Erreurs de la médecine « intelligente »

Comme nous avons pu le voir à l’issue de nombreuses études réalisées sur les maisons, les voitures ou les villes « intelligentes », ces technologies sont d’une utilité indéniable dans la vie de tous les jours des individus, mais bien souvent, elles génèrent une menace pour la sécurité. Ces menacent ne se limitent pas uniquement aux fuites de données personnelles ; il suffit de s’imaginer qu’à un moment donné, un réfrigérateur « intelligent », sous l’emprise d’un tiers, commence à classer les produits périmés comme des produits frais. Ou bien imaginons ce scénario plus triste : alors que la voiture « intelligente » se déplace à grande vitesse, le volant est tout à coup braqué à droite, à la grande surprise du conducteur…

Ceci étant dit, les menaces réelles ou potentielles au niveau des appareils électroménagers de l’Internet des objets ne représentent qu’une partie du problème lié à l’ajout d’une composante intelligente à l’infrastructure qui nous entoure. Le boum des technologies dans le domaine médical ne s’est pas contenté d’entraîner l’informatisation exclusive du traitement des informations dans les institutions médicales. Il a engendré la création de nouveaux types de dispositifs médicaux et personnels capables d’interagir avec les systèmes classiques et les réseaux. Cela signifie que les menaces d’actualité pour ceux-ci peuvent toucher les systèmes médicaux.

Points d’entrée pour accéder aux données de valeur

Dans le secteur médical, les données personnelles du patient et les informations sur son état de santé constituent le principal vecteur d’attaque. Avant de pouvoir évaluer le niveau de protection de ces données, il faut d’abord définir les éléments de l’infrastructure des institutions médicales qui peuvent stocker des données médicales et/ou être exploités par un individu malintentionné.Nombre d’hôtes

Les points d’entrée potentiels peuvent être classés de la manière suivante :

  • les systèmes informatiques (serveurs, postes de travail, panneau de commande des dispositifs médicaux, etc.) du réseau informatique de l’institution médicale qui peuvent être connectés à Internet ;
  • un dispositif médical connecté au réseau de l’entreprise ;
  • un dispositif médical qui ne constitue pas un nœud du réseau mais qui est connecté à un poste de travail (par exemple, via une connexion USB) ;
  • les dispositifs portables du patient (bracelets connectés, stimulateurs et moniteurs cardiaques, pompes à insuline, etc.) ainsi que les dispositifs mobiles qui remplissent une fonction de suivi des indices de santé (téléphones mobiles, montres « intelligentes ») ;
  • divers systèmes d’informations accessibles via une connexion sans fil (Wi-Fi, Bluetooth, infrarouge) : holter, pulsoxymètre, enregistreur d’événements dans le cadre de la surveillance de l’état de patients à risques élevés, etc.

Les trois dernières options requièrent une analyse détaillée de modèles concrets dans le cadre d’accès direct à ceux-ci. C’est pour cette raison qu’elles méritent un article à part entière. Nous allons nous intéresser plus particulièrement aux appareils et aux composants qui ne requièrent pas un accès physique et qui, bien souvent, sont accessibles via Internet.

Les dispositifs connectés contiennent les antécédents médicaux

Nous avons déjà évoqué la sécurité des dispositifs connectés en mars 2015 : « Imaginez le cas d’un bracelet doté d’un capteur de fréquence cardiaque : si le propriétaire d’un magasin parvient à accéder aux données du bracelet, il pourra analyser les variations de la fréquence cardiaque de l’acheteur lorsque celui-ci voit une offre spéciale dans le magasin. Ceci est un bon moyen pour connaître la réaction du public par rapport à une publicité. Un bracelet connecté doté d’un capteur de fréquence cardiaque qui a été compromis peut également servir de détecteur de mensonge. »

Vu l’amélioration de la précision des capteurs, les gadgets qui récoltent des données sur l’état d’un individu pourraient être utilisés dans la pratique ambulatoire sérieuse en vue d’évaluer la santé d’un patient. Toutefois, la protection de ces dispositifs évolue moins vite que leur possibilités.

