On entend de plus en plus parler des objets connectés et de « l’internet des objets » (internet of things), tous ces appareils domestiques qui se connectent à un réseau et fournissent des données. Un exemple classique est le thermostat Nest. Avec la popularité grandissante de ces objets vient une préoccupation quant à la sécurité. Des hackers pourraient, par exemple, prendre le contrôle d’appareils de domotique à la sécurité informatique déficiente pour causer le chaos dans la maison d’une personne cible, ou bien s’emparer de ses données personnelles.
Dans le domaine de la santé, la même tendance existe avec les appareils médicaux, qui sont de plus en plus connectés. Le problème est que la sécurité informatique de ces appareils ne semble pas suivre la courbe de leur connectivité grandissante.
En mai dernier, je tweetais un article à propos d’une pompe à analgésie contrôlée par le patient dotée d’une connexion WiFi qui, selon un chercheur en sécurité informatique, était l’appareil avec la sécurité la plus déficiente qu’il n’avait jamais vu. Un autre article plus détaillé fait état du même problème. Ceci est quand même troublant quand on sait que le médicament infusé avec ce genre de pompe est pratiquement toujours un opiacé, un médicament à haut risque pouvant causer des effets indésirables graves, comme la dépression respiratoire, lorsque mal utilisé.
De plus en plus de spécialistes en sécurité informatique s’intéressent à ce problème, on en parle lors de conférences d’importance comme Defcon et DerbyCon (si la sécurité informatique vous intéresse, allez sur ces deux derniers liens, c’est complètement fou, on peut notamment trouver des appareils médicaux critiques qui roulent sur des systèmes d’exploitation vulnérables, exposés à l’internet !)
Il y a quelques jours, Bloomberg Businessweek a publié un long article sur les problèmes de sécurité des équipements médicaux. Cet article fascinant montre à quel point il peut être facile de prendre le contrôle d’appareils médicaux, à travers un réseau ou en personne, sans même être un spécialiste.
À la lecture de tous ces articles, voici quelques drapeaux rouges qui, selon moi, sont des indicateurs d’un possible risque de sécurité avec un appareil médical:
- L’utilisation d’un système d’exploitation intégré ancien ou qui n’est plus supporté (ex: Windows XP, Windows XP Embedded, Windows CE…) – les correctifs de sécurité ne seront pas appliqués.
- La présence d’une interface web requérant un navigateur dépassé comme Internet Explorer 6 ou 7 – l’interface web ne répond plus aux standards, le code est probablement ancien et vulnérable.
- La possibilité pour le manufacturier de se connecter à distance avec des identifiants de connexion qui ne sont pas sous le contrôle de l’utilisateur – il existe un backdoor qui échappe à votre contrôle.
- La présence d’un mot de passe système non modifiable qui permet un accès réseau ou en personne – ce mot de passe est probablement le même pour tous les appareils de ce type et peut probablement être trouvé sur internet !
- Sur un appareil avec connexion sans fil, la possibilité de se connecter à une interface d’administration avec un mot de passe système non modifiable ou sans mot de passe – n’importe qui avec un accès au réseau peut accéder à l’appareil.
Considérant le constat fait par ces articles, il est probablement utopique de penser actuellement avoir accès à des appareils sans vulnérabilité, mais au moins si les gens qui implantent des technologies dans les hôpitaux (comme les pharmaciens) se mettent à poser des questions sur la sécurité informatique, les manufacturiers auront un incitatif de plus à prendre la chose au sérieux.
Il y a un peu plus d’un an, la FDA a émis un document d’orientation destiné à l’industrie afin d’améliorer la sécurité informatique des équipements médicaux. L’intention est louable, mais plusieurs spécialistes en sécurité n’ont pas été impressionnés.
Maxime Thibault 
Une réflexion sur “Sécurité informatique et équipement médical”