[Etats-Unis] Analyse des nouvelles surfaces d’attaques dans le domaine de la santé

A l’occasion des conférences RSA 2020, un chercheur de Fortinet, Aamir Lakhani, a présenté l’état des menaces de cybersécurité pesant sur le secteur de la santé.

Il a rappelé les attaques ayant entrainé des fuites massives de données, comme celle ayant impacté un acteur lié au paiement des factures d'actes médicaux à cause de vulnérabilités présentes sur son site de paiement en ligne. Il aussi mentionné les rançongiciels qui ont causé des interruptions de service au sein de structures de santé.

Mais au-delà de ces failles « classiques », les groupes d’attaquants sont désormais à la recherche de nouvelles surfaces d’attaques à exploiter, tels que les vulnérabilités dans les dispositifs médicaux. Deux exemples sont présentés, un affectant un outil de diagnostic d’imagerie et l’autre affectant un outil de mesure de glucose connecté. La première est l'exploitation d'une vulnérabilité critique pouvant permettre à un attaquant distant d’outrepasser des contrôles de sécurité en envoyant une requête spécialement forgée afin d’obtenir un accès au système d’exploitation de l’outil de diagnostic. L’attaquant pourrait ainsi modifier les résultats obtenus lors d’un scanner et provoquer des erreurs de diagnostique. La deuxième vulnérabilité est due à l'absence d'authentification lors de la communication par NFC (Near Field Communication) entre l’outil de mesure du glucose et un téléphone portable en vue de visualiser les données. Un attaquant qui serait à portée de la communication pourrait aisément se connecter à l’appareil et consulter les données envoyées. En raison de leur exposition croissante sur Internet, ces dispositifs seront la cible d'un nombre d'attaques grandissant.

En plus de cela, certains groupes criminels cherchent aussi à exploiter les besoins des patients en matière d'assistance médical afin de les tromper avec la vente de produits frauduleux (flacon d'insuline par exemple) ou d'applications malveillantes (application apportant des informations sur le diabète par exemple). La vulnérabilité des patients causée par la nécessité de trouver des traitements peut être exploité par des personnes malveillantes.

Pour réduire l'exposition des acteurs de santé aux actes de cybermalveillance visant les dispositifs médicaux, Aamir Lakhani préconise une collaboration forte sur la sécurité entre les établissements de santé et les constructeurs de dispositifs médicaux. Un expert de MITRE suggère la mise en oeuvre d'une approche collaborative et coordonnée du partage d'informations et de l'évaluation des risques dès la phase de conception des dispositifs. 

L’article original est disponible ici.