Articles

Vulnérabilité dévoilée sur des appareils médicaux

Billy Rios et Terry McCorkle, chercheurs en sécurité chez Cylance, ont mis en lumière une vulnérabilité affectant environ 300 dispositifs médicaux répartis sur 40 vendeurs. Les mots de passe sont en effet codés en dur, ce qui pourrait être exploité pour éventuellement modifier les paramètres critiques et/ou modifier le firmware des appareils.

L’ICS-CERT (Industrial Control Systems-CERT) et la FDA (Food and Drug Administration) ont informé les fournisseurs concernés par ce rapport et demandé aux vendeurs de confirmer la vulnérabilité décrite. Ils demandent également d’apporter des réponses afin de réduire les risques d’attaques.

Dans la liste des appareils concernés on trouve : des appareils chirurgicaux et d’anesthésie, des ventilateurs, des pompes à perfusion de médicaments, des défibrillateurs, des moniteurs de surveillance, des équipements d’analyse…

L’ICS-CERT et la FDA précise qu’ils ne savent pas si un patient a déjà subi un quelconque traumatisme à la suite d’une exploitation de cette vulnérabilité par un attaquant.

Cette alerte permet de rappeler la criticité des appareils médicaux. Ces équipements peuvent être paramétrables à distance ou via des technologies sans fil, il ne faut pas négliger leur sécurité car il y a un enjeu vital direct. On cite souvent en exemple, le cas de la pompe à insuline pour laquelle on peut modifier le dosage pour le rendre fatal (cf http://labo.cyberprotect.fr/?p=202).

[Source]

Comment une suite de mauvaises pratiques permet le vol de données de 780.000 personnes

Les attaquants ont eu accès à un serveur utilisé par l’Etat de l’Utah pour recevoir les revendications des systèmes et programmes Medicare, Medicaid et des services de santé de l’enfance.

Il est une pratique assez courante pour les fournisseurs de soins de santé de fournir des informations sur des patients afin de déterminer si ces derniers peuvent bénéficier d’une couverture de santé. Cela signifie que les victimes ne sont pas limitées aux personnes qui reçoivent des services de santé subventionnés par l’Etat.

Le 30 Mars 2012, les attaquants ont commencé le vol de données en siphonnant les noms, adresses, dates de naissance et autres informations personnelles de quelques 500.000 habitants de l’Utah. Ils ont pu également exfiltrer les données avec les numéros de sécurité sociale  de 280.000 habitants.

Le nouveau DSI de l’Etat, Mark VanOrder explique comment des personnes malintentionnées ont pu avoir accès à de telles données : « 99% des données hébergées par l’Etat sont à l’abri derrières deux pare-feu, ces données n’y étaient pas. Elles n’étaient pas non-plus chiffrées ni protégées par des mots de passe forts ».

Le serveur en question a été installé à l’origine par un prestataire de services n’ayant pas suivi les procédures de sécurité. Dans cette affaire, toutes les erreurs à ne pas faire lorsqu’on manipule des données sensibles ont été commises :

  • Les données n’étaient pas chiffrées
  • Les données ont été conservées plus longtemps que nécessaire, ce qui expose plus l’information en cas de compromission
  • Les mots de passe par défaut n’ont pas été modifiés ou désactivés
  • Les tests d’intrusions et autres audits réguliers n’ont pas été effectués ce qui n’a pas révélé la vulnérabilité

Il est intéressant de noter que le vol d’une information telle qu’un numéro de sécurité sociale est plus impactant sur le long terme car contrairement à un numéro de carte bancaire, le numéro de sécurité sociale est attribué à vie et les individus n’en change pas régulièrement. Ainsi, cette donnée sensible entre de mauvaises mains, peut nuire à un individu jusqu’à la fin de sa vie.

[Source]

Le nombre de dossiers médicaux compromis double aux USA

Selon un rapport publié cette semaine par le cabinet de conseil Redspin, le nombre de dossiers médicaux compromis a augmenté de 97% en 2011 par rapport à l’année précédente.