Le suivi des signes vitaux à l’aide de dispositifs mobiles pourrait devenir dans un avenir proche une partie inévitable de la pratique ambulatoire

Les informations récoltées dans le cadre du suivi des signes vitaux peuvent être exploitées non seulement par le propriétaire du dispositif, mais également par le fabricant de l’infrastructure sur la base de laquelle l’application de suivi fonctionne. Pour le patient, la fréquence cardiaque peut être un indicateur pour ralentir son activité ou prendre un médicament quelconque. Alors que le vendeur du dispositif peut, quant à lui, transmettre les données collectées à une entreprise médicale qui les analysera pour évaluer l’état de santé global du client.

Ainsi, l’avantage principal présenté par les résultats obtenus à l’aide du gadget ne sera pas la profondeur de l’analyse (n’importe quel examen médical sera en effet plus précis que les indications d’un bracelet connecté), mais bien la possibilité d’évaluer les modifications de l’état de santé dans le temps. Les scénarios envisageables pour l’utilisation de ces informations dépendent de l’imagination et de l’esprit d’entreprenariat des propriétaires, de même que de la législation en vigueur dans le domaine des données personnelles.

Et si l’on envisage l’exploitation de ces données du point de vue d’un cybercriminel, la perspective pour le propriétaire du dispositif n’est pas joyeuse : grâce à l’analyse de certains paramètres (par exemple, la fréquence cardiaque, la qualité du sommeil, l’activité quotidienne moyenne), le criminel peut se faire une idée de la santé de la victime. Des informations complémentaires peuvent également être obtenues via la connexion au dispositif mobile d’un gadget capable, par exemple, de mesurer la pression ou le taux de glycémie de l’utilisateur. Après avoir identifié les problèmes de santé de la victime, l’individu malintentionné peut provoquer leur progression.

Les attaques organisées dans le but d’obtenir les données relatives à la santé peuvent être scindées en trois types : violation de la confidentialité des données, de leur intégrité et de leur accessibilité. Il est possible de décrire les principaux vecteurs pour chacun de ces types.

Versions d’attaques qui violent la confidentialité des données médicales :

  • attaques de type « homme du milieu » sur le canal de communication entre le capteur et le service qui stocke les données ;
  • accès non autorisé au référentiel local ou distant de données.

Versions d’attaques qui violent l’intégrité des données :

  • accès non autorisé aux stockages des données et substitution potentielle de celles-ci ;
  • attaque de type « homme du milieu » sur les canaux de communication avec possibilité de substituer les données transmises (usurpation) ;
  • modification (substitution) des données (attaques d’usurpation) et présentation aux consommateurs (service de stockage ou application).

Attaques contre l’accessibilité :

  • attaques de ransomwares (chiffrement/destruction des données utilisateur).

Dans ce cas, le point d’entrée du code malveillant qui va voler ou substituer les données sur le dispositif mobile dépend du dispositif concret et du logiciel utilisé.

Données médicales sur Internet

J’aimerais toutefois aborder en détail un autre point d’entrée : les systèmes d’information du réseau informatique d’une institution médicale accessibles via Internet.

Les institutions médicales ont adopté les systèmes de stockage automatisés de données médicales qui permettent de conserver les données les plus diverses sur le patient (résultats d’un examen, données relatives aux ordonnances prescrites, antécédents médicaux, etc.) L’infrastructure de ce genre de système peut inclure différents composants logiciels et matériels qui peuvent s’unir dans le réseau de stockage de données et être accessibles, d’une manière ou d’une autre, via Internet.

A titre d’exemple de systèmes de stockage automatisé de données médicales, citons quelques suites logicielles qui peuvent constituer un point d’entrée dans l’infrastructure médicale :

  • Les systèmes HIS (Hospital Information System, système d’informations pour hôpitaux) sont des suites logicielles qui gèrent les informations médicales en provenance de plusieurs sources, y compris en provenance de systèmes de niveau inférieur.
  • Les systèmes de dossiers médicaux informatisés (Electronic Health Records) qui désignent les applications spécialisées dans la conservation structurée des données du patient et de ses antécédents médicaux.
  • Les serveurs de stockage en réseau (NAS) sont des référentiels réseau qui peuvent être des dispositifs spécialisés dans la conservation de données médicales ou des dispositifs d’entreprise utilisés dans l’infrastructure des institutions médicales.
  • Les dispositifs DICOM et les serveurs PACS (serveurs d’archivage d’images) sont des systèmes d’informations médicales qui reposent sur la norme DICOM (Digital Imaging and Communications in Medicine, Imagerie et communications numériques en médecine, une norme sectorielle pour la création, le stockage, le transfert et l’affichage des images et des documents médicaux des patients traités) et qui reprennent les composants suivants :
    • Client DICOM : dispositif médical capable de transmettre des informations au serveur DICOM
    • Serveur DICOM : ensemble matériel et logiciel qui se charge de la réception et du stockage d’informations relatives au client (les serveurs PACS appartiennent à cette catégorie)
    • Les postes de diagnostic et les imprimantes DICOM : ensemble matériel et logiciel responsable du traitement, de la visualisation et de l’impression des images médicales.

