Explorer les failles de sécurité d’une clinique privée : c’est une véritable enquête de terrain à laquelle s’est livré un expert de l’équipe GReAT (Global Research & Analysis Team) de l’éditeur de sécurité Kaspersky. Le Sherlock Holmes de la sécurité a découvert des vulnérabilités dans les équipements médicaux permettant aux cybercriminels d’accéder aux données personnelles des patients, ainsi qu’à leur état de santé.
Son étude a révélé une vulnérabilité dans la connexion Wifi de la clinique, à savoir l’emploi d’un protocole de communication non sécurisé. En explorant le réseau local de l’établissement, l’expert de Kaspersky Lab a découvert certains équipements médicaux déjà répertoriés sur Shodan (un moteur de recherche qui recense des équipements connectés à Internet dont les scanners, IRM, appareils cardiologiques, radiologiques et autres). Or aucun mot de passe n’était nécessaire pour y accéder, le réseau local étant censé être sécurisé pour les applications médicales et le personnel hospitalier.
En infiltrant davantage le réseau, l’expert de Kaspersky Lab a repéré une autre faille dans une application médicale. Un shell de commande intégré à l’interface utilisateur pouvait permettre à des cybercriminels d’accéder aux informations personnelles des patients, notamment leur parcours dans l’établissement et leurs analyses médicales, ainsi que leurs adresses et autres détails sur leur identité. En outre, l’ensemble du matériel piloté par l’application en question risquait d’être piraté par le biais de cette vulnérabilité : scanners, IRM, équipements cardiologiques, radiologiques ou chirurgicaux, par exemple. D’une part, les criminels pourraient en modifier le fonctionnement et nuire ainsi à la santé des patients. D’autre part, ils pourraient endommager l’équipement lui-même afin de causer un préjudice financier immense à l’établissement.
« Les ingénieurs qui conçoivent les logiciels et les équipements médicaux consacrent beaucoup d’efforts à la création d’un matériel indispensable pour sauver et préserver des vies mais ils omettent parfois totalement de les protéger contre des accès illicites depuis l’extérieur, commente le détective de Kaspersky Lab. En matière de nouvelles technologies, les questions de sécurité doivent être traitées dès le premier stade du processus de R&D. Les sociétés de sécurité informatique pourraient y contribuer », expluqe-t-il.