Hôpitaux victimes d’attaques en 2016

Depuis le début de l’année 2016, plusieurs incidents de sécurité informatique concernant des hôpitaux et des dispositifs médicaux ont défrayé la chronique. Il s’agit notamment d’une attaque de ransomware contre un hôpital de Los Angeles, d’un événement similaire contre deux hôpitaux en Allemagne, d’un cas de piratage du dispositif de surveillance et d’administration des médicaments d’un patient réalisé par des chercheurs, d’une attaque contre un hôpital de Melbourne, et ainsi de suite. Et cela, en l’espace de deux mois seulement ! Cette situation constitue une source de préoccupations pour le secteur de la sécurité.

Il n’y a pourtant rien de surprenant. Le secteur de l’Internet des objets se développe et bien entendu, le secteur des dispositifs médicaux représente l’une des plus grandes préoccupations en termes de sécurité. Les dispositifs médicaux modernes sont des ordinateurs à part entière, dotés d’un système d’exploitation et d’applications. La majorité de ces dispositifs est dotée d’un canal de communication avec Internet, les réseaux externes et différents types de serveurs personnalisés dans le cloud. Ces dispositifs regorgent de technologies de pointe qui poursuivent un seul objectif : aider les médecins à offrir le meilleur traitement à leurs patients. Et à l’instar de tous les autres systèmes industriels, ces dispositifs sont développés en mettant l’accent sur ces technologies afin d’être précis et utiles sur le plan de la médecine tandis que les questions de sécurité sont repoussées au 2e, voire au 3e plan. Les préoccupations sont particulièrement élevées à l’heure actuelle. Les vulnérabilités dans l’architecture de conception des programmes, les autorisations non sécurisées, les canaux de communication en clair et les bogues critiques dans les logiciels sont autant d’éléments qui ouvrent la porte aux compromissions.

Un accès non autorisé à ces dispositifs pourrait être lourd de conséquences car il pourrait déboucher non seulement sur le vol de données personnelles, mais pire encore, il pourrait avoir un impact direct sur la santé, voire la vie, des patients. Il est effrayant de voir à quel point un pirate peut s’introduire aisément dans le réseau d’un hôpital, voler les informations personnelles stockées dans un dispositif médical ou accéder à ce dispositif dans le but de pénétrer dans le système de fichiers ou d’accéder à l’interface utilisateur. Imaginez un scénario, un cas qui serait une véritable « attaque ciblée », où des cybercriminels pourraient manipuler les résultats d’un dispositif de diagnostic ou de traitement après avoir obtenu un accès total à l’infrastructure médicale d’un centre en particulier. Dans la mesure où le travail des médecins dépend énormément de ces dispositifs médicaux sophistiqués, toute manipulation réalisée par des individus malintentionnés pourrait entraîner l’administration d’un traitement erroné à un patient et l’aggravation de son état.

Dans le cadre de mes recherches que j’ai présentées au Kaspersky Security Analysts Summit, j’ai démontré à quel point il était facile de trouver un hôpital, d’accéder à son réseau interne et de prendre les commandes d’un appareil IRM où j’ai trouvé les données personnelles des patients, les procédures de traitement, avant de pouvoir accéder au système de fichiers de l’appareil IRM. Le problème ne se situe pas uniquement au niveau de la faiblesse de la protection des dispositifs médicaux ; il est bien plus large : l’ensemble de l’infrastructure informatique des hôpitaux modernes manque d’organisation et de protection. Les hôpitaux du monde entier sont confrontés à cette menace.

Voyons comment des cybercriminels pourraient réaliser une attaque. J’ai souligné trois failles majeures dans la protection des infrastructures médicales :

Tout d’abord, l’accès à Internet via une autorisation faible ou sans autorisation.

Il existe plusieurs manières de trouver des dispositifs vulnérables, notamment à l’aide du moteur de recherche Shodan. A condition d’envoyer les requêtes adéquates à Shodan, vous pouvez trouver des milliers de dispositifs médicaux exposés sur Internet : un pirate pourrait ainsi identifier des appareils IRM, des équipements de cardiologie, de radiologie ou d’autres dispositifs associés connectés à Internet. Bon nombre de ces dispositifs fonctionne toujours sous Windows XP et compte des dizaines d’anciennes vulnérabilités qui n’ont pas été éliminées et qui pourraient déboucher sur la compromission totale d’un système distant. De plus, dans certains cas, ces dispositifs utilisent toujours le mot de passe par défaut qui pourrait être facilement obtenu en consultant les modes d’emploi publiés sur Internet.

Hôpitaux victimes d'attaques en 2016

Résultats de recherche de Shodan

Lors de mes recherches et dans le cadre des essais de pénétration réalisés contre un hôpital authentique, j’ai trouvé quelques dispositifs connectés à Internet, mais ils étaient bien protégés : pas de mot de passe par défaut, pas de vulnérabilités dans les interfaces de commande par Internet, etc. Mais même si le site est protégé du côté Internet, un cybercriminel recherchera d’autres méthodes pour pénétrer dans le système s’il s’est fixé comme objectif d’y accéder coûte que coûte.

