Des lacunes de sécurité de l'infrastructure réseau d'un hôpital mise en lumière par une équipe de chercheurs

Des lacunes de sécurité d'infrastructure réseau d'un hôpital ont été exploitées par une équipe de chercheurs israéliens (Yisroel Mirsky, Yuval Elovici et deux autres scientifiques), pour mettre en lumière la fragilité de certains établissements de santé face aux cyber attaques.

Le scenario de la preuve de faisabilité des chercheurs est basé sur un logiciel malveillant développé spécifiquement pour l'occasion et implique un hôpital ayant accepté l’expérience :

  • Le logiciel basé sur une technique de machine learning a été capable d’altérer les résultats d’un scanner médical afin d'afficher ou de supprimer des cellules cancéreuses très facilement ;
  • L’hôpital cobaye a été prévenu et est équipé d’une infrastructure réseau commune pour ce type d’établissement ;
  • Pour s’infiltrer dans l’infrastructure de l’établissement, une intervention humaine et un accès physique a été nécessaire.

Après avoir placé un dispositif, les chercheurs ont exploité les vulnérabilités de l’infrastructure réseau pour s'introduire dans le système et y déployer le logiciel malveillant. Ce dernier a ensuite pu altérer les images de scanners ou d’IRM interceptées.

Malgré les avertissements des chercheurs adressés à l'hôpital, ces derniers n’ont eu aucun mal à explorer le réseau.

Les chercheurs ont démontré que les conséquences vont bien au-delà de la simple altération d’image :

  • Les faux diagnostics pourraient conduire les médecins à appliquer de mauvaises prescriptions ou à ne pas prendre en charge des patients malades ;
  • Les diagnostics exposés pourraient être rendus public, compromettant ainsi la confidentialité des données ;
  • L’attaque décelée pourrait conduire à la fermeture des services impactés pendant la durée de remise en service des systèmes compromis. Cette fermeture engendrerait un impact majeur sur les imageries nécessaires en urgence et donc à la prise en charge des patients dans les meilleures conditions ;
  • Par ailleurs, cette opération met en lumière les vulnérabilités des infrastructures réseaux de certains établissements hospitaliers face aux attaques cyber (compromission des dossiers médicaux, perte de données, gestion de la climatisation, etc.).

 

Détails techniques :

L’attaque se base sur l’exploitation de la communication entre deux appareils, qui s’effectue sans chiffrement, laissant ainsi transiter en clair des données de santé à caractère personnel d’un patient.

Les chercheurs ont placé un Raspberry Pi auquel ils ont ajouté une carte réseau pour se placer en interception dite « homme du milieu » (man in the middle)  entre deux équipements communiquant sur le même réseau. Une fois configuré avec un accès WiFi, le Raspberry Pi est devenu un point d’accès à distance pour récupérer les informations.

Le réseau PACS (Pictures Archieving and Communicating System) ne bénéficie d’aucun chiffrement, et les transferts d’images ne sont protégés ni en intégrité, ni en authenticité. Les attaquants peuvent accéder aux images, et en modifier les résultats. Pour démontrer l’efficacité de leur attaque, les chercheurs ont organisé une série de tests à l’aveugle auprès de trois radiologues qualifiés.

La technologie de machine learning prend tout son sens une fois le virus exécuté, puisque  celui-ci se déploie de manière totalement automatique et fonctionne indépendamment de ceux qui l'ont déployé. S’ils le souhaitent, les attaquants conservent la possibilité de cibler un patient, un problème majeur dont les structures hospitalières ne semblent pas se préoccuper, comme l’estime Fotios Chantzis, ingénieur en sécurité informatique de la Mayo Clinic, au Minnesota.