Des chercheurs spécialisés dans la cybersécurité médicale ont découvert une vulnérabilité au sein des appareils respiratoires et d’anesthésie fabriqués par General Electric. Présents dans les hôpitaux et centres médicaux des États-Unis, ces dispositifs peuvent être hackés à distance sans « nécessiter un niveau de compétences élevé » selon les chercheurs.

Une affaire qui en rappelle une autre. En avril dernier, des chercheurs ont tiré la sonnette d’alarme après avoir créé un malware capable de truquer des scans de tumeurs cancéreuses. Et de mettre ainsi en exergue le faible niveau de sécurité des infrastructures hospitalières. Cette fois-ci, une équipe de CyberMDX, qui a fait de la cybersécurité médicale son fer de lance, apporte des preuves supplémentaires en la matière.

La société a en effet découvert une faille de sécurité nichée au sein des appareils respiratoires et d’anesthésie conçus par General Electric. Les machines en question se nomment GE Aespire et GE Aestive — version 7900 et 7100 — , et ont été déployées dans un certain nombre d’hôpitaux et de centres médicaux des USA, nous apprend un rapport de la compagnie.

La santé des patients mise en jeu

Plus concrètement, quels sont les tenants et les aboutissants de cette brèche ? Dans l’idée, l’attaquant doit en premier lieu se connecter à distance au réseau de l’hôpital visé. Si les périphériques GE Aestive ou GE Aespire sont connectés à ce réseau via le protocole de communication terminal-serveur (ce qui est pratiquement tout le temps le cas), alors le hacker est en mesure d’y insérer de nouvelles commandes, sans aucune authentification requise.

L’une des commandes en question jouera un rôle clé pour s’infiltrer dans les systèmes des machines susmentionnées. Le pirate peut en effet les forcer à utiliser une version antérieure du protocole, qui se veut moins sécurisé. De ce fait, libre à lui d’ajouter d’autres commandes plus dangereuses, toujours sans authentification demandée. Et le moins que l’on puisse dire, c’est que les conséquences peuvent être gravissimes.

Crédit photo : Jair Lázaro via Unsplash.

Altérer la concentration des gaz aspirés par le patient (oxygène, CO2, N2O et agents anesthésiques) et utilisés dans l’appareil respiratoire et d’anesthésie fait par exemple partie des actions envisagées. Au même titre que la désactivation de l’alarme, la modification de la pression barométrique, des types d’agents anesthésiques et de la date et des horaires qui documentent l’opération.

Selon l’avis du Département de la Sécurité intérieure des États-Unis (DHS) publié le mardi 9 juillet 2019, la réalisation de cette manœuvre nécessite un niveau de compétence en hacking relativement faible. L’équipe de CyberMDX a d’ailleurs effectué plusieurs tests — focalisés sur la désactivation de l’alarme — pour attester de cette vulnérabilité. General Electric, elle, a été prévenue par les chercheurs fin octobre 2018, sans qu’aucun rectificatif ne pointe le bout de son nez.

Le milieu médical, une sécurité trop obsolète ?

La porte-parole de l’entreprise, en la personne d’Amy Sarosiek, a déclaré à TechCrunch : « Après une enquête officielle, nous avons déterminé que ce potentiel scénario ne comportait aucun risque clinique ou risque direct pour le patient, et qu’il n’y avait aucune vulnérabilité avec l’appareil d’anesthésie en lui-même », peut-on lire. Une défense pour le moins légère face au rapport et aux expérimentations de CyberMDX.

Cette affaire montre une nouvelle fois à quel le point le milieu médical semble fragile face aux risques de cyberattaque. Parfois trop obsolètes, les infrastructures des établissements médicaux et des fournisseurs impliqués peinent à se mettre à la page, offrant une fenêtre de tir idéale pour tout hacker aux idées malveillantes. Le rapport de CyberMDX pourrait à l’avenir faire bouger les lignes : c’est tout du moins l’objectif.

Partager sur les réseaux sociaux