Des chercheurs découvrent des failles logicielles laissant les appareils médicaux vulnérables aux pirates

Recevez des mises à jour en temps réel directement sur votre appareil, abonnez-vous maintenant.

La recherche, partagée exclusivement avec CNN, souligne les défis que les hôpitaux et autres installations ont rencontrés pour maintenir à jour les logiciels sensibles alors que la pandémie de coronavirus absorbant les ressources se poursuit. C’est également un exemple de la façon dont les agences fédérales travaillent plus étroitement avec les chercheurs pour enquêter sur les failles de cybersécurité qui pourraient affecter la sécurité des patients.

Selon les sociétés de cybersécurité Forescout Technologies et Medigate, qui ont découvert le problème, près de 4 000 appareils fabriqués par divers fournisseurs des secteurs de la santé, du gouvernement et de la vente au détail exécutent le logiciel vulnérable.

Il n’y a aucune preuve que des pirates malveillants aient profité des failles logicielles et cela nécessiterait un accès préalable aux réseaux dans certains cas, a déclaré Forescout. Siemens, la société industrielle propriétaire du logiciel, a publié des mises à jour corrigeant les vulnérabilités.

Siemens a travaillé avec des responsables fédéraux et les chercheurs pour vérifier et corriger les vulnérabilités grâce à des mises à jour logicielles.

L’Agence de cybersécurité et de sécurité des infrastructures (CISA) du ministère de la Sécurité intérieure devrait publier mardi un avis encourageant les utilisateurs à mettre à jour leurs systèmes en réponse au rapport, selon les chercheurs.

« Il est important que les fabricants de dispositifs médicaux disposent d’un mécanisme pour déterminer rapidement si leurs dispositifs sont affectés », a déclaré à CNN le Dr Kevin Fu, directeur par intérim de la cybersécurité des dispositifs médicaux au Center for Devices and Radiological Health de la FDA.

Après avoir pris connaissance des vulnérabilités, « Nous avons commencé à travailler avec nos partenaires dans tous les secteurs d’infrastructures critiques potentiellement touchés, y compris dans le secteur des soins de santé, pour informer les fournisseurs potentiellement à risque de cette vulnérabilité et fournir des conseils pour y remédier », CISA Adjoint Exécutif Adjoint. Le directeur de la cybersécurité Matt Hartman a déclaré dans une déclaration à CNN.

Les vulnérabilités affectent les versions du système d’exploitation en temps réel Nucleus, une suite de logiciels appartenant à Siemens qui gère les données sur les réseaux critiques.

Les États-Unis mettent la société israélienne NSO Group sur liste noire pour utilisation de logiciels espions

Fu a déclaré que les vulnérabilités pourraient affecter une gamme d’appareils médicaux, mais que cela dépend de la version du logiciel en cours d’exécution et si l’appareil est connecté à Internet. En plus des moniteurs de patients, certaines machines d’anesthésie, d’échographie et de rayons X pourraient être affectées par la faille logicielle, selon la recherche.

Les chercheurs de Forescout ont testé les vulnérabilités logicielles en laboratoire. Dans un cas, ils ont envoyé des commandes malveillantes à un système d’automatisation des bâtiments utilisé dans les hôpitaux, le mettant hors ligne et coupant les lumières et le système CVC dans une fausse chambre d’hôpital, selon le rapport de recherche. (Pour que cela fonctionne dans la pratique, un pirate informatique devrait déjà être sur le réseau de l’hôpital local ou le dispositif d’automatisation du bâtiment devrait être exposé à Internet.)

Elisa Costate, vice-présidente de la recherche chez Forescout Technologies, a déclaré à CNN que son équipe de recherche voulait souligner comment les logiciels vieillissants utilisés dans les industries clés doivent être examinés de près pour détecter les failles de sécurité.

« Notre monde intelligent repose sur des logiciels hérités » qui sont souvent plus difficiles à maintenir, a déclaré Costate.

« Aujourd’hui, je n’ai aucune preuve que cela soit exploité [by hackers] encore à l’état sauvage », a-t-elle ajouté. « Mais devons-nous vraiment attendre que quelque chose de majeur se produise plutôt que de créer la prise de conscience [needed to address the vulnerabilities]? »

La FDA a investi davantage dans la cybersécurité ces dernières années afin de déterminer comment la numérisation des soins aux patients ouvre des risques de piratage. L’agence en juin 2019 a conseillé aux patients d’arrêter d’utiliser une certaine pompe à insuline après que des chercheurs ont montré comment un pirate informatique pouvait modifier les paramètres de la pompe.

.

www.actusduweb.com
Suivez Actusduweb sur Google News


Recevez des mises à jour en temps réel directement sur votre appareil, abonnez-vous maintenant.

commentaires

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite