Alerte! Les pacemakers attaquent l'internet...

13/12/16 à 11:45 - Mise à jour à 11:45

Ou "Une pompe à insuline tue un patient diabétique!" Certes, la situation n'est pas (encore) à ce point alarmante, mais la menace est - bien - réelle!

Alerte! Les pacemakers attaquent l'internet...

© -

Evidemment, un tel titre vise surtout à attirer l'attention du lecteur afin qu'il soit également sensibilisé à la lecture d'articles inquiétants du style:

  • Le malware Mirai a paralysé en septembre dernier le site d'un expert en sécurité dans le cadre d'une attaque de type 'déni de service', de même qu'en octobre plusieurs services commerciaux tels qu'Amazon, Twitter, Spotify et autres. Pour ce faire, ce maliciel a pris le contrôle sur des milliers d'appareils dans l'internet des objets (IoT), dont des caméras interconnectées, en abusant de mots de passe 'intégrés'. Le code logiciel de Mirai a été publié en ligne, de sorte que l'on attend à une prolifération des attaques. Dans son 'alerte' (TA16-288A), l'équipe d'assistance informatique américaine US-CERT a pris une position forte: "Faites en sorte de connaître toutes les possibilités des appareils médicaux destinés à un usage domestique. Si l'appareil transmet des données ou peut être commandé à distance, il peut parfaitement être infecté."
  • Fin août dernier, la société d'investissements Muddy Waters Capital LLC a publié un rapport qui accuse les appareils cardiaques implantables de St Jude Medical Inc. d'être vulnérables aux cyberattaques (voir encadré).
  • Début octobre dernier, Animas (Johnson & Johnson) a adressé une lettre aux utilisateurs de sa pompe à insuline OneTouch pour les mettre en garde contre une possible prise de contrôle de ces appareils par des tiers en raison d'une communication radio non-cryptée. Si une telle intervention "exige des connaissances pointues" et que "le risque est limité", notamment en raison du fait que "l'appareil n'est pas relié à l'internet", des conseils sont néanmoins donnés sur la manière de sécuriser l'utilisation de cette pompe. En principe, la portée radio est d'environ 10 m, mais les experts estiment que des instructions pourraient être données à 1 ou 2 km de distance pour augmenter la dose d'insuline. Les risques mortels liés à une surdose sont évidents.

Bref, au cours des derniers mois, la vulnérabilité d'appareils médicaux - y compris les appareils implantables - a fait la une de l'actualité qui s'est fait l'écho des attaques et abus émanant de tiers. En l'occurrence, un très large éventail de matériels sont concernés, qu'il s'agisse d'appareils médicaux interconnectés dans les hôpitaux, centres de soins et chez des patients à domicile, mais aussi d'équipements médicaux implantables et portables, voire de d'appareils non-médicaux ('wearables') qui offrent souvent une certaine forme de monitoring.

Pas nouveau...

Désolé de décevoir celui/celle qui serait éventuellement étonné/e par de telles menaces puisqu'aussi bien des experts mettent en garde depuis plus de huit ans déjà contre ces risques, s'appuyant sur de nombreux incidents. Concrètement, deux types de problèmes se présentent: la transmission de données incorrectes et l'introduction d'instructions fausses. Dans le premier cas, un médecin/infirmier-ière peut, en cours d'analyse, tirer des conclusions thérapeutiques erronées (avec des réactions dangereuses), tandis qu'un symptôme clinique peut être dénaturé (d'où des conséquences sur le traitement). Et dans le deuxième cas, des instructions dangereuses (plantage de système, défaut de fonctionnement), voire mortelles, peuvent être transmises. Par ailleurs, se pose un risque de vol de données, ce qui peut représenter un risque pour la vie privée du patient. Et comme tout appareil médical (même portable) est aujourd'hui un ordinateur, il est potentiellement susceptible d'être impliqué dans une attaque (sur l'internet), ce qui peut perturber son bon fonctionnement (avec à nouveau toutes les conséquences possibles et imaginables).

De même, les possibilités en termes de sécurité n'ont rien de nouveau, comme le rappelle Thomas Kallstenius, vp Research & Technology chez iMinds. "Si les appareils échangent des données, le cryptage constitue une forme de protection, mais ne représente pas la solution ultime." En effet, il faut prendre en compte l'éventualité de fuite (ou d'introduction) de données par d'autres canaux que l'interface utilisateur ou le réseau. "De même, il convient de s'intéresser à l'authentification forte, y compris l'authentification multi-facteur." Cet élément est important pour démonter la confiance de tiers envers les réseaux (publics ou téléphonique), par exemple lors de l'échange de données, l'installation de 'rustines', etc. "Au-delà de l'authentification sur base d'éléments que vous 'connaissez' [mot de passe], que vous 'possédez' [jeton] ou qui vous sont 'propres' [empreintes digitales notamment], il est possible de faire intervenir des éléments contextuels, comme 'quelle est votre proximité'." Ce dernier élément peut notamment être utilisé pour autoriser des prestataires de soins urgents à accéder à des données stockées.

