En bref: présentation de Defcon 23 sur la sécurité informatique de l’équipement médical

Voici une vidéo d’une présentation à Defcon 23 sur la sécurité informatique d’appareils médicaux.

La présentation parle d’une part de techniques qui pourraient être utilisées pour accéder au réseau informatique d’un centre hospitalier. Les présentateurs discutent également des façons d’accéder aux ordinateurs intégrés dans des appareils médicaux, surtout des appareils de radiologie.

On ne parle pas spécifiquement d’appareils utilisés en pharmacie sauf de pompes à ACP, mais j’aimerais bien savoir si le même genre de vulnérabilité existe avec par exemple, les cabinets automatisés, les pompes à infusion ou les pompes de préparation stérile.

Plateformes de technologie en établissement de santé: BYOD, tablettes et sécurité

Pas de long billet aujourd’hui, vie oblige. Je prends quand même une minute pour mentionner un podcast que j’ai bien apprécié: l’épisode 49 de Healthcare Tech Talk.

C’est une entrevue avec un directeur des produits de santé chez VMWare. La discussion tourne autour des plateformes sur lesquelles sont installées les technologies et les applications cliniques en établissement de santé.

Quelques points tirés de cette entrevue avec lesquels je suis d’accord:

  • Le développement des applications cliniques devrait se faire d’une manière aussi « device-agnostic » que possible. Cela permet d’éviter d’être, par exemple, prisonnier d’un système de tablettes d’un manufacturier particulier dans le futur, ou de permettre l’utilisation sur un appareil mobile pour les gens qui le veulent vraiment.
  • Les tablettes sont souvent très décevantes lorsqu’on tente de les utiliser réellement en pratique clinique. La plupart des applications spécialisées que l’on utilise ne sont simplement pas conçues pour ça.
  • Les stratégies de sécurité basées sur un seul pare-feu, qui une fois franchi donne accès au réseau en entier, présentent un risque important.
  • Les systèmes devraient supporter l’authentification à deux facteurs.
  • Le temps où l’on pouvait déployer des applications sans se soucier d’avoir un plan en cas de défaillance est terminé. Auparavant, on pouvait se permettre de « revenir au papier » lorsque le système plantait. Si l’on veut vraiment utiliser l’informatique comme outil de travail central en santé, on ne peut plus se permettre cela. La fiabilité et la redondance doivent être une priorité.

Un point avec lequel je suis moins d’accord:

  • Le BYOD (bring your own device), que plusieurs personnes interprètent comme la permission d’apporter leur téléphone ou leur tablette personnelle pour accéder aux applications cliniques. Le podcast laisse entendre cela. Pourtant, ce qui risque d’arriver dans un mode BYOD, c’est que l’employeur va installer une application comme AirWatch pour verrouiller en profondeur l’appareil de l’employé afin de le « sécuriser ». L’employé se retrouve à avoir payé un appareil qui devient à toutes fins pratiques la propriété de l’employeur. Regardez par exemple la vidéo sur iOS 9 sur cette page pour voir toutes les possibilités qu’une installation de AirWatch sur un iPhone ou un iPad donnerait à un employeur.

Sécurité informatique et équipement médical

On entend de plus en plus parler des objets connectés et de « l’internet des objets » (internet of things), tous ces appareils domestiques qui se connectent à un réseau et fournissent des données. Un exemple classique est le thermostat Nest. Avec la popularité grandissante de ces objets vient une préoccupation quant à la sécurité. Des hackers pourraient, par exemple, prendre le contrôle d’appareils de domotique à la sécurité informatique déficiente pour causer le chaos dans la maison d’une personne cible, ou bien s’emparer de ses données personnelles.

Dans le domaine de la santé, la même tendance existe avec les appareils médicaux, qui sont de plus en plus connectés. Le problème est que la sécurité informatique de ces appareils ne semble pas suivre la courbe de leur connectivité grandissante.

En mai dernier, je tweetais un article à propos d’une pompe à analgésie contrôlée par le patient dotée d’une connexion WiFi qui, selon un chercheur en sécurité informatique, était l’appareil avec la sécurité la plus déficiente qu’il n’avait jamais vu. Un autre article plus détaillé fait état du même problème. Ceci est quand même troublant quand on sait que le médicament infusé avec ce genre de pompe est pratiquement toujours un opiacé, un médicament à haut risque pouvant causer des effets indésirables graves, comme la dépression respiratoire, lorsque mal utilisé.

De plus en plus de spécialistes en sécurité informatique s’intéressent à ce problème, on en parle lors de conférences d’importance comme Defcon et DerbyCon (si la sécurité informatique vous intéresse, allez sur ces deux derniers liens, c’est complètement fou, on peut notamment trouver des appareils médicaux critiques qui roulent sur des systèmes d’exploitation vulnérables, exposés à l’internet !)

Il y a quelques jours, Bloomberg Businessweek a publié un long article sur les problèmes de sécurité des équipements médicaux. Cet article fascinant montre à quel point il peut être facile de prendre le contrôle d’appareils médicaux, à travers un réseau ou en personne, sans même être un spécialiste.

À la lecture de tous ces articles, voici quelques drapeaux rouges qui, selon moi, sont des indicateurs d’un possible risque de sécurité avec un appareil médical:

  • L’utilisation d’un système d’exploitation intégré ancien ou qui n’est plus supporté (ex: Windows XP, Windows XP Embedded, Windows CE…) – les correctifs de sécurité ne seront pas appliqués.
  • La présence d’une interface web requérant un navigateur dépassé comme Internet Explorer 6 ou 7 – l’interface web ne répond plus aux standards, le code est probablement ancien et vulnérable.
  • La possibilité pour le manufacturier de se connecter à distance avec des identifiants de connexion qui ne sont pas sous le contrôle de l’utilisateur – il existe un backdoor qui échappe à votre contrôle.
  • La présence d’un mot de passe système non modifiable qui permet un accès réseau ou en personne – ce mot de passe est probablement le même pour tous les appareils de ce type et peut probablement être trouvé sur internet !
  • Sur un appareil avec connexion sans fil, la possibilité de se connecter à une interface d’administration avec un mot de passe système non modifiable ou sans mot de passe – n’importe qui avec un accès au réseau peut accéder à l’appareil.

Considérant le constat fait par ces articles, il est probablement utopique de penser actuellement avoir accès à des appareils sans vulnérabilité, mais au moins si les gens qui implantent des technologies dans les hôpitaux (comme les pharmaciens) se mettent à poser des questions sur la sécurité informatique, les manufacturiers auront un incitatif de plus à prendre la chose au sérieux.

Il y a un peu plus d’un an, la FDA a émis un document d’orientation destiné à l’industrie afin d’améliorer la sécurité informatique des équipements médicaux. L’intention est louable, mais plusieurs spécialistes en sécurité n’ont pas été impressionnés.