Il est inévitable qu'à un moment donné de notre vie, que ce soit pour cause de maladie ou de blessure, nous passions du temps à l'hôpital sous les soins de médecins. Non seulement nous devons faire confiance aux médecins, qui ont des connaissances théoriques et une expérience pratique étendues, mais nous sommes également à la merci des équipements médicaux de haute technologie utilisés pour le diagnostic ou le traitement.
Cela signifie que nous mettons également notre sécurité et notre bien-être entre les mains des développeurs de matériel et de logiciels qui ont conçu les équipements médicaux et des administrateurs de système qui ajustent les appareils.
Au fil du temps et avec l'essor des nouvelles technologies, les dispositifs médicaux deviennent de plus en plus complexes et mis en réseau, et de plus en plus d'équipements sont utilisés dans les hôpitaux.
Tous ces capteurs et machines intelligentes ont des logiciels très complexes. Comme la cybersécurité n'est généralement pas la priorité des fabricants de dispositifs médicaux, des failles de sécurité apparaissent souvent. Et là où il y a des bogues et des vulnérabilités, il y aura des failles de sécurité. Mais est-ce vraiment une si grande menace ?
Que se passe-t-il lorsqu'un hôpital est piraté ?
Tout d'abord, les cybercriminels peuvent exploiter les failles de sécurité pour voler les données des patients ou infecter le réseau avec des logiciels malveillants. Mais ce n'est pas la pire chose qui puisse arriver.
Mais les pirates informatiques peuvent également modifier les données des patients stockées électroniquement. Ils peuvent transformer une personne saine en une personne malade et vice versa. Ils peuvent modifier les résultats des tests ou la dose de médicament prescrite et cela peut causer de graves dommages à la santé. Il est également possible de mal régler les appareils médicaux, ce qui peut endommager soit l'équipement, soit le patient traité.
De la théorie à la pratique
Lors du Security Analyst Summit 2016, l'expert de Kaspersky Lab, Sergey Lozhkin, a rapporté comment il a piraté un hôpital. Lozhkin avait utilisé Shodan (le moteur de recherche de l'Internet des objets) et était tombé sur du matériel médical provenant d'un hôpital dont le nom lui semblait familier, il s'est avéré qu'il appartenait à un de ses amis. Lozhkin a contacté le propriétaire et ensemble ils ont décidé de faire un test de pénétration secret pour savoir s'il était possible de pirater un hôpital.
En dehors des cadres, les deux hommes n'ont pas fait connaître le test. Ces cadres ont protégé de vrais patients et ont veillé à ce que leurs données ne puissent pas être compromises par "l'attaque des pirates informatiques".
La première tentative a échoué : Lozhkin n'avait pas pu pirater l'hôpital de l'extérieur car les administrateurs du système fonctionnaient correctement en cas d'attaque à distance.
Toutefois, depuis l'hôpital, M. Lozhkin a pu se connecter au réseau Wi-Fi local, qui n'était pas correctement installé. Il a piraté la clé du réseau et a eu accès à peu près à tout ce qui se trouvait sur le réseau, y compris à certains dispositifs de stockage et d'analyse des données. Lozhkin a également découvert un scanner tomographique accessible via le réseau local. L'appareil stockait de grandes quantités de données sur divers patients (fictifs) (car les données réelles avaient été préalablement sauvegardées par les personnes responsables).
En exploitant une vulnérabilité de l'application dans l'étape suivante, Lozhkin a pu accéder au système de fichiers et à toutes les données qu'il contenait. À ce stade, Lozhkin aurait pu faire beaucoup de dégâts : il aurait pu voler, altérer ou détruire des données, et même craquer le scanner tomographique et le désactiver.
Comme première mesure de sécurité, M. Lozhkin a donc recommandé d'engager un administrateur système qualifié qui n'aurait même pas pensé à connecter un scanner tomographique et d'autres équipements importants à un réseau public. Toutefois, cela ne constitue pas à lui seul une solution au problème, car les développeurs de l'appareil sont les premiers responsables du risque élevé de sécurité. Ils auraient dû investir davantage dans la sécurité informatique de leur produit.
Qui est à blâmer et que pouvons-nous faire ?
Le rapport de M. Lozhkin montre clairement qu'il y a beaucoup à faire pour assurer la sécurité informatique des dispositifs médicaux. En particulier, deux groupes de personnes, les développeurs de dispositifs médicaux et les membres des conseils d'administration des hôpitaux, devraient se pencher sur cette question.
Les développeurs doivent absolument effectuer des tests de sécurité informatique pour leurs appareils et s'assurer que les vulnérabilités éventuelles sont corrigées à temps. Les directeurs doivent assurer la sécurité du réseau et veiller à ce que les équipements des infrastructures critiques ne soient jamais connectés à un réseau public.
Les deux groupes doivent introduire des tests et des audits de sécurité informatique. Les hôpitaux peuvent effectuer des tests de pénétration, les développeurs doivent effectuer des tests de sécurité approfondis avant de lancer leur produit.