Tomber malade est doublement dangereux : L’équipement médical victime des hackers

17 Juin 2016

Presque toutes les cyberattaques ont le même objectif : détourner de l’argent.
Etant donné qu’une grande variété d’équipements sont désormais connectés, du matériel défectueux peut conduire à des conséquences bien plus graves qu’une perte d’argent. Qu’en est-il de la santé et de la vie humaines ?

getting-sick-featured

Prenons les voitures connectées, un parfait exemple montrant à quel point un appareil peut mettre la vie en péril. Un hacker prenant le contrôle d’une voiture peut facilement conduire à un accident. L’équipement médical se trouve également en danger. Le matériel censé nous maintenir en bonne santé peut être aussi utilisé contre nous.

A ce jour, nous ne connaissons aucun cas d’équipement médical piraté qui aurait directement nui à la santé humaine. Toutefois, les experts découvrent fréquemment de nouvelles vulnérabilités concernant le matériel médical, y compris des failles qui pourraient être utilisées dans le but de provoquer de sérieux préjudices corporels.

Puisque voler de l’argent et nuire à la santé des individus sont deux choses bien distinctes, on pourrait penser que les hackers s’abstiennent de prendre de telles mesures pour des raisons éthiques. Mais il est plus probable que les cybercriminels ne s’en soient pas déjà pris aux équipements médicaux tout simplement parce qu’ils ne connaissent pas (encore) la manière d’engendrer des bénéfices par le biais de telles attaques.

En réalité, les cybercriminels ont déjà attaqué à maintes reprises des hôpitaux avec des chevaux de Troie et autres malwares courants. Par exemple, au début de l’année, un certain nombre d’attaques de ransomware ont frappé des centres médicaux aux Etats-Unis, y compris l’Hollywood Presbyterian Medical Center à Los Angeles.

L’hôpital de Los Angeles a déboursé 17 000$ pour récupérer ses fichiers. En revanche, lorsque le Kansas Heart Hospital a fait la même chose, les hackers ne lui ont pas rendu ses documents, en lui demandant à la place plus d’argent. Comme vous pouvez le constater, nous ne pouvons pas compter sur des impératifs éthiques pour contrer les cybercriminels : pour se faire de l’argent facile, ils n’hésitent pas à s’en prendre aux établissements médicaux.

L’équipement médical passe des contrôles et certifications obligatoires, mais uniquement en tant que tel, et non comme étant une technologie informatique connectée. Répondre aux normes de cybersécurité est recommandé, bien sûr, mais demeure une question de confidentialité de la part du fournisseur. Par conséquent, de nombreux appareils médicaux souffrent d’indéniables failles, connues depuis longtemps des spécialistes en informatique.

La Food and Drug Administration (FDA) aux Etats-Unis régule la vente du matériel médical et son authentification. Afin de s’adapter à l’évolution de l’environnement connecté, la FDA a publié des recommandations pour les fabricants et prestataires de santé afin d’améliorer la sécurité de leurs équipements médicaux. Au début de l’année 2016, une ébauche du document a été publiée. Cependant, toutes ces mesures n’étaient que préventives, et demeurent toujours non obligatoires concernant la sécurité du matériel médical, essentiel pour sauver des vies humaines.

Une négligence qui ne pardonne pas

Les fabricants d’équipement médical peuvent demander de l’aide aux experts en cybersécurité, mais dans la réalité font tout le contraire, en refusant même de soumettre leur matériel aux tests. Les experts sont contraints d’acheter du matériel d’occasion de leur propre initiative afin de vérifier à quel point il est protégé. Par exemple, Billy Rios, qui connait très bien les objets connectés, examine aussi du matériel médical de temps à autre.

Il y a deux ans environ, Rios a testé les pompes à perfusion de la marque Hospira, qui sont distribuées dans des dizaines de milliers d’hôpitaux à travers le monde. Les résultats se sont avérés alarmants : les pompes à perfusion lui permettaient de changer les réglages et d’augmenter les limites des doses autorisées. Par conséquent, des malfaiteurs pouvaient injecter aux patients des doses plus élevées ou plus faibles. Paradoxalement, ces appareils n’avaient détecté aucune anomalie lors des tests.

Rios a trouvé une autre vulnérabilité sur le système Pyxis SupplyStation, fabriqué par CareFusion, spécialisé dans la distribution de matériel médical. En 2014, Rios avait découvert une faille permettant à n’importe qui d’infiltrer le système.

En 2016, Rios a de nouveau analysé le système Pyxis SupplyStation, cette fois avec l’aide de l’expert en sécurité Mike Ahmadi. Le duo a découvert plus de 1400 vulnérabilités, dont la moitié était considérée comme dangereuse. Même si des développeurs tiers avaient été tenus pour responsables d’un grand nombre de failles, et que les experts avaient analysé seulement un ancien modèle du système Pyxis SupplyStation, ces vulnérabilités s’avèrent toujours extrêmement préoccupantes.

Le problème est que ces solutions étaient en fin de vie (end-of-life), et malgré leur utilisation répandue, les développeurs n’avaient fourni aucun patch les concernant. A la place, CareFusion avait recommandé à ses clients de mettre à jour les nouvelles versions de l’équipement. Les organisations qui s’y étaient opposées, avaient reçu une liste de conseils sur la manière de minimiser les risques de piratage sur ces systèmes.
Il est compliqué et cher de moderniser du matériel ancien. Par exemple, Microsoft a déjà renoncé à installer des systèmes d’exploitation sur des appareils, les rendant ainsi extrêmement vulnérables. Les dernières versions de Pyxis SupplyStation tournant sous Windows 7 et les versions supérieures ne sont pas vulnérables à de telles failles.

Kaspersky Lab a également fourni des tests cyberstructurels pour les hôpitaux. Notre expert Sergey Lozhkin a été invité pour participer à une expérimentation consistant à pirater l’équipement médical d’un hôpital, y compris un scanner tomographique.

Bien entendu, il s’agit de cas qui ont été menés dans le cadre d’expérimentations, afin de montrer de quelle manière les cybercriminels pouvaient facilement reproduire le même schéma, le tout sans causer de préjudice réel !

Qui faut-il tenir pour responsable, et que devrait-on faire ?

La durée de vie du matériel médical est beaucoup longue que celle des smartphones. Une pièce couteuse d’un équipement peut facilement durer plus d’une dizaine d’années. Même si les derniers modèles sont moins vulnérables que les anciens, avec le temps et sans support adéquat, ils risquent de connaître autant de failles que leurs prédécesseurs.

Comme l’a expliqué Mike Ahmadi : « Je pense qu’il est nécessaire que les fabricants d’équipement médical spécifient une date de fin sur leurs équipements, de même que pour les dispositifs dans la cybersécurité. »

Le piratage de Pyxis SupplyStation n’a pas que du mauvais. Dans un premier temps, les développeurs n’avaient pas tenu compte des premières failles découvertes par Rios. Ce n’est que plus tard, lorsque le géant Becton Dickinson racheta l’entreprise que la nouvelle direction avait reconsidéré l’avis des experts en informatique. Peut-être qu’à l’avenir, les entreprises feront plus attention aux anomalies détectées qu’elles ne le font actuellement et mettront même en place des tests de vulnérabilités massifs concernant de nouveaux équipements avant que ces derniers ne fassent leur apparition sur le marché.