Vous avez peut-être entendu l'expression « votre santé est votre richesse ». C'est l'une des raisons pour lesquelles les États-Unis ont dépensé plus de 3 200 milliards de dollars en soins de santé rien qu'en 2015.
Avec autant d'argent en circulation, il est tout naturel que de nombreuses entreprises se soient lancées sur le marché de la santé, y compris des entreprises technologiques.
La technologie médicale semble parfois dépassée, mais les entreprises ont l'intention de faire entrer ces appareils dans le 21e siècle. Et bien que la connectivité Internet puisse sembler être une fonctionnalité intéressante, il existe de réels dangers et problèmes qui pourraient vous surprendre.
L'Organisation mondiale de la santé (OMS) définit un dispositif médical comme "tout instrument, appareil, outil, machine, appareil, implant, réactif à usage in vitro, logiciel, matériel [...] destiné par le fabricant à être utilisé [.. .] pour les êtres humains, pour une ou plusieurs [...] fins médicales spécifiques".
Bien que cela semble assez compliqué, cela signifie simplement tout appareil ou logiciel pouvant être utilisé à des fins médicales.
La Food &Drug Administration (FDA) des États-Unis est responsable de la surveillance réglementaire des dispositifs médicaux et les divise en trois catégories :Classe I, Classe II et Classe III. Les appareils de classe 1 sont peu réglementés, la plupart des contrôles ne portant que sur la façon dont ils sont fabriqués et commercialisés. La classe II ajoute une réglementation plus spécifique et la classe III est réservée aux appareils qui soutiennent ou maintiennent la vie humaine.
Cependant, comme c'est souvent le cas partout dans le monde, la FDA a eu du mal à suivre le rythme de l'innovation. Il existe peu de références à la manière dont les appareils modernes connectés à Internet devraient être réglementés.
Quelles mesures les fabricants devraient-ils mettre en place pour assurer la sécurité de ces appareils ? En décembre 2016, la FDA a publié des directives sur la sécurité des dispositifs médicaux, mais elles ne sont pas juridiquement applicables. Cela laissait aux fabricants le soin de décider de suivre ou non les conseils.
Cela place les dispositifs médicaux connectés à Internet dans le même bateau que ceux de la catégorie plus large de l'Internet des objets (IoT). Les dispositifs médicaux IoT présentent de nombreux avantages, mais l'absence de réglementation applicable signifie que les fabricants ne consacreront probablement pas beaucoup de ressources à leur sécurisation.
Ce n'est qu'une des nombreuses raisons pour lesquelles l'Internet des objets est un cauchemar pour la sécurité. De plus, nous plaçons littéralement nos vies entre les mains des appareils IoT médicaux. En tant que tel, les enjeux sont encore plus importants qu'avec les appareils IoT classiques.
La santé est une activité coûteuse, non seulement pour les patients, mais aussi pour les prestataires eux-mêmes. Les entreprises facturent d'énormes sommes d'argent pour les nouveaux appareils et le support technique. Cela signifie que les hôpitaux et autres cabinets médicaux sont un fouillis d'outils --- certains nouveaux, d'autres anciens avec une gamme d'exigences de fonctionnement différentes. L'ancien matériel, les anciens logiciels et les interfaces propriétaires s'associent pour faire de la sécurisation appropriée du système un cauchemar pour le service informatique du fournisseur.
L'interface entre le logiciel et le matériel expose souvent des vulnérabilités exploitables, comme Saurabh Harit l'a montré à Black Hat Europe 2017. Il a obtenu une pompe à perfusion intraveineuse, qui injecte des médicaments dans le sang d'un patient, qui peut être programmée et commandée à distance.
Après avoir accédé au mode administrateur de la pompe avec un mot de passe par défaut trouvé en ligne, il a pu utiliser l'infrarouge de l'unité et un ancien PDA acheté sur eBay pour importer leurs identifiants Wi-Fi dans les paramètres réseau de la pompe.
À l'aide de Wireshark (l'un des nombreux outils de sécurité réseau open source) pour inspecter les paquets, Harit a consulté les données du patient telles que la dose de médicament, le soignant, le nom, l'emplacement et l'itinéraire. Étonnamment, il a même pu accéder à la liste principale des médicaments qui définit et maintient la posologie prescrite.
Si de telles vulnérabilités se limitaient à cette seule pompe, ce serait assez choquant, mais les chercheurs en découvrent régulièrement de nouvelles. Une équipe a pu accéder à un scanner CT, un appareil qui vous donne une petite dose de rayonnement pour créer des modèles 3D de l'intérieur de votre corps.
En août 2017, la FDA a rappelé 465 000 stimulateurs cardiaques fabriqués par Abbott en raison de problèmes de piratage. Au lieu de forcer près d'un demi-million de personnes à subir une chirurgie invasive, Abbott a publié un correctif de micrologiciel, que le personnel médical a pu appliquer au stimulateur cardiaque.
En 2014, le Département de la sécurité intérieure (DHS) a commencé à enquêter sur 24 appareils sur des failles critiques suspectées. Les appareils comprenaient une pompe à perfusion de Hospira Inc et des dispositifs cardiaques implantables de Medtronic et St Jude Medical.
Si vous avez déjà travaillé dans un bureau, vous savez que de nombreuses entreprises s'appuient sur des logiciels hérités. Cela nécessite invariablement des systèmes d'exploitation, des pilotes et des périphériques plus anciens, ce qui les rend très peu sûrs. Le coût est généralement un facteur décisif dans la mise à jour, et beaucoup décident qu'ils ne peuvent pas justifier la dépense. Si ce n'est pas cassé, ne le réparez pas, n'est-ce pas ?
Les entreprises ont souvent du mal à donner la priorité à la cybersécurité, avec une attitude dominante selon laquelle si une attaque ne s'est pas encore produite, elle ne se produira pas. Malheureusement, les fournisseurs de soins de santé ne sont pas non plus à l'abri de cette ligne de pensée. En mai 2017, une attaque par ransomware, baptisée WannaCry, a infecté presque simultanément 300 000 ordinateurs, dont beaucoup appartiennent au National Health Service (NHS) du Royaume-Uni.
Le ransomware a touché plus de 40 NHS Trusts à travers le pays, réduisant les soins aux patients, fermant des cabinets médicaux et même fermant des hôpitaux. Les effets de l'attaque ont mis les patients en danger et ont également potentiellement compromis la sécurité de leurs données. Malheureusement, Microsoft a publié un correctif un mois avant l'attaque, ce qui aurait empêché WannaCry de s'installer. Non seulement la mise à jour n'a pas été déployée, mais il s'est avéré que de nombreux ordinateurs exécutaient encore Windows XP.
Ceci malgré la fin de la prise en charge étendue du système d'exploitation vieux de 15 ans deux ans avant l'attaque.
La technologie continue d'apporter des progrès significatifs dans le traitement médical, mais ce n'est pas la grâce salvatrice du secteur médical comme l'a découvert le NHS du Royaume-Uni. Selon le secrétaire à la Santé du gouvernement, Jeremy Hunt, jusqu'à 270 femmes pourraient être décédées après qu'une "erreur d'algorithme informatique" n'ait pas invité 450 000 femmes à un dépistage régulier du cancer du sein.
Contrairement à de nombreux autres domaines touchés par les progrès technologiques, les dispositifs médicaux peuvent être une question de vie ou de mort. Comme la loi de Moore permet à davantage d'appareils d'être mis en ligne dans les années à venir, les fabricants doivent donner la priorité à la sécurité. Après tout, il ne sert à rien de concevoir une "fonctionnalité qui tue" si cela s'avère être une description d'une précision dévastatrice.
