Des chercheurs découvrent des failles logicielles laissant les appareils médicaux vulnérables aux pirates
Selon les sociétés de cybersécurité Forescout Technologies et Medigate, qui ont découvert le problème, près de 4 000 appareils fabriqués par divers fournisseurs des secteurs de la santé, du gouvernement et de la vente au détail exécutent le logiciel vulnérable.
Il n’y a aucune preuve que des pirates malveillants aient profité des failles logicielles et cela nécessiterait un accès préalable aux réseaux dans certains cas, a déclaré Forescout. Siemens, la société industrielle propriétaire du logiciel, a publié des mises à jour corrigeant les vulnérabilités.
Siemens a travaillé avec des responsables fédéraux et les chercheurs pour vérifier et corriger les vulnérabilités grâce à des mises à jour logicielles.
L’Agence de cybersécurité et de sécurité des infrastructures (CISA) du ministère de la Sécurité intérieure devrait publier mardi un avis encourageant les utilisateurs à mettre à jour leurs systèmes en réponse au rapport, selon les chercheurs.
« Il est important que les fabricants de dispositifs médicaux disposent d’un mécanisme pour déterminer rapidement si leurs dispositifs sont affectés », a déclaré à CNN le Dr Kevin Fu, directeur par intérim de la cybersécurité des dispositifs médicaux au Center for Devices and Radiological Health de la FDA.
Après avoir pris connaissance des vulnérabilités, « Nous avons commencé à travailler avec nos partenaires dans tous les secteurs d’infrastructures critiques potentiellement touchés, y compris dans le secteur des soins de santé, pour informer les fournisseurs potentiellement à risque de cette vulnérabilité et fournir des conseils pour y remédier », CISA Adjoint Exécutif Adjoint. Le directeur de la cybersécurité Matt Hartman a déclaré dans une déclaration à CNN.
Les vulnérabilités affectent les versions du système d’exploitation en temps réel Nucleus, une suite de logiciels appartenant à Siemens qui gère les données sur les réseaux critiques.
Fu a déclaré que les vulnérabilités pourraient affecter une gamme d’appareils médicaux, mais que cela dépend de la version du logiciel en cours d’exécution et si l’appareil est connecté à Internet. En plus des moniteurs de patients, certaines machines d’anesthésie, d’échographie et de rayons X pourraient être affectées par la faille logicielle, selon la recherche.
Les chercheurs de Forescout ont testé les vulnérabilités logicielles en laboratoire. Dans un cas, ils ont envoyé des commandes malveillantes à un système d’automatisation des bâtiments utilisé dans les hôpitaux, le mettant hors ligne et coupant les lumières et le système CVC dans une fausse chambre d’hôpital, selon le rapport de recherche. (Pour que cela fonctionne dans la pratique, un pirate informatique devrait déjà être sur le réseau de l’hôpital local ou le dispositif d’automatisation du bâtiment devrait être exposé à Internet.)
Elisa Costate, vice-présidente de la recherche chez Forescout Technologies, a déclaré à CNN que son équipe de recherche voulait souligner comment les logiciels vieillissants utilisés dans les industries clés doivent être examinés de près pour détecter les failles de sécurité.
« Notre monde intelligent repose sur des logiciels hérités » qui sont souvent plus difficiles à maintenir, a déclaré Costate.
« Aujourd’hui, je n’ai aucune preuve que cela soit exploité [by hackers] encore à l’état sauvage », a-t-elle ajouté. « Mais devons-nous vraiment attendre que quelque chose de majeur se produise plutôt que de créer la prise de conscience [needed to address the vulnerabilities]? »
.