Pourquoi les dispositifs médicaux connectés sont-ils vulnérables aux attaques et quelle est la probabilité qu'ils soient piratés ? Voici cinq failles numériques qui peuvent menacer votre santé. Il n'y a pratiquement aucun domaine de santé aujourd'hui qui n'adopte pas de nouvelles technologies. De l'accès sans fil en temps réel à vos propres paramètres de santé aux dispositifs implantés dans votre corps, en passant par les montres et les vêtements intelligents, la technologie arrive. Mais pouvons-nous tout sécuriser ? Il y a plusieurs années, à Black Hat, nous avons assisté au piratage d'une pompe à insuline. Et même si la majeure partie des logiciels de cet appareil étaient disponibles sur le marché, les autorités de réglementation affirment que l'intégrateur est responsable de la sécurité de bout en bout, y compris du système d'exploitation (SE) sous-jacent, même si ce SE a de bons antécédents en matière de sécurité. En d'autres termes, les fabricants d'appareils portent la responsabilité, quelle que soit la technologie qu'ils utilisent. Et qu'en est-il des correctifs; qui est responsable de ceux-ci? Selon la FDA, le fabricant le fait aussi. Comme certains dispositifs médicaux devraient exister pendant de nombreuses années, il faut beaucoup de temps pour payer les équipements de soutien sur le terrain. Qu'est-ce qui rend ces dispositifs vulnérables et quelle est la probabilité qu'ils soient piratés? Comme le thème de cette semaine du Mois de la cybersécurité est axé sur la sécurité des dispositifs connectés à Internet dans le domaine de la santé, voici cinq failles numériques pouvant affecter votre santé : Bluetooth De nombreux appareils médicaux intègrent la surveillance et l'interaction via Bluetooth, qui présente de nombreuses vulnérabilités. Et même s'il existe des correctifs, il est difficile de déterminer le taux d'adoption réel et le calendrier sur le terrain. En attendant, si votre mesure de glycémie est falsifiée, vous pourriez être en réel danger physique si vous essayez d'ajuster les niveaux de glycémie en vous basant sur de fausses lectures. Windows De nombreux hôpitaux disposent d'ordinateurs assurant la gestion de leurs équipements médicaux qui fonctionnent avec des versions de Windows plus anciennes et non prises en charge en raison du retard des mises à jour du fabricant qui a effectué l'intégration. Un fabricant ne peut pas se contenter d'appliquer le dernier correctif Windows avant d'avoir effectué des tests approfondis sur ses appareils pour déceler les problèmes d'intégration, de sorte que l'examen des correctifs peut être délicat. Un attaquant potentiel a l'avantage ici, puisqu'il peut déployer des exploits bien connus dès qu'ils sont connus, et bien avant que le fabricant ne puisse réagir. Cloud De nombreux dispositifs implantés font des appels automatisés aux médecins via connexion dans le cloud afin de faciliter les mises à jour de l'état de santé et déclencher des événements où les patients peuvent avoir besoin d'attention. Il est peu probable que le patient ait un moyen de connaître les vulnérabilités potentielles, mais les attaquants s'emparent rapidement des exploits connus, les faisant passer assez rapidement à travers leurs cadres d'attaque. Dans certains cas, les patients ont choisi de ne pas recevoir de communications externes avec leur stimulateur cardiaque en raison de leurs craintes de piratage, mais l'adoption du cloud pour les appareils implantés a de fortes répercussions sur l'adoption future. Ethernet De nombreux appareils médicaux se connectent aux réseaux médicaux TCP/IP via Ethernet, mais il serait très difficile pour de nombreux cliniciens et patients de remarquer un robinet de réseau placé en ligne avec les connexions existantes. En exfiltrant les données sur les liaisons sans fil intégrées à un tel point, les attaquants pourraient fouiner dans le trafic et les exploits des appareils. De cette façon, les attaquants n'ont besoin que d'un accès physique unique et ne doivent pas nécessairement revenir pour récupérer l'appareil s'il est jugé dangereux, en raison de son faible coût. Claviers sans fil Depuis quelque temps, les enregistreurs de frappe sont couramment utilisés pour enregistrer les frappes de clavier sans fil, se faisant passer pour de faux chargeurs USB branchés sur des prises, tout en espionnant les signaux et en les exfiltrant sur des cartes industrielles 4G sans fil. Cela permet de saisir des données sensibles comme des mots de passe tapés, mais peut aussi permettre aux attaquants de tenter de télécharger et d'installer des exploits de porte dérobée à distance en contournant les messages d'avertissement des produits de sécurité. En conclusion Le domaine médical est sur ses talons – en matière de sécurité – depuis des années. Et même s'il fait d'importants progrès, de nombreux dispositifs médicaux ont été performants pendant toutes ces années, réduisant ainsi le besoin perçu d'agir. La modernisation des équipements constituera un défi à relever dans les années à venir. Malgré cela, les médecins ont commencé à se pencher sur le processus et à faire appel à des techniciens pour commencer à améliorer la situation. En attendant, il serait peut-être sage d'apprendre à connaître toutes les vulnérabilités qui pourraient affecter vos appareils médicaux, surtout s'ils sont impliqués de manière critique dans vos soins de santé, comme c'est le cas pour beaucoup d'entre eux. ESET À propos d'ESET Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd'hui le 1er éditeur de l'Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l'antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd'hui plus d'un milliard d'internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019. Pour plus d'informations : www.eset.com/na/ Blog : www.welivesecurity.com/fr