Sur un plan général, il convient de s'efforcer toujours plus de rendre l'ensemble du système infalsifiable ('tamper resistant'), depuis l'appareil du patient (implanté, portable, etc.) jusqu'aux unités centrales de traitement. "Dans ce contexte, il est particulièrement important de prévoir des 'modèles de menace', à savoir d'étudier les modes d'attaque contre un ensemble d'équipements et ses divers éléments. Et de voir comment ces modèles combattent ces modes d'attaque." De même, la sécurité doit représenter un élément fondamental de ces modèles ('by design'). Par ailleurs, la nouvelle législation européenne sur la vie privée (RGPD) imposera aussi la 'privacy by design' (ici également, pour l'ensemble du système, depuis le patient jusqu'au système central). En outre, de très nombreux équipements - tant les appareils médicaux (surtout implantés) que les 'wearables' non-médicaux - doivent fonctionner de manière ininterrompue (en 24/7). "Souvent, il est tout bonnement impossible de les arrêter. Le système doit dès lors être capable de détecter des attaques ou des anomalies et réagir en conséquence afin d'éviter les décisions erronées. Cet aspect gagnera certainement en importance à mesure que l'on évoluera vers des systèmes en 'boucle fermée' qui prennent eux-mêmes des actions sur la base de données. De tels appareils devront très certainement être validés sur le plan médical."

Et l'avenir nous promet une plus grande variété encore de systèmes 'intelligents' de ce type, comme les 'pilules' à avaler, les implants cérébraux et cardiaques, les biocapteurs sous-cutanés et autres, outre les pompes à insuline, les appareils cardio-vasculaires, les stimulateurs neuronaux et autres implants cochléaires déjà existants.

Attention, attention, attention!

Certes, il importe de ne pas se montrer trop alarmiste en criant 'Au loup!" dans la mesure où le problème n'a pas pris aujourd'hui des dimensions 'apocalyptiques'. Ou, pour être précis: pas encore. Car il faut comparer la situation à celle des années '80 du siècle dernier, où les virus et maliciels sur ordinateurs domestiques et PC ne posaient pas (encore) problème. Même si comparaison n'est pas raison. Pas question évidemment d'attendre que le problème prenne de telles proportions, d'autant que ces appareils et équipements impliquent une responsabilité 'de vie ou de mort'.

Concrètement, dès le début de la procédure d'achat, il convient de toujours interroger explicitement le fournisseur/producteur sur les qualités en matière de (cyber-)sécurité de son produit, au-delà des caractéristiques fonctionnelles et de protection. Faute de quoi il s'agirait d'une négligence grave. En l'occurrence, il serait logique de se faire assister par des experts, le cas échéant. Par ailleurs, il est important de bien documenter le processus de sélection en (cyber-)sécurité, ce qui ne doit pas se limiter à faire approuver une liste reprise sur une feuille de papier. Demandez au fournisseur/producteur de préciser son processus de conception en sécurité sur la base d'une documentation détaillée. N'oubliez pas que la personne responsable du choix final pourra sans doute également être tenue pour responsable en cas de problème éventuel. Veillez en outre à pouvoir prouver que vous avez fait les efforts nécessaires "en bon père de famille."

Evidemment, l'objectif ne peut être de rebuter les hôpitaux, institutions de soins et prestataires de soins médicaux face aux avantages que procurent des appareils et équipements médicaux - également implantables - toujours plus puissants. "Les risques en matière de cybersécurité doivent être sous-pesés au regard des avancées permises par ces appareils", dixit le Dr. Kevin Fu, expert mondialement reconnu en sécurité forensics d'appareils médicaux. "Les hôpitaux ont besoin de davantage de cybersécurité, mais pas d'être mis sous pression."

Mettez votre fournisseur/producteur sur le gril

Questions possibles:

- Dans quelle mesure la (cyber-)sécurité a-t-elle/est-elle prise en compte dans le développement du produit? Dès le départ ('security by design')? Documentée? Y a-t-il un relevé des attaques possibles ('thread model') et des types de protection? Comment le code a-t-il été vérifié au niveau de la sécurité?

- La vie privée est-elle prévue 'by design'? Avec des fonctions de sécurité à l'avenant?

- Comment les données et les flux d'instructions sont-ils sécurisés? Cryptés?

- Comment l'accès à l'appareil est-il sécurisé (mots de passe adaptables)? Quelle est la solidité de l'authentification par des tiers (lors de l'ajout de nouvelles instructions, de 'patches', etc.), surtout si ces appareils/équipements sont accessibles via un réseau (internet)?