De tous les appareils connectés que les pirates informatiques pourraient attaquer, pourquoi s'en prendraient-ils aux appareils médicaux ? Bien qu'il existe une multitude de motifs, la plupart d'entre eux impliquent un gain financier. Les cybercriminels qui s'en prennent aux appareils médicaux sont prêts à mettre les patients en danger si cela leur permet d'obtenir des informations précieuses ou d'accéder au réseau d'un hôpital.
Avec l'explosion des piratages visant les appareils et les dossiers médicaux ces dernières années, les patients ont une raison supplémentaire de se méfier des appareils médicaux et des hôpitaux connectés. Au-delà des craintes habituelles liées aux maladies infectieuses et aux fautes professionnelles, les appareils utilisés par les patients pour les traiter pendant - ou après - leur séjour peuvent être exploités par des cybercriminels à des fins diverses : extorsion, usurpation d'identité, fraude, voire espionnage et assassinat. Nous examinons ici quelques-unes des principales raisons pour lesquelles les pirates informatiques mettent la technologie médicale dans leur ligne de mire.
Quand vous n'êtes pas vous-même
L'une des raisons les plus courantes pour lesquelles un pirate informatique s'en prend à des appareils médicaux est le vol d'identité. La technologie médicale connectée peut être une passerelle vers les dossiers médicaux des patients, qui contiennent de précieuses informations personnelles identifiables (PII) telles que les numéros de sécurité sociale, les adresses, les numéros de téléphone et les informations relatives à l'assurance. Un appareil médical piraté peut également servir de porte dérobée vers le réseau d'un hôpital.
Les cybercriminels ont utilisé cette dernière approche dans l'attaque Medjack, qui est une menace de logiciel malveillant pour toute une série d'appareils, y compris les IRM et les tomodensitomètres, les appareils de radiographie et les analyseurs de gaz sanguin. Les cybercriminels peuvent obtenir des données médicales sensibles à partir de ces brèches, ce qui leur permet de se livrer à des escroqueries à la facturation médicale et à la fraude fiscale. Un pirate informatique peut utiliser l'identité volée d'un patient pour obtenir des soins médicaux gratuits, y compris des médicaments sur ordonnance ou du matériel médical, soit pour son usage personnel, soit pour les revendre sur le marché noir. Les cybercriminels peuvent même utiliser ces informations pour obtenir des traitements médicaux aux frais de la victime
Si ce type d'usurpation d'identité dans le secteur de la santé est peut-être moins fréquent que le vol d'informations sur une carte de crédit, par exemple, le secteur de la santé est beaucoup plus lent à détecter les fraudes que les institutions financières. Alors qu'une banque ou un consommateur peut se rendre compte qu'une carte de crédit a été violée en quelques heures, dans le domaine médical, il peut facilement s'écouler des semaines ou des mois avant qu'une telle usurpation d'identité ne soit détectée. Si le numéro d'une carte de crédit peut être modifié, il n'en va pas de même pour les dossiers médicaux. Un cybercriminel pourrait donc utiliser les informations sensibles d'un patient à des fins frauduleuses longtemps après une violation. Par ailleurs, si la prolifération des dossiers médicaux électroniques permet aux cliniciens de partager plus facilement les dossiers médicaux des patients, elle donne également aux pirates l'accès à des informations vulnérables qui étaient jusqu'à présent conservées dans des armoires à dossiers.
Si les données d'un seul patient ont de la valeur pour les pirates, le réseau d'un hôpital est un environnement riche en cibles qui peut avoir des centaines ou des milliers de points d'extrémité connectés. Un pirate peut accéder à ces réseaux, qui ne sont souvent pas cryptés, par le biais d'un seul dispositif médical non sécurisé qui communique avec ce réseau. Un pirate qui réussirait à pénétrer dans un seul appareil médical pour accéder à un tel réseau clinique pourrait lancer une opération de fraude à la facturation à grande échelle. Même la violation d'un seul appareil, tel qu'un scanner, peut permettre aux pirates d'accéder à des informations importantes sur les patients.
Rançon pour les dispositifs médicaux et les hôpitaux
L'accès aux dispositifs médicaux peut également devenir le point de départ d'un ransomware. Il y a plusieurs façons de procéder. Il y a bien sûr la possibilité, digne d'un thriller hollywoodien, que les patients reçoivent un SMS les menaçant d'éteindre leur stimulateur cardiaque s'ils ne transfèrent pas suffisamment de bitcoins sur le compte d'un pirate informatique. Mais il est plus probable que ce soit l'hôpital lui-même qui soit attaqué, car il est plus probable qu'il paie une somme d'argent importante. Les pirates peuvent littéralement prendre en otage l'ensemble de l'hôpital et ses patients, car ils peuvent couper l'électricité ou manipuler les appareils à distance jusqu'à ce qu'ils répondent à leurs exigences (qui consistent généralement en un paiement à cinq chiffres en crypto-monnaies).
