La médecine attaquée : comment pirater un hôpital ?

Lors du SAS 2016, Sergey Lozhkin a révélé qu’il a piraté l’hôpital et les équipements médicaux d’un de ses amis.

Il est inévitable qu’à un certain moment de notre vie, nous séjournions à l’hôpital pour cause de blessure ou de maladie, afin qu’un médecin ou qu’une équipe de médecins s’occupe de nous. Grâce à leurs longues années de pratique et de formation, nous pouvons faire confiance à nos médecins. Nous devons également faire confiance aux appareils médicaux high-tech qui permettent d’identifier ou de soigner ce qui nous indispose. Par conséquent, nous devons également confier notre sécurité et notre bien-être aux développeurs de matériel et de logiciels qui ont créé l’équipement médical utilisé par les médecins ainsi que les administrateurs système qui les règlent.

Au fil des années, l’équipement médical devient de plus en plus complexe et interconnecté, et les hôpitaux comportent toujours plus d’appareils de ce type. Tous ces capteurs et ces machines intelligentes demandent des logiciels complexes. Étant donné qu’en général, la cybersécurité ne fait pas partie des priorités des fabricants d’équipements médicaux, ces appareils ont inévitablement des failles de sécurité. Et s’il y a des bogues et des vulnérabilités, ceux-ci seront exploités tôt ou tard. Mais est-il dangereux qu’un hôpital soit piraté ?

Quel est le problème que représente le piratage des hôpitaux ?

En un mot : tout

Tout d’abord, les cybercriminels peuvent exploiter des vulnérabilités logicielles pour voler les données des patients ou infecter le réseau de maliciels (ce n’est pas le pire scénario !).

Les hackers peuvent également modifier les données des dossiers de santé électroniques des patients : ils peuvent transformer une personne en bonne santé en malade et vice versa, changer des résultats de tests ou la puissance d’une dose… Cela pourrait mettre sérieusement en danger la santé des patients. Il est aussi possible de modifier les réglages d’appareils médicaux de façon à rendre inutilisables des équipements chers ou, encore une fois, blesser des patients soumis à un traitement à l’aide de ces machines.

De la possibilité au réel

Lors Security Analyst Summit 2016, l’expert Sergey Lozhkin, de Kaspersky Lab, a révélé comment il avait véritablement piraté un hôpital.

SONY DSC

SONY DSC

Un jour, Lozhkin est tombé par hasard sur l’équipement médical d’un hôpital qui lui semblait familier en utilisant Shodan (le moteur de recherche de l’Internet des Objets) : il s’agissait de celui d’un de ses amis. Lozhkin a expliqué la situation au propriétaire et le duo a essayé de réaliser un test de pénétration secret pour voir s’il était possible de pirater l’hôpital.

Ils se sont arrangés pour que personne ne sache rien du test hormis les cadres supérieurs. Ces derniers ont sécurisé les patients réels et leurs données de tout dommage potentiel causé par le  » hacker « .

SONY DSC

SONY DSC

La première tentative a échoué : Sergey n’a pas pu pirater l’hôpital à distance ; dans ce cas, les administrateurs système ont parfaitement joué leur rôle.

Mais quand Sergey s’est rendu à l’hôpital, il s’est rendu compte qu’il pouvait se connecter au Wi-Fi local qui n’était pas bien paramétré. Il est parvenu à pirater la clé du réseau et cela lui a permis d’accéder à presque tout ce qu’il y avait à l’intérieur, y compris un certain nombre d’appareils de stockage de données et d’analyse. L’appareil qui a attiré l’attention de Sergey était un scanner tomographique très cher auquel on pouvait également accéder depuis l’intérieur du réseau local. L’appareil comprenait une grande quantité de données à propos de différents patients fictifs (étant donné que la direction avait sécurisé les données réelles au préalable).

SONY DSC

SONY DSC

Après avoir exploité la vulnérabilité de l’application, Sergey a accédé au système de fichiers, et donc à toutes les données du scanner. Si Sergey avait été un véritable cybercriminel, il aurait alors pu faire presque tout ce qu’il aurait voulu : modifier, voler ou détruire les données, et même mettre hors service le scanner tomographique.

Lozhkin a recommandé, à titre de mesure temporaire, d’engager un administrateur système compétent qui ne connecterait pas un scanner tomographique et d’autres appareils importants à un réseau public. Cependant, cela n’est pas une véritable solution, car les responsables ici, sont en premier lieu les concepteurs de cette machine. Ils auraient dû prêter plus attention à la cybersécurité de leur produit.

De qui est-ce la faute, et que devrions-nous faire ?

Le rapport de Lozhkin montre bien le travail qui reste à faire en termes de cybersécurité des équipements médicaux. Il y a deux groupes de personnes qui devraient être alarmées par cette question, de manière plus spécifique : les développeurs d’équipement médical, et les comités de gestion des hôpitaux.

https://twitter.com/samgadjones/status/697024521166004228

Les développeurs devraient tester la sécurité de leurs appareils, rechercher les vulnérabilités et assurer que celles-ci sont corrigées rapidement. Les groupes de gestion devraient faire plus attention à la sécurité de leur réseau et s’assurer qu’aucun équipement d’infrastructure critique ne soit connecté à un réseau public.

Et ces deux groupes ont vraiment besoin de contrôles d’audit de cybersécurité. Dans le cas des hôpitaux, ceux-ci pourraient être réalisés sous forme de tests de pénétration ; dans celui des développeurs, les tests devraient être réalisés avant la distribution commerciale de leurs produits, comme tous les tests globaux de sécurité.

Conseils