Des chercheurs en sécurité informatique viennent de découvrir une vulnérabilité dans un protocole de réseau affectant les appareils d’anesthésie et respiratoires issus de la marque General Electric (GE), utilisés dans les cliniques et les hôpitaux américains. Le risque ? Ces machines vitales pourraient être exploitées à des fins malveillantes…
Des failles qui ne nécessitent qu’un «faible niveau de compétences»
Selon le site Techcrunch, des chercheurs de la société de sécurité des soins et de santé «CyberMDX» ont déclaré, depuis octobre 2018, que le protocole utilisé au sein des appareils «Aestiva» et «Aespire», permettrait d’envoyer des commandes à un serveur de terminaux connecté aux réseaux des hôpitaux.
«Ces commandes en question sont susceptibles de faire taire les alarmes, modifier les enregistrements et peuvent même être utilisées pour modifier la composition des gaz utilisés à la fois dans le respirateur et dans les appareils d’anesthésie», ont expliqué les chercheurs.
Homeland Security, une autre société spécialisée en cybersécurité, a publié un avis similaire, affirmant que les failles ne nécessitaient qu’un «faible niveau de compétences» pour pouvoir les exploiter.
«Les appareils utilisent un protocole propriétaire», selon Elad Luz, responsable de la recherche chez CyberMDX, lequel précise qu’il était assez simple de manipuler les commandes des machines.
L’une desdites commandes obligerait ainsi l’appareil à utiliser une version plus ancienne du protocole, qui est toujours présente afin de garantir la compatibilité avec les versions antérieures, selon le responsable. Pire encore : aucune des commandes ne nécessiterait d’authentification…
«Sur chaque version, vous pouvez d’abord envoyer une commande pour demander de changer la version du protocole à la plus ancienne, puis envoyer une demande pour changer la composition du gaz», a ajouté M. Luz, inquiet. En d’autres termes, déconnecter les périphériques du réseau les rendrait beaucoup plus sûrs.
Pas de risques pour les patients, assure GE
Le constructeur GE a reconnu, de son côté, que les versions 7100 et 7900 des modèles de machines Aestiva et Aespire étaient bel et bien affectés par ces vulnérabilités, et précise au passage que celles-ci étaient déployées dans la plupart des hôpitaux et des centres médicaux, aux États-Unis.
Amy Sarosiek, porte-parole chez GE, a déclaré: «Après une enquête formelle sur les risques, nous avons déterminé que ce scénario de mise en œuvre potentiel n’introduisait pas de risque clinique ni de risque direct pour le patient, et qu’il n’y avait aucune vulnérabilité avec le dispositif d’anesthésie lui-même».
GE a déclaré avoir fondé son évaluation sur l’absence de risque pour les soins des patients, par rapport aux normes internationales de sécurité, et ce après avoir testé la variation maximale de modification des paramètres par rapport aux failles évoquées.
A ce jour, la société américaine a refusé de divulguer combien d’appareils étaient concernés mais a affirmé que la possibilité de modifier la composition du gaz n’était plus disponible sur les systèmes vendus après 2009.
Cette vulnérabilité publiée par CyberMDX est la deuxième à ce jour, puisque la société avait déjà découvert, en juin, d’autres failles impliquant cette fois une pompe à perfusion médicale largement utilisée dans le secteur médical !
Preuve que la démocratisation des objets connectés n’est pas sans risque, surtout s’ils affectent directement l’état de santé des patients…
S.B.N
Plus : A la une Actu Net Samy Ben Naceur Tek