Les systèmes cités ci-dessus ont une particularité : ils disposent d’une interface Internet (application Web) qui permet de les gérer via Internet. Cet interface peut contenir des vulnérabilités qu’un individu malintentionné pourrait exploiter pour accéder à des informations ou des processus importants. Il convient d’examiner soigneusement ces systèmes et de confirmer s’ils sont accessibles via Internet, autrement dit voir s’ils constituent un point d’entrée pour un individu malintentionné.

Dossiers médicaux informatisés(Electronic Health Records)

Pour évaluer le nombre d’applications de gestion de dossiers médicaux informatisés accessibles depuis l’extérieur (via Internet), il convient d’établir une liste des applications utilisées à cette fin, puis de dresser une liste de dorks, ces requêtes spéciales dans les moteurs de recherche qui permettent de trouver les composants Internet de l’application en question sur l’ensemble des ressources indexées par le moteur.

Exemple de dork pour la recherche via Google de formulaire de connexion des composants d’une application qui appartient à un système de type Dossiers médicaux informatisés.

intitle: »<nom_de_l’éditeur> Login » & inurl:<nom_de l’éditeur>

Exemple d’un composant Internet (formulaire de connexion) d’une application de gestion de dossiers médicaux électroniques détecté

Signalons qu’une partie des ressources renvoyées par la requête était des pièges mis en place pour les individus malintentionnés (honeypot). Ceci indique que les chercheurs tentent de surveiller les menaces qui planent sur l’infrastructure médicale. Pour savoir si la ressource détectée est un piège, il suffit d’envoyer son adresse IP au service spécial HoneyScore qui permet de dire, sur la base de différents attributs de la ressource en question (par exemple, l’hébergeur), si celle-ci est un piège ou non. Un nombre important de systèmes réels fait malgré tout partie des résultats.

126 ressources qui répondaient à la condition de la requête

Chacune des ressources Internet découverte constitue un point d’entrée potentiel dans l’infrastructure et pourrait être exploitée par un individu malintentionné. Ainsi, de nombreux systèmes détectés sont dépourvus d’une protection contre l’obtention des mots de passe, ce qui signifie qu’un criminel peut organiser des attaques par force brute. Ensuite, muni du compte utilisateur, il peut obtenir un accès privilégié au système via l’interface ou rechercher et exploiter des vulnérabilités Internet en vue d’obtenir un accès ultérieur.

Exemple d’interface Internet détectée pour la connexion à un système de gestion de dossiers médicaux informatisés

Systèmes HIS

Les systèmes d’informations pour hôpitaux représentent un concept assez vaste qui reprend des méthodes et des technologies de traitement des données médicales. Nous nous intéresserons uniquement aux composant de ces systèmes qui sont dotés d’une interface Internet pour l’administration et l’affichage des informations médicales.

Prenons à titre d’exemple l’application OpenEMR adoptée par les institutions médicales en guise de système de gestion de données médicales et titulaire d’un certificat délivré par l’Office of the National Coordinator. Certains de ses composants ont été programmés en langage PHP, ce qui signifie que le serveur Web qui garantit le fonctionnement de ce composant d’OpenEMR pourrait devenir un point d’entrée potentiel pour l’individu malintentionné.

Le dork Google suivant renvoie 106 résultats qui satisfont à la requête :

inurl: »/interface/login/login_frame.php » intitle: »Login » intext: »Username: »

L’analyse rapide des résultats a permis de comprendre assez rapidement que les composants de la majorité des systèmes OpenEMR détectés contenait des vulnérabilités, notamment des vulnérabilités critiques capables de compromettre la base de données OpenEMR. Qui plus est, les codes d’exploitation de ces vulnérabilités sont accessibles.

