Scanners MRI, pompes à perfusion, équipement à rayons X et bien d’autres appareils électroniques dans le secteur des soins constituent une menace pour la santé, selon des spécialistes de la sécurité IT.
La sécurité IT de l’équipement médical pose problème au niveau le plus basic, peut-on conclure des la présentation de Scott Erven, co-directeur de l’agence-conseils Protiviti, lors de la conférence sur la sécurité DerbyCon.
Conjointement avec le chercheur Mark Collao, il a effectué une recherche sur des appareils médicaux connectés à internet en saisissant des termes tels ‘radiology’ et ‘podiatry’ dans le moteur de recherche Shodan. Ils ont ainsi trouvé plusieurs milliers d’appareils, annonce Computerworld. Le duo a ensuite recherché les modes d’emploi en ligne et a découvert que pour un grand nombre d’appareils trouvés, les mots de passe par défaut donnés par leur fabricant étaient encore et toujours utilisés. Il s’agit là d’un phénomène tout à fait particulier étant donné que fabricants préviennent en général que le droit au support n’est plus de mise si les mots de passe par défaut ne sont pas changés.
Erreurs à l’installation
Le duo a aussi observé que des mots de passe étaient réutilisés à de nombreuses reprises. Certains appareils étaient correctement connectés à internet, mais il y avait aussi pas mal d’outils accessibles par mégarde en ligne, par exemple en raison d’une erreur lors de la procédure d’installation.
Cette situation représente non seulement un risque important pour la confidentialité, étant donné que les données des patients peuvent se retrouver ainsi à la rue, mais constitue également une menace pour la sécurité, par exemple au cas où il serait possible de bidouiller les paramètres utilisés. Evren a cité deux cas, où les patients avaient eux-mêmes augmenté leur dose d’antidouleur en piratant leur pompe à perfusion.
Forts risques d’hameçonnage
Les chercheurs ont trouvé aussi chez un prestataire de soins américain au moins qu’il était possible d’accéder par effraction aux informations détaillées de 68.000 appareils médicaux. Il est possible alors de savoir ce que tel ou tel appareil est en train de faire, où il se trouve dans l’hôpital et quels médecins y ont accès. Ces informations offrent des possibilités d’hameçonnage (phishing) chez les médecins et le personnel soignant.
Pour terminer, Evren a montré un test par lequel les deux chercheurs voulaient se faire une idée des dangers actuels auxquels ce genre d’équipement aisément accessible est exposé. Il a ainsi installé dix ‘honeypots’ se faisant passer pour des appareils médicaux. Durant la durée du test, l’on s’est connecté 55 fois aux ‘honeypots’, 24 failles ont été exploitées et 299 formes de malware ont été repérées.
Source: Automatiseringgids
