Un nouveau rapport McAfee met en évidence des failles dans des équipements médicaux, failles susceptibles d’avoir de lourdes conséquences sur la santé des patients et le fonctionnement des hôpitaux.
On le sait, les équipements médicaux sont de plus en plus connectés afin de permettre un meilleur suivi des patients. Parallèlement, les hôpitaux sont aussi devenus la cible de prédilection de certains groupes de cyberattaquants. Il y a à peine deux semaines, l’hôpital d’Arles s’est ajouté à la longue liste des centres hospitaliers français ayant été victimes de ransomwares depuis le déclenchement de la crise pandémique.
Le problème, c’est que bien des équipements connectés sont utilisés intensivement sans jamais être mis à jour. Leurs failles de sécurité sont une préoccupation pour les RSSI et autres responsables sécurité des établissements qui les utilisent.
L’équipe ATR de McAfee Entreprise vient de publier un rapport mettant en évidence des trous de sécurité dans deux modèles de pompes à perfusion de B. Braun (la Infusomat Space et la SpaceStation). Ce type d’équipement est très répandu et très utilisé (200 millions de perfusions intraveineuses sont réalisées dans le monde chaque année), constituant une cible de prédilection.
Les failles permettent à des cybercriminels de mener des attaques réseau à distance et de rebondir de la pompe connectée vers d’autres équipements informatiques. Mais pire encore, les chercheurs ont montré qu’il était possible de modifier l’équipement des pompes pour qu’ils administrent des surdoses de médicaments tout en affichant sur leur écran des valeurs normales. Autant de failles qui ouvrent la voie à des ransomwares et des chantages en tous genres.
Comme bien des systèmes de ce type, les modèles incriminés utilisent un système Linux embarqué et un ensemble de bibliothèques open source. Comme le rappelle le rapport Veracode, près de 80% des bibliothèques open source utilisées dans les logiciels d’entreprise ne sont jamais mises à jour par ces entreprises, une aubaine pour les attaquants qui peuvent ainsi directement exploiter des failles déjà connues. C’est typiquement le cas ici. Bien que le logiciel embarqué soit daté 2017, il utilise des bibliothèques antérieures à 2015, alors que des patchs de sécurité critiques ont été publiés en 2015.
Soulignons que suite aux découvertes des chercheurs (et avant la publication du rapport) B.Braun a averti ses clients des failles existantes et des remédiations à mettre en place. En outre, de nouvelles versions du logiciel de gestion des pompes ont été publiées pour prendre en compte les dernières versions des bibliothèques incriminées.