Exemple de vulnérabilité ouverte dans un système HIS

Ainsi, l’analyse des versions d’une application a démontré que pour la majorité des applications installée sur ces hôtes, il existe des données sur les vulnérabilités qu’ils contiennent :

Version d’OpenEMR Nombre d’hôtes (%) Quantités de codes d’exploitation publics
4.2.0 31,4 Oui
4.1.2 14,3 Oui
4.1.0 11,4 Oui
4.2.1 5,7 Non
4.0.0 5,7 Oui
4.1.1 2,8 Oui
4.3.1-dev 2,8 Non
2.8.3 2,8 Oui
3.2.0 2,8 Oui
Version propriétaire (modifiée) 8,5
Version inconnue 11,4

Serveurs de stockage en réseau (NAS)

Les institutions médicales utilisent au moins deux types de serveurs de stockage en réseau : les serveurs de stockage en réseau « médicaux » spécialisés et les serveurs génériques. Alors que les premiers répondent à des exigences plus strictes en matière de protection des données conservées (par exemple, respect des dispositions du Health Insurance Portability and Accountability Act), la sécurité des seconds dépend de la conscience des fabricants et des institutions médicales qui les utilisent au sein de leur infrastructure. Par conséquent, les serveurs de stockage en réseau peuvent fonctionner pendant des années sans correctifs et contenir un volume important de vulnérabilités connues.

Afin d’identifier les serveurs de stockage en réseau qui fonctionnent dans des institutions médicales parmi l’ensemble des dispositifs indexés par les moteurs de recherche, il faut créer une liste de dork.

La requête suivante est destinée au moteur de recherche Censys qui est spécialisé dans l’indexation des dispositifs qui possèdent une adresse IP et qui permet d’identifier tous les dispositifs (postes de travail, serveurs, routeurs, serveurs de stockage en réseau, etc.) appartenant aux organisations dont le nom contient des mots qui définissent directement ou non ces organisations en tant qu’institutions médicales (« healthcare », « clinic », « hospital », « medical ») :

autonomous_system.organization: (hospital or clinic or medical or healthcare)

Le moteur de recherche Censys a détecté près de 21 278 hôtes en rapport avec des institutions médicales

D’après le rapport de Censys, le Top 10 des pays où l’on retrouve des hôtes est le suivant :

Ensuite, il est possible d’identifier parmi tous les hôtes ceux qui sont des serveurs FTP. Pour ce faire, il faut affiner la requête envoyée au moteur de recherche et choisir, par exemple, uniquement les hôtes qui contiennent un port FTP ouvert et dont la bannière contient la ligne « FTP » (informations envoyées par le serveur au client en cas de tentative de connexion au port) :

(tags: ftp) and autonomous_system.organization: (health or clinic or medical or healthcare)

Le résultat donne 1 094 hôtes avec un serveur FTP opérationnel qui appartiendraient à des institutions médicales.

De plus, cette première sélection permet d’obtenir une liste de serveurs de stockage en réseau de fabricants déterminés. Pour cela, il faut connaître les caractéristiques des dispositifs. Elles peuvent figurer dans les rapports des services qui fonctionnent sur le dispositif (par exemple, la réponse du serveur FTP à une tentative de connexion peut contenir le nom du dispositif et la version du micrologiciel). La requête suivante permet de choisir parmi les résultats uniquement les hôtes qui contiennent la ligne « NAS » dans la bannière (en général, plusieurs modèles de la société QNAP Systems possèdent cette caractéristique) :

(metadata.description: nas) and autonomous_system.organization: (health or clinic or medical or healthcare)

Serveurs de stockage en réseau de la société QNAP Systems détectés et appartenant à des institutions médicales

Chacun de ces serveurs de stockage en réseau détectés était doté d’une version du serveur Web ProFTDd qui possède une vulnérabilité pour laquelle il existe des codes d’exploitation facilement accessibles.

Serveur de stockage en réseau d’une institution médicale que nous avons détecté et qui contient un enregistrement vidéo d’une opération en libre accès

Serveurs PACS et dispositifs DICOM

Le type de dispositif le plus répandu qui prend en charge le format DICOM sont les serveurs PACS conçus pour imprimer les images des patients obtenues d’autres dispositifs DICOM.

Pour lancer une recherche de dispositifs DICOM, il suffit de lancer une simple requête dans le moteur Shodan :

DICOM port:104

Les résultats reprennent les hôtes (principalement des postes de travail et des serveurs) utilisés par les institutions médicales pour stocker et traiter les images DICOM des patients.

Liste des hôtes utilisés pour le traitement/le stockage des images DICOM

Il est également possible d’essayer de trouver les dispositifs de diagnostic DICOM, à savoir les systèmes PACS spécialisés dans le traitement, l’analyse et la visualisation des données. Prenons la requête suivante à titre d’exemple pour le moteur de recherche Censys :

pacs and autonomous_system.organization: (hospital or clinic or medical or healthcare)

L’analyse des résultats met en évidence la présence d’une application spécialisée pour un dispositif de diagnostic.

Panneaux de connexion de dispositifs de diagnostic utilisés pour visualiser les données du patient

Les résultats contiennent également des panneaux d’administration qui permettent d’accéder aux serveurs DICOM.

Panneau de connexion à un serveur DICOM

Systèmes « non médicaux » soufrant de pathologies

Les systèmes décrits ci-dessus sont en rapport avec des données médicales précieuses et pour cette raison, les exigences en matière de sécurité des données de tels systèmes doivent être les plus strictes. Il ne faut toutefois pas oublier qu’outre ces points d’entrée potentiels pour un individu malintentionné, il en existe une multitude d’autres qui ne sont pas liés à des systèmes médicaux mais qui partagent la même structure où se trouvent ces données précieuses.

Voici quelques exemples de systèmes « non médicaux » qui pourraient servir de point d’accès au réseau informatique en vue d’atteindre les ressources qui contiennent des données médicales :

  • n’importe quel serveur (serveurs Web, serveurs FTP, serveurs de courrier électronique, etc.) installé dans le réseau de l’institution et accessible via Internet ;
  • points d’accès Wi-Fi publics de l’institution médicale ;
  • imprimantes ;
  • systèmes de vidéosurveillance ;
  • Contrôleurs SCADA;
  • systèmes automatisés de gestion des composants mécaniques et électriques du bâtiment (gestion technique de bâtiment).

Chacun des systèmes cités ci-dessus peut contenir une vulnérabilité qui pourrait être exploitée par un individu malintentionné pour accéder à l’infrastructure médicale.

Prenons par exemple la vulnérabilité Heartbleed et évaluons sa distribution. Commençons par créer une requête spéciale pour le moteur de recherche Censys :

autonomous_system.organization: (hospital or clinic or medical or healthcare) and 443.https.heartbleed.heartbleed_vulnerable: 1

Le moteur de recherche a renvoyé 66 hôtes qui répondent à la requête et qui sont potentiellement vulnérables à Heartbleed. Et ce malgré le fait que cette vulnérabilité et le danger qu’elle représente ont été abondamment traités par la presse. S’agissant de Heartbleed, il ne faut pas oublier que le problème est également international : d’après un rapport du fondateur de Shodan, il resterait près de 200 000 sites vulnérables.

Prévenir vaut mieux que guérir

Pour éviter que des individus malintentionnés ne volent des données médicales dans des institutions médicales, nous souhaitons formuler les recommandations suivantes, en plus de l’adoption des mesures de protection indispensables de l’infrastructure de l’entreprise.

  • empêcher l’accès depuis l’extérieur à tous les systèmes d’information qui traitent des données médicales ou d’autres informations relatives aux patients
  • placer dans un tronçon distinct tous les dispositifs médicaux qui se connectent au poste de travail (ou qui constitue un nœud du réseau) dont les paramètres de fonctionnement peuvent être modifiés à l’aide de ce poste de travail (ou à distance)
  • tout système informatique en ligne doit être placé dans une zone démilitarisée ou être exclu du réseau de l’entreprise
  • se maintenir au courant de la publication des mises à jour des applications des systèmes médicaux et les appliquer régulièrement
  • modifier les mots de passe « par défaut » des panneaux de connexion des systèmes médicaux et supprimer les comptes utilisateur inutiles de la base de données (par exemple, les comptes d’essai)
  • utiliser des mots de passe complexes pour tous les comptes utilisateur.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *