Une vulnérabilité découverte sur un instrument à ultrasons illustre les cas de vulnérabilités de nombreux dispositifs médicaux encore utilisés au sein des établissements de santé

Des chercheurs en sécurité (de la société Check Point spécialisée dans les logiciels de sécurité) ont publié un rapport faisant état de vulnérabilités présentes sur certains dispositifs médicaux du marché. Dans leur analyse, ils font état de signaux alarmants sur les failles exploitables au sein de ces appareils, en prenant exemple sur un instrument à ultrasons (voir la vidéo de la démonstration de faisabilité en lien).

En effet, les chercheurs ont découvert que certaines de ces machines ne fonctionnaient exclusivement sur d’anciens systèmes d’exploitation tel que Windows 2000. Cette ancienne version de Windows n’est plus maintenue depuis juillet 2010.  Il n'a donc pas été difficile pour les chercheurs d'exploiter une vulnérabilité connue et de réaliser, par exemple, l’exécution d’un rançongiciel.

Le rapport précise par ailleurs que ces dispositifs vulnérables constituent des cibles privilégiées pour leurs attaquants pour trois raisons :

  1. La première est que ces dispositifs médicaux développés sur des logiciels et des systèmes d'exploitation obsolètes ne font plus l’objet de correctifs de sécurité. Les alternatives sont, en tout état de cause, critiques pour les établissements de soins : changer d’appareil ou accepter que ce dernier soit potentiellement un point d’entrée pour une attaque ;
  2. La seconde concerne le fait que la configuration par défaut  empêche souvent toute mise en œuvre possible de correctifs, même lorsque ceux-ci existent. C’est le cas lorsque le  chiffrement des données est matériellement impossible ou lorsque ces dernières sont directement codées en dur au sein du logiciel.
  3. La troisième repose sur la collecte d’informations de plus en plus importante de données à forte valeur pour les cybercriminels motivés par les gains financiers.

Les chercheurs concluent leur rapport sur une recommandation simple pour limiter l’impact de telles vulnérabilités : la segmentation sur le réseau de l’établissement de santé de ce type d’appareils, lorsqu’ils demeurent irremplaçables en l’état.