce, sans avoir à se déplacer. Cette technologie ouvre donc un vaste potentiel de revenus pour des procédures médicales (relativement) bon marché partout dans le monde. Cependant, comme vous l’aurez deviné, certains dispositifs et protocoles de téléchirurgie peuvent être la cible de dangereuses attaques électroniques.

Les chercheurs ont non seulement trouvé la possibilité de surveiller ou de nuire à distance au bon fonctionnement du robot médical, mais ils ont également trouvé le moyen d’en prendre complètement le contrôle.

Dans ce cas, les chercheurs de l’Université de Washington, dirigés par l’experte en interaction cyberphysique, Tamara Bonaci, ont ciblé les technologies de communication nécessaires à la réalisation d’une opération de téléchirurgie. Les chercheurs ont non seulement trouvé la possibilité de surveiller ou de nuire à distance au bon fonctionnement du robot médical, mais ils ont également trouvé le moyen d’en prendre complètement le contrôle.

À l’origine, la téléchirurgie était réalisée via des lignes de fibre optique spécialisées comme nous l’indique le MIT Technology Review. Cette technique est à la fois sûre – en supposant que tous les autres dispositifs participant à l’opération ne soient pas infectés de malwares – mais très onéreuse. Malheureusement, les avantages financiers de la téléchirurgie disparaissent dès qu’une ligne spécialisée est mise en place entre le chirurgien et le patient. Mais pour que la téléchirurgie soit rentable et peu coûteuse, les chirurgiens ont dû trouver des solutions de communication moins chères, comme Internet.

Jusqu’alors, aucune attaque réaliste visant une opération de téléchirurgie n’a eu lieu, mais nous savons tous que l’Internet n’est pas totalement sûr. C’est pourquoi Bonaci et son équipe se sont penchés sur la question de l’attaque du robot chirurgical nommé Raven II. D’un côté, nous avons le médecin en possession d’un appareil lui permettant de regarder et de contrôler les faits et gestes du robot effectuant l’opération chirurgicale. En plus de la vidéo, la console à la technologie de pointe offre également au chirurgien un retour sensoriel, lui permettant une sensation tactile réaliste durant l’opération.

De son côté, le docteur agit sur un système largement basé sur Linux, et de l’autre côté nous avons le système d’exploitation du robot. Les deux parties communiquent donc entre elles via l’Internet public, en utilisant un protocole spécialement conçu appelé Protocole de Téléchirurgie Interopérable.

Les chercheurs ont affirmé au MIT Technology Review que prendre le contrôle du dispositif de téléchirurgie fut un jeu d’enfant dans la mesure où le Protocole de Téléchirurgie Interopérable est totalement ouvert au public et disponible. Hormis cela, les chercheurs ont également été capables de retarder les signaux envoyés au dispositif robotique ou, encore, de le faire agir de manière erratique, en modifiant les signaux envoyés par le chirurgien via Internet. Dans un certain nombre de cas, les chercheurs ont réussi à déclencher le mécanisme d’arrêt automatique de sécurité du robot, ce qui équivaut à une attaque par déni de service.

Encore plus surprenant, une vidéo des opérations de téléchirurgie effectuées par Raven II a été diffusée au grand public sur Internet sans aucun chiffrement, ce qui signifie que tout le monde pouvait y avoir accès.
Dans un test, les chercheurs ont intégré le chiffrement des commandes au protocole de téléchirurgie. Cela n’a eu aucun impact négatif financier ou pouvant nuire aux performances et aux capacités de Raven II dans l’exécution d’une opération. Cependant, ils disent que le chiffrement de la vidéo ne serait pas possible à appliquer sur les systèmes de Raven II, dans la mesure où souvent, les opérations chirurgicales ont lieu dans des régions isolées ayant un accès limité à certains équipements de réseau. Le MIT Technology Review nous informe que la vente de dispositifs de téléchirurgie augmente de 20% par an.