C’est ici qu’intervient la deuxième faille : les dispositifs ne sont pas protégés contre l’accès depuis les réseaux locaux.

Dans mon cas précis, je me suis rendu à l’hôpital et j’ai trouvé plusieurs points d’accès Wi-Fi qui lui appartenaient. L’un d’entre eux était protégé par un mot de passe faible que j’ai réussi à déchiffrer en l’espace de deux heures. Ce mot de passe m’a permis d’accéder au réseau interne de l’hôpital ; j’y ai trouvé les mêmes dispositifs médicaux que j’avais identifiés via Internet, mais avec une différence de taille : je pouvais désormais établir une connexion car pour eux, le réseau local était un réseau de confiance. J’ai un conseil pour les fabricants de dispositifs médicaux : quand vous créez un nouveau système, protégez-le contre l’accès interne. Pour une raison inconnue, vous avez estimé que si une personne tentait d’y accéder depuis un réseau interne, cette connexion pouvait être acceptée par défaut. Cette conception est totalement erronée. Il ne faut pas compter sur les administrateurs de système et sur la manière dont ils organisent la protection du réseau interne d’un hôpital.

Ceci nous amène à la troisième faille, à savoir les vulnérabilités dans l’architecture logicielle.

Après m’être connecté au dispositif et avoir franchi l’écran de connexion par défaut, j’ai eu tout de suite accès à l’interface de commande ainsi qu’aux informations personnelles et aux diagnostics des patients de l’hôpital. Toutefois, ce ne sont pas ces éléments qui ont attiré mon attention. L’interface utilisateur contenait une interface de commande qui me donnait accès au système de fichiers du dispositif.

hospitals_2

Résultats de l’IRM d’un patient

D’après moi, il s’agit d’une vulnérabilité majeure dans le design de l’application. Même en l’absence d’accès à distance, pourquoi les ingénieurs informaticiens offriraient-ils un accès via une interface système du médecin ? Cette caractéristique ne devrait pas être présente par défaut. C’est ce que j’écrivais au début de cet article. Il est tout à fait envisageable qu’un développeur mette en place une protection efficace d’un côté, mais qu’il néglige la protection du reste. Or, un individu qui a décidé de réaliser une attaque va certainement identifier ces points faibles et l’ensemble du dispositif sera compromis.

L’autre préoccupation en matière de vulnérabilités dans les applications se situe bien entendu au niveau des versions dépassées des systèmes d’exploitation et des difficultés de gestion des correctifs. Ici, l’environnement n’a rien à voir avec une infrastructure informatique standard composée d’ordinateurs de bureau ou d’appareils mobiles. Il est impossible de publier simplement le correctif d’une vulnérabilité et de le charger sur les dispositifs médicaux. Il s’agit d’une procédure manuelle complexe et bien souvent, un ingénieur qualifié doit se rendre à l’hôpital afin de réaliser la mise à niveau du système, puis confirmer le bon fonctionnement des dispositifs après la mise à jour. Cela coûte du temps et de l’argent et par conséquent, il est essentiel de créer un système protégé dès le début, au cours du développement, qui contiendra le moins de vulnérabilités d’application possible.

Les fournisseurs de dispositifs médicaux et les services informatiques des hôpitaux doivent être attentifs aux questions liées à la cybersécurité médicale car ils sont désormais dans le collimateur des milieux cybercriminels. Au cours de cette année, il faudra s’attendre à une augmentation du nombre d’attaques contre des infrastructures médicales, dont des attaques ciblées, des infections par ransomware, des attaques DDoS, voire des attaques visant à mettre des dispositifs médicaux hors service. Heureusement, le secteur a commencé à prêter attention. Ainsi, la Food and Drug Administration des Etats-Unis a publié des recommandations qui reprennent les étapes importantes que les fabricants de dispositifs médicaux doivent suivre afin d’évaluer en permanence les risques de cybersécurité dans le but de garantir la sécurité du patient et de mieux protéger la santé publique.

Pour ma part, je souhaiterais fournir quelques conseils au personnel informatique des hôpitaux :

  • Soyez conscients du fait que les cybercriminels visent désormais les infrastructures médicales. Lisez les informations relatives à ces incidents et voyez comment les méthodes d’attaque pourraient toucher votre propre infrastructure.
  • Respectez le plus scrupuleusement possible les stratégies de sécurité informatique mises en œuvre et développez également des stratégies pour l’application des correctifs en temps utiles et l’évaluation des vulnérabilités.
  • S’il est vrai qu’il faut protéger l’infrastructure contre les menaces externes comme les malwares ou les pirates, il faut également maintenir un contrôle strict sur ce qui se passe dans votre réseau local, sur les accès et sur tout élément qui pourrait déboucher sur la compromission des systèmes locaux.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *