Les hackers capables de tuer les patients des hôpitaux à distance
Des pompes à perfusion dans des milliers d’hôpitaux partout dans le monde sont vulnérables au hacking, ce qui met en danger la vie des malades. L’expert avait été ignoré quand il a essayé de soulever la question, il a accordé un entretien à RT.
Billy Rios, expert de sécurité, avait testé plusieurs pompes à perfusion plus tôt cette année appartenant au grand producteur des pompes Hospira, qui livre des appareils à plus de 400 000 hôpitaux à travers le monde. Ce qu’il a découvert était alarmant, mais suffisant pour lever un vent de panique. Comme Rios l’a révélé, un hacker opérant à distance peut faire en sorte que la pompe intraveineuse oublie de prévenir un médecin en cas d’erreur de dosage.
«Chacun peut le faire, et ce n’est qu’une question de temps avant que quelqu’un arrive à comprendre comment», Rios a rapporté à RT. «Ces pompes ne sont que les ordinateurs – c’est comme l’ordinateur portable que vous prenez et que vous connectez à un réseau wi-fi, ces pompes sont aussi en réseau», - a-t-il ajouté.
Billy Rios "There are bad people in the world" Healthcare needs to be serious about #cybersecurity. #AAMI2015pic.twitter.com/t62749FI1p
— Healthcare Tech Talk (@Healthtechtalkn) 6 июня 2015Quand il a contacté initialement le fabriquant basé dans l’Etat de l’Illinois pour l’alerter sur le problème, ce dernier a tout simplement exclu une telle possibilité, le module de communications et le circuit intégré étant complètement séparés à l’intérieur de l’appareil.
Pour réfuter cette affirmation, Rios s’a eu qu’à ouvrir une pompe et que constater que ces deux parties sont connectées avec l’aide d’un câble en série, «de telle sorte qu’il effectivement possible de modifier le logiciel central de la pompe», a-t-il expliqué au site Wired.
«De plus, si l’on veut, par exemple, modifier la configuration de la pompe, on peut faire ça à distance, via une interface sans fil. Si vous voulez installer une nouvelle [soi-disant] «base de données médicamenteuse» sur la pompe, vous pouvez le faire via l’un des serveurs sur le réseau de l’hôpital. Et alors, une fois que la personne sait comment procéder à une telle manipulation, elle peut en théorie envoyer elle-même des signaux à la pompe et la pousser à faire ce qu’elle n’a pas été conçue pour faire», Rios a poursuivi. Chaque pompe est équipée d’une «base données médicamenteuse» contenant des informations sur les médicaments et les dosages pour différents médicaments. Ce que Rios a révélé, c’est le fait que ces registres ne sont pas soumis à une procédure d’authentification et ne portent pas de signature numérique. Cela signifie qu’un imposteur pourrait tout simplement remplacer un registre par un autre.
Source: ReutersHospira n’a pas inquiété outre mesure par les découvertes de Rios jusqu’au moment où il a établi que le dosage des médicaments pouvait aussi être changé à distance. Selon Rios, le microprogramme utilisé par le producteur pour faire des mises à jour à distance au sein de l’appareil électronique a toujours été le point faible de ce genre de machines.
Sur son blog, Rios a écrit qu’il avait été très surpris par le fait que Hospira avait tout simplement refusé de répondre à cette grave menace de sécurité. «400 jours plus tard, nous avons encore à voir un seul correctif concernant [les modèles] PCA 3», a-t-il signalé. En mai dernier, «j’ai recommandé à Hospira d’effectuer une analyse pour déterminer si d’autres pompes sur leurs lignes de produits ont le même problème. Cinq mois après ma demande, Hospira m’a répondu qu’il «n’était pas intéressée par la vérification de la vulnérabilité des autres pompes».
