hème IT
18 HealthCare magazine • 8 decembre 2016 • N°12
E
videmment, un tel titre vise
surtout à attirer l’attention du
lecteur afin qu’il soit également
sensibilisé à la lecture d’articles inquiétants
du style :
●
Le malware Mirai a paralysé en sep -
tembre dernier le site d’un expert en
sécurité dans le cadre d’une attaque de
type ‘déni de service’, de même qu’en
octobre plusieurs services commerciaux
tels qu’Amazon, Twitter, Spotify et
autres. Pour ce faire, ce maliciel a pris le
contrôle sur des milliers d’appareils dans
l’internet des objets (IoT), dont des
caméras interconnectées, en abusant de
mots de passe ‘intégrés’. Le code logiciel
de Mirai a été publié en ligne, de sorte
que l’on attend à une prolifération des
attaques. Dans son ‘alerte’ (TA16-288A),
l’équipe d’assistance informatique amé-
ricaine US-CERT a pris une position forte :
“Faites en sorte de connaître toutes les
possibilités des appareils médicaux des-
tinés à un usage domestique. Si l’appareil
transmet des données ou peut être com-
mandé à distance, il peut parfaitement
être infecté. “
●
Fin août dernier, la société d’investisse-
ments Muddy Waters Capital LLC a publié
un rapport qui accuse les appareils
cardiaques implantables de St Jude
Medical Inc. d’être vulnérables aux
cyberattaques (voir encadré).
●
Début octobre dernier, Animas (Johnson
& Johnson) a adressé une lettre aux
utilisateurs de sa pompe à insuline One-
Touch pour les mettre en garde contre
une possible prise de contrôle de ces
appareils par des tiers en raison d’une
communication radio non-cryptée. Si
une telle intervention “exige des con -
naissances pointues” et que “le risque
est limité”, notamment en raison du fait
que “l’appareil n’est pas relié à l’inter-
net”, des conseils sont néanmoins don-
nés sur la manière de sécuriser l’utilisa-
tion de cette pompe. En principe, la
portée radio est d’environ 10 m, mais
les experts estiment que des instruc-
tions pourraient être données à 1 ou
2 km de distance pour augmenter la
dose d’insuline. Les risques mortels liés
à une surdose sont évidents.
Bref, au cours des derniers mois, la vul-
nérabilité d’appareils médicaux – y compris
les appareils implantables - a fait la une de
l’actualité qui s’est fait l’écho des attaques
et abus émanant de tiers. En l’occurrence,
un très large éventail de matériels sont
concernés, qu’il s’agisse d’appareils médi-
caux interconnectés dans les hôpitaux,
centres de soins et chez des patients à
domicile, mais aussi d’équipements
médicaux implantables et portables, voire
de d’appareils non-médicaux (‘wearables’)
qui offrent souvent une certaine forme de
monitoring.
Pas nouveau...
Désolé de décevoir celui/celle qui serait
éventuellement étonné/e par de telles
menaces puisqu’aussi bien des experts
mettent en garde depuis plus de huit ans
déjà contre ces risques, s’appuyant sur de
nombreux incidents. Concrètement, deux
types de problèmes se présentent : la trans-
mission de données incorrectes et l’intro-
duction d’instructions fausses. Dans le
premier cas, un médecin/infirmier-ière
peut, en cours d’analyse, tirer des conclu-
sions thérapeutiques erronées (avec des
réactions dangereuses), tandis qu’un
symptôme clinique peut être dénaturé
(d’où des conséquences sur le traitement).
Et dans le deuxième cas, des instructions
dangereuses (plantage de système, défaut
de fonctionnement), voire mortelles, peu-
vent être transmises. Par ailleurs, se pose
un risque de vol de données, ce qui peut
représenter un risque pour la vie privée du
patient. Et comme tout appareil médical
(même portable) est aujourd’hui un ordi-
nateur, il est potentiellement susceptible
d’être impliqué dans une attaque (sur l’in-
ternet), ce qui peut perturber son bon fonc-
tionnement (avec à nouveau toutes les
conséquences possibles et imaginables).