Il y est dénoncé la concentration croissante d’informations de santé personnelles sur des terminaux mobiles non chiffrés ainsi que le manque de contrôle sur ces données.

Les actes malveillants (vol, piratage, incidents internes) continuent de causer 60% de toutes les violations en raison de la valeur économique des dossiers de santé pouvant être vendus sur le marché noir et pour le vol d’identité médical pour commettre des fraudes à l’assurance maladie.

Le site internet du le ministère Américain de la Santé répertorie un total de 385 infractions touchant plus de 19 millions de personnes. Pour qu’une brèche de sécurité soit signalée aux autorités, elle doit concernée au moins 500 personnes.

En outre, le nombre moyen de personnes touchées par une seule brèche est en constante augmentation.

Retrouvez le rapport [ici]

Contagion dans un hôpital

Un hôpital près d’Atlanta a subi d’importants troubles à la suite d’une épidémie de malwares sur le réseau interne qui s’est propagé à une vitesse relativement élevé.

Cependant, aucun incident sur les soins portés aux patients n’a été relevé, les équipes de soin ont continué à travailler sur papier le temps de la décontamination. Le malware n’avait qu’un impact sur la disponibilité du système d’information, les données médicales n’ont pas subi de détérioration selon le porte-parole de l’hôpital.

Ce fait-divers rappelle que les systèmes d’information des hôpitaux ont une forte criticité. On parle beaucoup en ce moment des systèmes SCADA et des menaces qui pèsent sur eux, mais les réseaux internes des établissement de santé ont encore plus le besoin d’être supervisé afin d’éviter tout acte malveillant.

Un malware déstabilise un réseau d’ambulances

Un Malware a mis à mal un centre de gestion d’ambulances en Nouvelle-Zélande contraignant les dispatcheurs à gérer le fonctionnement manuellement.

Ce sont les données mobiles et les services radios qui ont été les plus impactés par l’incident, les premiers éléments font penser qu’un ver consommant excessivement de la bande-passante était à l’origine du dysfonctionnement.

Les informations de prises en charge des patients sont normalement transmises automatiquement sur des terminaux embarqués à bords des véhicules. Les ambulanciers ont donc dû être contactés par téléphone, ce qui a ralenti considérablement l’exécution des transports.

Ce réseau d’ambulances représente 90% de la couverture des véhicules sanitaires légers du pays, aucune information n’est précisée concernant l’impact sur les urgences médicales que cet incident a eu. En tout cas, le plan de secours bien rodé a permis la continuité de l’activité sans trop de « dégâts ».

Le cyber-crime tue

Une nouvelle branche de la cyber-criminalité voit le jour et cette fois la menace ne vise pas les industries.

Lors de la Conférence, The Hacker Halted, qui s’est tenu à Miami le chercheur de chez McAfee Barnaby Jack a fait une démonstration digne d’un polar du XXIe siècle.

Il a mis au point une attaque qui permet de prendre le contrôle sur des pompes à insuline, utilisées par les diabétiques, afin de délivrer des doses mortelles. Le travail a été fait sur les pompes les plus récentes de Medtronic qui contiennent de minuscules émetteurs radio qui permettent aux patients et aux médecins d’ajuster leurs fonctions.

Le logiciel et l’antenne spéciale conçus par le chercheur permettent de localiser et de prendre le contrôle de n’importe quel appareil à moins de 100m.

Les responsables de Medtronic ont déclaré qu’ils travaillent sur l’amélioration de la sécurité des dispositifs médicaux en mettant en place le chiffrement des transmissions ainsi que d’autres moyens de protections. Ils souhaitent qu’un groupe de travail composé de membres de l’industrie établissent un standard de sécurité.

Ce n’est pas la première fois que l’on trouve le moyen de diffuser des commandes potentiellement mortelles à un dispositif médical implanté dans le corps d’un patient. En 2008, des chercheurs universitaires avaient réussi à intercepter les informations de stimulateurs cardiaques et pouvaient éteindre les pacemakers.