Les dispositifs de piratage vont influencer le paysage concurrentiel
Il y a quelques années encore, la perspective qu'un chercheur en sécurité puisse influencer les marchés financiers aurait pu sembler lointaine. C'est pourtant ce qui est arrivé au fabricant d'appareils médicaux St. Jude Medical en 2016. La société de vente à découvert Muddy Waters a demandé l'aide d'une société de cybersécurité pour vérifier la sécurité des implants cardiaques de St. Le 25 août 2016, le jour où l'information a été annoncée, l'action de St. Jude a chuté de 5 % et l'entreprise a décidé de porter plainte en affirmant que les affirmations étaient fausses. La FDA a finalement reconnu que les produits présentaient un risque et a publié une déclaration en ce sens.
Jude est peut-être remarquable, mais la menace d'une manipulation similaire du marché boursier par le biais de la recherche en matière de sécurité persiste. En février de cette année, la Securities and Exchange Commission (SEC) a averti que les risques liés à la cybersécurité en général constituent de "graves menaces" pour les investisseurs. "Aujourd'hui, l'importance de la gestion des données et de la technologie pour les entreprises est analogue à l'importance de l'électricité et d'autres formes d'énergie au siècle dernier. Les incidents de cybersécurité peuvent résulter d'événements involontaires ou d'attaques délibérées par des initiés ou des tiers, y compris des cybercriminels, des concurrents, des États-nations et des "hacktivistes"", explique la SEC.
Pour le défi - ou l'absence de défi
La plupart des pirates informatiques ont tendance à se concentrer sur les appareils faciles à cibler avant les appareils dotés de défenses solides. Un grand nombre d'appareils médicaux - en particulier les technologies médicales anciennes - ont des défenses relativement faibles. Certains, par exemple, utilisent des systèmes d'exploitation obsolètes tels que Windows XP, qui sont les cibles favorites des pirates informatiques car ils sont faciles à exploiter. L'un des dispositifs médicaux les plus courants dans les hôpitaux, la pompe à perfusion, est souvent relativement facile à pirater. Les pirates peuvent cibler les appareils médicaux pour simplement perfectionner leurs compétences ou asservir ces appareils pour lancer des opérations de minage de crypto-monnaie qui ralentissent les réseaux médicaux tout en rapportant de la crypto-monnaie aux cybercriminels. L'hôpital général du comté de Decatur à Parsons, dans le Tennessee, a été victime d'une telle attaque l'année dernière.
Certains modèles de ces pompes utilisent un mot de passe de maintenance, qui peut être, au pire, un code d'accès par défaut qui n'est jamais modifié ou rarement mis à jour. Selon les chercheurs en sécurité Billy Rios et Terry McCorkle, un nombre important de dispositifs médicaux - environ 300 provenant d'une quarantaine de fournisseurs - utilisent des mots de passe codés en dur. Lorsqu'il s'agit de dispositifs médicaux tels que les pompes à perfusion, la stratégie de sécurisation de ces dispositifs par des méthodes telles que les mises à jour régulières ou la protection traditionnelle contre les logiciels malveillants n'est tout simplement pas réalisable. En théorie, une mise à jour over-the-air (OTA) contenant un bogue involontaire sur le site software pourrait blesser un patient, voire lui être fatal, tandis que l'installation d'un logiciel malveillant traditionnel ( software ) pourrait perturber le fonctionnement de la pompe.
Quand les patients deviennent des cibles
Si la menace de prendre pour cible un dispositif médical afin de mutiler ou de tuer des patients retient l'attention des rédacteurs - qu'ils travaillent pour des organes de presse ou dans l'industrie cinématographique -, cette menace tend à être plus théorique que réelle. Cela dit, les célébrités ou les hommes politiques peuvent être plus exposés à ce type d'attaques. L'ancien vice-président Cheney aurait fait désactiver la fonction sans fil de son stimulateur cardiaque par crainte qu'un pirate informatique ne s'en mêle. Si le risque de piratage des stimulateurs cardiaques a fait l'objet d'une attention considérable, la variété même des dispositifs médicaux ouvre la voie à une infinité de types d'attaques.