De même, les possibilités en termes de
sécurité n’ont rien de nouveau, comme le
rappelle Thomas Kallstenius, vp Research &
Technology chez iMinds. “Si les appareils
échangent des données, le cryptage
constitue une forme de protection, mais
ne représente pas la solution ultime. “ En
effet, il faut prendre en compte l’éventua-
lité de fuite (ou d’introduction) de données
par d’autres canaux que l’interface utilisa-
teur ou le réseau. “De même, il convient de
s’intéresser à l’authentification forte, y
compris l’authentification multi-facteur. “
Cet élément est important pour démonter
la confiance de tiers envers les réseaux
(publics ou téléphonique), par exemple
lors de l’échange de données, l’installation
de ‘rustines’, etc. “Au-delà de l’authentifi-
cation sur base d’éléments que vous
‘connaissez’ [mot de passe], que vous ‘ -
possédez’ [jeton] ou qui vous sont
‘propres’ [empreintes digitales notam-
ment], il est possible de faire intervenir des
éléments contextuels, comme ‘quelle est
votre proximité’. “ Ce dernier élément peut
notamment être utilisé pour autoriser des
prestataires de soins urgents à accéder à
des données stockées.
Sur un plan général, il convient de
s’efforcer toujours plus de rendre
l’ensemble du système infalsifiable
(‘tamper resistant’), depuis l’appareil du
patient (implanté, portable, etc.) jusqu’aux
unités centrales de traitement. “Dans ce
contexte, il est particulièrement important
de prévoir des ‘modèles de menace’, à
savoir d’étudier les modes d’attaque
contre un ensemble d’équipements et ses
divers éléments. Et de voir comment ces
modèles combattent ces modes d’attaque.
“ De même, la sécurité doit représenter un
élément fondamental de ces modèles (‘by
design’). Par ailleurs, la nouvelle législation
européenne sur la vie privée (RGPD) im-
posera aussi la ‘privacy by design’ (ici éga-
lement, pour l’ensemble du système, de-
puis le patient jusqu’au système central).
En outre, de très nombreux équipements
– tant les appareils médicaux (surtout
implantés) que les ‘wearables’ non-médi-
caux – doivent fonctionner de manière
ininterrompue (en 24/7). “Souvent, il est
tout bonnement impossible de les arrêter.
Le système doit dès lors être capable de
détecter des attaques ou des anomalies et
réagir en conséquence afin d’éviter les
décisions erronées. Cet aspect gagnera
certainement en importance à mesure que
l’on évoluera vers des systèmes en ‘boucle
fermée’ qui prennent eux-mêmes des
actions sur la base de données. De tels
appareils devront très certainement être
validés sur le plan médical. “
Et l’avenir nous promet une plus grande
variété encore de systèmes ‘intelligents’
de ce type, comme les ‘pilules’ à avaler, les
implants cérébraux et cardiaques, les
biocapteurs sous-cutanés et autres, outre
les pompes à insuline, les appareils cardio-
vasculaires, les stimulateurs neuronaux et
autres implants cochléaires déjà existants.
Attention, attention,
attention !
Certes, il importe de ne pas se montrer
trop alarmiste en criant ‘Au loup !” dans la
mesure où le problème n’a pas pris
aujourd’hui des dimensions ‘apocalyp-
tiques’. Ou, pour être précis : pas encore.
Car il faut comparer la situation à celle des
années ‘80 du siècle dernier, où les virus et
maliciels sur ordinateurs domestiques et
Ou “Une pompe à insuline tue un patient diabétique !” Certes, la situation n’est pas (encore)
à ce point alarmante, mais la menace est – bien – réelle ! Guy Kindermans
Muddy Waters
Capital contre
St Jude Medical
Le 25 août dernier, Muddy Waters
Capital (MWC) publiait un rapport
estimant que les appareils cardiaques
de St Jude Medical (STJ) devaient être
rappelés en raison de cyber-attaques
potentielles. Il s’agissait d’une
attaque de type ‘crash’ (perturbation
du fonctionnement, avec des signaux
rythmiques potentiellement
dangereux) et de type ‘battery drain’.
MWC précisait encore que les
télécommandes (Merlin@Home)
étaient facilement disponibles en
occasion et pouvaient être utilisées
pour ces attaques en raison du faible
niveau de sécurité (authentification
faible). MWC parle même de
négligence grave et cite un expert
cardiologue qui se refuse à encore
utiliser ces appareils de STJ jusqu’à ce
que ces lacunes soient comblées.
Entre-temps, de très nombreuses
remarques ont été formulées à propos
de cette étude, et notamment sur les
‘preuves’ fournies en matière de
piratage. De même, les conséquences
possibles d’un tel ‘piratage’ ont été
remises en cause. D’autant que le
‘piratage’ a été commis sans entraîner
de perturbations de fonctionnement.
En outre, MWC semblait ‘shorter’ les
actions de St Jude Medical, ce qui
impliquait que l’entreprise spéculait
sur une baisse du cours de l’action.
Des experts comme le Dr. Kevin Fu
considèrent dès lors qu’il appartient
“aux autorités de surveillance de
déterminer si la vulnérabilité entraîne
un risque clinique pour les patients. “
Alerte ! Les pacemakers
attaquent l’internet...