Equipements et dispositifs connectés, hospitaliers ou personnels: gare aux vulnérabilités !
publié le 17 février 2022
Plusieurs sociétés spécialisées en (cyber-)sécurité ont publié récemment des analyses, études ou mises en garde au sujet du manque de sécurité des équipements et dispositifs connectés en milieu hospitalier. Un thème et un phénomène qui n’ont rien de nouveau mais qui, si l’on en croit ces alertes récentes, prendraient actuellement une nouvelle dimension.
Cynerio, par exemple, prévient que “plus d’un appareil sur deux présente des vulnérabilités susceptibles d’être exploitées par les hackers”. Son étude est pour le moins large puisque cette société plus particulièrement spécialisée en sécurité pour le secteur de la santé dit avoir effectué son analyse sur près de 10 millions d’appareils connectés utilisés dans 300 hôpitaux et établissements de santé de par le monde.
Parmi ses constats? “73% des pompes à perfusion présentent des risques élevés de vulnérabilités”. Or, étant donné qu’elles sont connectées au dossier médical, un piratage du système informatique hospitalier permettrait potentiellement à un hacker de modifier la posologie. Vulnérabilités similaires du côté des moniteurs (cardiaques ou autres).
Dans la sphère privée, les “trackers de fitness” et autres montres connectées sont également pointés du doigt. “Les pirates peuvent intercepter et manipuler données et mots de passe et déverrouiller les appareils perdus ou volés, sans parler des problèmes de confidentialité potentiels concernant le partage de données personnelles avec des tiers”, met en garde la société ESET.
Les brèches et vulnérabilités sont potentiellement multiples – “depuis le micro-logiciel de l’appareil jusqu’aux protocoles qu’il utilise pour la connectivité, son application et les serveurs cloud back-end”.
Même message et mise en garde du côté de Kaspersky, qui signale qu’en 2021, ses experts ont détecté “33 vulnérabilités, dont 18 critiques, dans le protocole MQTT, le protocole transfert de données des dispositifs connectés plus courant utilisé pour le suivi des patients à distance. […] Beaucoup de ces vulnérabilités ne sont pas patchées et pourraient être exploitées par des hackers pour intercepter les données envoyées en ligne”.
Cette augmentation du nombre de vulnérabilités (dix de plus qu’en 2020) porte à 90 le nombre de failles identifiées au niveau du protocole MQTT depuis 2014.
Kasperksy pointe notamment le fait que l’authentification soit “entièrement facultative et le chiffrement peu fréquent. Il est donc très vulnérable aux attaques de type man in the middle, lors desquelles un pirate interceptant les communications entre deux parties via Internet peut voler des données médicales très sensibles, des informations personnelles et même la géolocalisation d’un patient.”
Le danger (certes moins vital) se niche aussi ailleurs, prévient ESET: “Il n’y a pas que les risques sécuritaires auxquels les utilisateurs doivent être attentifs. Les données collectées par ces appareils peuvent être très précieuses pour les annonceurs. Sur certains marchés, il y a un intérêt immense pour ces données qui, dans l’Union européenne, devraient être strictement réglementées par la législation de 2018.
Un rapport démontre que les données vendues par les fabricants d’appareils de santé aux compagnies d’assurance génèreraient 855 de dollars millions d’ici 2023. Certains tiers les utiliseraient pour créer et revendre des profils publicitaires concernant les porteurs. Si ces données sont stockées, en aval, par d’autres sociétés, cela présente un risque de violation plus important.”