Posté le août 25, 2021 à 20:07
LES VULNÉRABILITÉS DES POMPES À PERFUSION LES EXPOSENT À DES HACKERS QUI PEUVENT MODIFIER LES DOSES
Plusieurs dispositifs médicaux présentent des vulnérabilités qui les exposent aux hackers. Parmi les appareils exposés à ce risque figurent les stimulateurs cardiaques, les pompes à insuline, les échographes, les mammographes et les moniteurs. La plus menaçante de ces vulnérabilités est celle de la pompe à perfusion qui peut délivrer des doubles doses de médicaments aux victimes.
Ces pompes à perfusion administrent automatiquement une dose de médicaments et de nutriments aux patients par le biais d’une poche de liquides intraveineux. L’appareil est programmé pour administrer de petites doses sans erreur. Par conséquent, s’il y a un risque d’erreur, les effets pourraient être mortels.
Les pompes à perfusion sont liées à des blessures et à des décès
La Food and Drugs Administration (FDA) a déjà publié des rapports sur les blessures et les décès liés aux pompes à perfusion. Entre 2005 et 2009, la FDA a reçu environ 50 000 rapports d’événements indésirables liés à des pompes à perfusion défectueuses. En conséquence, la FDA a imposé une mesure de sécurité pour les pompes à perfusion en 2010.
La sécurité fournie par la FDA exige que les appareils tels que la pompe à grand volume Infusomat Space de B. Braun soient verrouillés au niveau du logiciel. Cela élimine toute possibilité d’envoyer des commandes directes aux appareils. Cependant, des recherches menées par McAfee montrent que cette limitation comporte des failles.
Selon Steve Povolny, chercheur en chef chez McAfee, « en tant qu’attaquant, vous ne devriez pas être en mesure de passer de la SpaceStation au système d’exploitation de la pompe proprement dite, ce qui fait que franchir cette frontière de sécurité et obtenir un accès pour pouvoir interagir entre les deux est un vrai problème. Nous avons montré que nous pouvions doubler le débit. »
La recherche a également indiqué qu’un attaquant qui peut accéder au réseau d’un établissement médical peut exploiter une vulnérabilité de connectivité qui lui permet de contrôler la SpaceStation. Toutefois, les chercheurs ont admis que l’attaque n’était pas facile à réaliser mais qu’elle nécessitait un accès solide au réseau de l’établissement médical.
Cependant, si un hacker réussit à exploiter ces vulnérabilités, il permet à un attaquant de trouver une faille dans la sécurité des appareils. Le hacker pouvait alors augmenter ses privilèges, accéder à des informations sensibles, télécharger des fichiers et exécuter du code à distance. McAfee a également ajouté que le hacker pouvait modifier la configuration des pompes à perfusion et modifier les doses.
Mise à jour vers la dernière version
McAfee a également déclaré qu’il existait un moyen de renforcer la sécurité des appareils. Cela peut se faire en installant la dernière version du logiciel. La société invite également les personnes ayant acheté ces appareils à installer des mesures de sécurité supplémentaires, comme la mise en place d’authentifications multifactorielles et la segmentation.
D’autre part, B. Braun a déclaré que les vulnérabilités ne concernaient pas tous les appareils mais seulement un nombre limité d’anciens logiciels. B. Braun a également déclaré n’avoir vérifié aucun cas d’exploitation de ces appareils. Nous ne sommes pas du tout d’accord avec McAfee lorsqu’il affirme dans son message qu’il s’agit d’un « scénario réaliste » dans lequel la sécurité des patients est menacée », ajoute la société.
Les chercheurs de McAfee ont également ajouté que les bugs trouvés sur les pompes à perfusion n’étaient pas encore corrigés. La société a également ajouté qu’elle n’avait supprimé la fonction réseau vulnérable que dans les nouveaux appareils SpaceStations.
McAfee a ajouté qu’il avait découvert les bugs vers la fin de l’année 2020. La FDA a déclaré qu’elle devait encore être informée des vulnérabilités. Cependant, l’agence a déclaré qu’elle contacterait les chercheurs et analyserait les informations relatives à la vulnérabilité. La FDA a également déclaré qu’elle se coordonnerait avec les fabricants de dispositifs pour évaluer et déterminer la menace pour la sécurité des patients.
Selon les recherches de McAfee, l’exploitation de la vulnérabilité serait un processus difficile et long pour le hacker. Il n’est pas facile d’obtenir des informations sur les appareils ; par conséquent, un hacker doit être hautement qualifié et disposer de ressources adéquates lui permettant de faire de l’ingénierie inverse et de coordonner l’attaque. En raison de ces précisions insuffisantes, les chercheurs de McAfee se sont montrés prudents quant aux informations à révéler dans leurs découvertes.
Il est également possible qu’un attaquant puisse déployer un minimum d’efforts pour faire des dégâts. Il lui suffirait d’accéder à la première vulnérabilité de la chaîne pour mener d’autres attaques telles que les ransomwares. Les hôpitaux ont été victimes d’attaques par ransomware ces derniers temps ; par conséquent, le fait de ne pas corriger cette vulnérabilité pourrait avoir des effets dévastateurs.
« Les ransomwares sont peut-être plus probables en ce moment, mais nous ne pouvons pas ignorer le fait que cela existe. Il suffit d’une seule fois – une personnalité politique, une tentative d’assassinat – pour que nous nous disions que nous aurions pu faire le nécessaire pour éviter cela », a déclaré M. Povolny. Les problèmes de sécurité et de confidentialité liés à la santé des patients sont devenus un besoin urgent.
