Décryptage

Piratage des appareils médicaux : panique au bloc

Posté le 5 janvier 2017
par Philippe RICHARD
dans Informatique et Numérique

On parle de plus en plus de l’internet des objets et des capteurs installés dans les entreprises pour suivre en temps réel différents paramètres. Mais il s'en trouve aussi dans les hôpitaux et à l’intérieur de patients… Ils sont également touchés par des failles de sécurité.

Jusqu’à présent, les rappels organisés par les industriels ou les distributeurs concernaient des anomalies dans le fonctionnement d’un appareil ou d’une voiture ou la détection de traces suspectes (comme des bouts de métal dans des boites de conserve). Il faut maintenant s’habituer aux rappels à propos de failles de sécurité dans les équipements médicaux !

La réalité a rejoint la fiction. Dans la série Homeland, le vice-président Walden est assassiné à distance au moyen de son pacemaker déréglé par un pirate. Cette attaque n’est pas un délire de scénariste ; comme la majorité des appareils connectés, ce type d’équipement intègre un faible niveau de sécurité, voire une absence totale de mécanismes de protection.

Fin décembre, le laboratoire pharmaceutique Johnson&Johnson est entré en contact avec 114 000 patients aux États-Unis et au Canada. L’un de leurs modèles de pompe à insuline présente une vulnérabilité. Exploitée malicieusement, elle permet d’injecter une dose potentiellement mortelle pour son porteur.

Cet exemple n’est pas unique. Depuis quelques mois, les révélations sur les vulnérabilités de ces équipements se multiplient. Jay Radcliffe, chercheur en sécurité chez Rapid7, lui-même diabétique, a par exemple démontré que le flux de connexion de sa pompe à insuline n’était pas chiffré. En clair, cela signifie qu’il peut être intercepté pour y injecter des données altérées.

Face à ces menaces, la FDA (Food and Drug Administration) a commencé à prendre des mesures drastiques dès 2015. A cette époque, elle avait ordonné le retrait du marché des pompes à perfusion Symbiq de l’américain Hospira. Raccordées en wi-fi, elles pouvaient être modifiées à distance. Pas de cas identique en France. Mais la Haute Autorité de Santé (HAS) a publié un guide de 101 bonnes pratiques afin de concevoir des objets connectés médicaux plus sûrs.

Ce guide est d’autant plus important que la menace concerne aussi les équipements hospitaliers comme les scanners et les IRM qui sont aujourd’hui raccordés au web ou à des réseaux. Comme un PC, ils peuvent donc être infectés par un code malveillant via une liaison internet ou une clé USB. La situation commence à être prise au sérieux par les autorités et les fabricants car le nombre d’incidents déclarés volontairement par les établissements s’est élevé à 1300 en 2015. Mais à la différence de l’informatique de bureau, la problématique est plus compliquée à gérer. « Si un client applique une modification d’un tel système comme la mise en place d’un correctif, cela entraîne la perte d’agrément de santé », signale Philippe Loudenot, Fonctionnaire de sécurité des systèmes d’information au ministère des Affaires sociales.

Philippe Richard


Pour aller plus loin

Dans les ressources documentaires