0

  • Votre panier est vide.

  • LOGIN

Des pirates informatiques pourraient augmenter les doses de médicaments grâce à des failles dans les pompes à perfusion

Certains articles de veille peuvent faire l'objet de traduction automatique.

Tiré de des stimulateurs cardiaques aux pompes à insuline, en passant par les mammographes, les échographes et les moniteurs, un nombre impressionnant de dispositifs médicaux présentent des failles de sécurité inquiétantes. Le dernier ajout à cette ignoble liste est une pompe à perfusion et une station d’accueil populaires, la pompe Infusomat Space Large Volume et la SpaceStation de B. Braun, qu’un pirate déterminé pourrait manipuler pour administrer une double dose de médicaments à ses victimes.

Les pompes à perfusion automatisent l’administration de médicaments et de nutriments dans le corps des patients, généralement à partir d’une poche de fluides intraveineux. Elles sont particulièrement utiles pour administrer sans erreur de très petites doses de médicaments ou des doses plus nuancées, mais cela signifie que les enjeux sont élevés lorsque des problèmes surviennent. Entre 2005 et 2009, par exemple, la FDA a reçu environ 56 000 rapports d' »événements indésirables » liés aux pompes à perfusion, « dont de nombreuses blessures et de nombreux décès », et l’agence a par la suite réprimer sur la sécurité des pompes à perfusion en 2010. En conséquence, des produits comme la pompe à perfusion grand volume Infusomat Space de B. Braun sont extrêmement verrouillés au niveau logiciel ; il est censé être impossible d’envoyer des commandes directement aux appareils. Mais les chercheurs de la société de sécurité McAfee Enterprise ont fini par ont trouvé des moyens de contourner cette barrière.

« Nous avons tiré tous les fils possibles et nous avons fini par trouver le pire des scénarios », explique Steve Povolny, responsable du groupe de recherche sur les menaces avancées de McAfee. « En tant qu’attaquant, vous ne devriez pas être en mesure de faire des allers-retours entre la SpaceStation et le système d’exploitation de la pompe proprement dite, donc franchir cette frontière de sécurité et obtenir un accès pour pouvoir interagir entre les deux – c’est un vrai problème. Nous avons montré que nous pouvions doubler le débit. »

Les chercheurs ont découvert qu’un attaquant ayant accès au réseau d’un établissement de santé pouvait prendre le contrôle d’une SpaceStation en exploitant une vulnérabilité de connectivité commune. À partir de là, il pourrait exploiter quatre autres failles en séquence pour envoyer la commande de doublement des médicaments. L’attaque complète n’est pas simple à réaliser en pratique et nécessite cette première prise de pied dans le réseau d’un établissement médical.

« L’exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant sophistiqué de compromettre la sécurité des dispositifs de communication Space ou compactplus », écrit B. Braun dans un article intitulé alerte de sécurité aux clients, « permettant à un attaquant d’élever ses privilèges, de visualiser des informations sensibles, de télécharger des fichiers arbitraires et d’exécuter du code à distance ». L’entreprise a également reconnu qu’un pirate pouvait modifier la configuration de la pompe à perfusion connectée, et avec elle le rythme des perfusions.

La société a déclaré dans sa notification que l’utilisation des dernières versions de son logiciel publiées en octobre est le meilleur moyen de sécuriser les appareils. Elle recommande également aux clients de mettre en œuvre d’autres mesures d’atténuation de la sécurité du réseau, comme la segmentation et l’authentification multifactorielle.

B. Braun a ajouté dans une déclaration à WIRED que les vulnérabilités sont « liées à un petit nombre d’appareils utilisant d’anciennes versions du logiciel B. Braun » et que la société n’a pas vu de preuve que les vulnérabilités ont été exploitées.

Nous ne sommes pas du tout d’accord avec McAfee lorsqu’il affirme dans son message qu’il s’agit d’un « scénario réaliste » dans lequel la sécurité des patients est menacée », ajoute la société dans sa déclaration.

Les chercheurs de McAfee notent toutefois que la plupart des bogues n’ont pas été corrigés dans les produits existants. B. Braun, disent-ils, a simplement supprimé la fonction de mise en réseau vulnérable dans la nouvelle version de ses SpaceStations.

Une fois que les pirates ont pris le contrôle de la SpaceStation en exploitant le premier bogue de réseau, le piratage se déroule en combinant quatre vulnérabilités qui ont toutes trait au manque de contrôles d’accès entre la SpaceStation et une pompe. Les chercheurs ont trouvé des commandes et des conditions spécifiques dans lesquelles les pompes ne vérifient pas correctement l’intégrité des données ou n’authentifient pas les commandes envoyées par la station spatiale. Ils ont également découvert que l’absence de restrictions de téléchargement leur a permis d’altérer la sauvegarde d’un dispositif avec un fichier malveillant, puis de restaurer à partir de la sauvegarde pour installer un malware sur une pompe. Enfin, ils ont remarqué que les appareils envoient certaines données en clair sans cryptage, ce qui les expose à l’interception ou à la manipulation.

Voir aussi :

août 25, 2021

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)