Mais un récent rapport du Star Tribune note également qu'il n'y a actuellement aucun rapport connu d'un dispositif médical piraté pour nuire à un patient. Cela dit, le risque de telles attaques est réel. Suzanne Schwartz, directrice du Centre des dispositifs et de la santé radiologique de la FDA, a déclaré : "Les dispositifs médicaux connectés au réseau/configurés qui sont infectés par des logiciels malveillants peuvent empêcher un dispositif de remplir sa fonction clinique. Cela pourrait alors poser des problèmes de sécurité pour les patients." Imaginez le risque que pourrait représenter pour un patient un appareil de gestion du rythme cardiaque contrôlé par un pirate informatique. En 2012, le regretté chercheur en sécurité Barnaby Jack a découvert que les stimulateurs cardiaques d'un certain nombre de fabricants pouvaient être exploités pour délivrer un choc fatal de 830 volts à un patient à une distance pouvant aller jusqu'à 15 mètres.
De plus, il n'est apparemment pas très difficile pour un chercheur en sécurité ou un cybercriminel de se procurer des dispositifs médicaux à des fins de recherche, et d'apprendre éventuellement comment programmer le contrôle des dispositifs médicaux ou comment les violer pour accéder aux données des patients
Un bon nombre de dispositifs médicaux peuvent être achetés par des voies non officielles. Le site web eBay, par exemple, vend des dispositifs utilisés pour programmer les appareils de gestion du rythme cardiaque. Il s'agit par exemple du Zoom Latitude de Boston Scientific et du Merlin des Laboratoires Abbott.
Un remède contre le risque
Alors que l'industrie des dispositifs médicaux commence à comprendre la menace croissante que représente la cybersécurité, l'explosion des capacités du site IoT augmente la surface d'attaque des technologies médicales. Le nombre croissant d'attaques axées sur les dispositifs médicaux souligne la nécessité de vérifier l'identité de toutes les parties impliquées dans l'écosystème des soins de santé - qu'il s'agisse de patients ou de cliniciens - et, tout aussi important, de crypter les informations personnelles identifiables.
L'infrastructure à clé publique (PKI) est un moyen de défense essentiel pour atténuer les risques liés aux dispositifs médicaux connectés, en créant un cadre de sécurité pour le partage de données médicales sensibles entre des terminaux de confiance et un gardien auquel le pirate doit faire face avant de causer des dégâts potentiels. PKI offre également une agilité cryptographique, permettant aux dispositifs médicaux d'évoluer en toute sécurité au fil du temps tout en autorisant des mises à jour sécurisées des dispositifs et des microprogrammes. En authentifiant et en chiffrant les informations, seul le détenteur des deux clés privées peut accéder aux données. Chaque appareil a besoin d'un certificat unique généré par PKI . Non seulement cela renforce la sécurité de l'entreprise, mais cela signifie que le pirate informatique a besoin de beaucoup plus de temps pour faire des dégâts considérables. En outre, un site PKI interne est extrêmement rentable et peut être entièrement personnalisé en fonction des besoins du consommateur. Cela permet une transition facile dans l'industrie médicale, au cas par cas.
À mesure que les appareils compatibles avec le site IoT deviennent la norme, la communauté des soins de santé entre dans un monde nouveau pour ses patients et ses médecins. Sans prévoyance, cette nouvelle technologie pourrait se transformer en boîte de Pandore. Imaginez que vous ou l'un de vos proches soyez récemment tombé malade et allongé dans un lit d'hôpital. La dernière chose dont vous voulez vous préoccuper, c'est d'un pirate informatique déterminé à s'introduire dans un dispositif médical conçu pour sauver des vies plutôt que pour mettre en danger la vie d'autrui. L'industrie des dispositifs médicaux a besoin d'experts en sécurité tels que vous pour jouer un rôle et empêcher les cybercriminels de s'introduire dans les dispositifs médicaux compatibles avec IoT et dans les réseaux hospitaliers.
Il est triste de constater que les dispositifs médicaux et les hôpitaux sont exposés à des risques d'attaque, mais c'est pourtant le cas. Même si nous n'avons pas encore l'impression d'être en guerre, les récits de piratage d'appareils médicaux et d'hôpitaux se multiplient, ce qui fait de la préparation à des attaques plus sophistiquées une considération vitale. Comme l'a déclaré le Navy SEAL Brandon Webb : "Adopter rapidement une bonne idée et la mettre en pratique est un avantage considérable, qui peut parfois sauver la vie". Cette idée est tout aussi vraie pour la cybersécurité que pour la préparation à la guerre.
