Internet des objets (médicaux): dangers, risques et problèmes de sécurité

Added 2018-05-09

Vous avez peut-être entendu l'expression «votre santé, c'est votre richesse». C'est l'une des raisons pour lesquelles les États-Unis ont dépensé plus de 3 200 milliards de dollars en soins de santé en 2015 seulement.

Avec autant d’argent en circulation, il est naturel que de nombreuses entreprises se soient lancées sur le marché de la santé, y compris les sociétés de technologie.

La technologie médicale semble parfois dépassée, mais les entreprises ont l’intention de faire glisser ces dispositifs dans le XXIe siècle. Et bien que la connectivité Internet puisse sembler être une fonctionnalité intéressante, il existe de réels dangers et problèmes qui pourraient vous surprendre.

Que sont les instruments médicaux?

L’Organisation mondiale de la santé (OMS) définit un dispositif médical comme “tout instrument, appareil, instrument, machine, appareil, implant, réactif à usage in vitro, logiciel, matériel […] destiné par le fabricant à être utilisé […] pour l'homme. êtres humains, pour un ou plusieurs […] fins médicales spécifiques ».

Bien que cela semble assez compliqué, cela signifie simplement tout appareil ou logiciel pouvant être utilisé à des fins médicales.

La Food and Drug Administration (FDA) des États-Unis est responsable de la surveillance réglementaire des dispositifs médicaux et les divise en trois catégories: classe I, classe II et classe III. Les dispositifs de classe 1 sont légèrement régulés, la plupart des contrôles étant placés uniquement sur la manière dont ils sont fabriqués et commercialisés. La classe II ajoute une réglementation plus spécifique, et la classe III est réservée aux dispositifs qui soutiennent ou maintiennent la vie humaine.

Cependant, comme il est typique dans le monde entier, la FDA a eu du mal à suivre le rythme de l'innovation. Il y a peu de références à la manière dont les appareils modernes connectés à Internet devraient être réglementés.

Quelles mesures les fabricants devraient-ils mettre en place pour assurer la sécurité de tels dispositifs? En décembre 2016, la FDA a publié des directives sur sécurité des dispositifs médicaux , mais ils ne sont pas légalement exécutoires. Cela laissait aux fabricants le choix de suivre ou non les conseils.

Internet des objets (médicaux)

Les soins de santé sont une activité coûteuse, non seulement pour les patients, mais pour les prestataires eux-mêmes. Les entreprises facturent d’énormes sommes d’argent pour les nouveaux appareils et le support technique. Cela signifie que les hôpitaux et les autres cabinets médicaux sont un fouillis d’outils, qu’ils soient nouveaux ou anciens, et que leurs exigences de fonctionnement varient. L’ancien matériel, les logiciels existants et les interfaces propriétaires s’unissent pour faire de la sécurisation appropriée du système un cauchemar pour le service informatique du fournisseur.

Exemple: écoute sur une pompe médicale

L’interface entre logiciel et matériel expose souvent des vulnérabilités exploitables, comme Saurabh Harit a montré à Black Hat Europe 2017 . Il a obtenu une pompe à perfusion intraveineuse, qui injecte des médicaments dans le sang d’un patient, ce qui pourrait être programmé et opéré à distance.

Après avoir accédé au mode administrateur de la pompe avec un mot de passe par défaut trouvé en ligne, il a été en mesure d'utiliser l'infrarouge de l'unité et un ancien assistant numérique personnel acheté auprès d'eBay pour importer leurs informations d'identification Wi-Fi dans les paramètres réseau de la pompe.

La liste des exemples continue…

Si ces vulnérabilités étaient limitées à cette pompe, ce serait assez choquant, mais les chercheurs en découvrent régulièrement de nouvelles. Une équipe a pu avoir accès à un scanner , un appareil qui émet une petite dose de rayonnement pour créer des modèles 3D de l’intérieur de votre corps.

En août 2017, le La FDA a rappelé 465 000 stimulateurs cardiaques  Abbott sur les préoccupations de piratage. Au lieu de forcer près d’un demi-million de personnes à subir une intervention chirurgicale invasive, Abbott a publié un correctif de micrologiciel, que le personnel médical a pu appliquer au stimulateur cardiaque.

En 2014, le Department for Homeland Security (DHS) a commencé enquêter sur 24 appareils sur des failles critiques présumées . Les dispositifs comprenaient une pompe à perfusion de Hospira Inc et des dispositifs cardiaques implantables de Medtronic et St Jude Medical.

Dispositifs médicaux hérités et mauvaise sécurité

Si vous avez déjà travaillé dans un bureau, vous saurez que de nombreuses entreprises utilisent des logiciels hérités. Cela nécessite invariablement des systèmes d'exploitation, des pilotes et des périphériques plus anciens, ce qui les rend très instables. Le coût est généralement un facteur déterminant dans la mise à jour, et beaucoup décident de ne pas justifier la dépense. Si ça ne casse pas, ne le répare pas, non?

Le ransomware a touché plus de 40 trusts du NHS dans tout le pays, réduisant les soins aux patients, mettant fin aux chirurgies et même aux hôpitaux. Les effets de l'attaque ont mis les patients en danger et ont potentiellement porté atteinte à la sécurité de leurs données. Malheureusement, Microsoft a publié un correctif un mois avant l'attaque, ce qui aurait empêché WannaCry de s'implanter. Non seulement la mise à jour n'a pas été lancée, mais il s'est avéré que de nombreux ordinateurs fonctionnaient toujours sous Windows XP.

C'est malgré le support étendu pour le système d'exploitation vieux de 15 ans ayant pris fin  deux ans avant l'attaque.

L'avenir des dispositifs médicaux me fait paniquer

Contrairement à de nombreux autres domaines affectés par les progrès de la technologie, les dispositifs médicaux peuvent être une question de vie ou de mort. La loi de Moore permettant la mise en ligne de davantage de périphériques dans les années à venir, les fabricants doivent donner la priorité à la sécurité. Après tout, il n’est pas bon de concevoir une «fonctionnalité meurtrière» si elle s’avère être une description extrêmement précise.