Vulnérabilité dévoilée sur des appareils médicaux

Billy Rios et Terry McCorkle, chercheurs en sécurité chez Cylance, ont mis en lumière une vulnérabilité affectant environ 300 dispositifs médicaux répartis sur 40 vendeurs. Les mots de passe sont en effet codés en dur, ce qui pourrait être exploité pour éventuellement modifier les paramètres critiques et/ou modifier le firmware des appareils. L’ICS-CERT (Industrial Control…

Billy Rios et Terry McCorkle, chercheurs en sécurité chez Cylance, ont mis en lumière une vulnérabilité affectant environ 300 dispositifs médicaux répartis sur 40 vendeurs. Les mots de passe sont en effet codés en dur, ce qui pourrait être exploité pour éventuellement modifier les paramètres critiques et/ou modifier le firmware des appareils.

L’ICS-CERT (Industrial Control Systems-CERT) et la FDA (Food and Drug Administration) ont informé les fournisseurs concernés par ce rapport et demandé aux vendeurs de confirmer la vulnérabilité décrite. Ils demandent également d’apporter des réponses afin de réduire les risques d’attaques.

Dans la liste des appareils concernés on trouve : des appareils chirurgicaux et d’anesthésie, des ventilateurs, des pompes à perfusion de médicaments, des défibrillateurs, des moniteurs de surveillance, des équipements d’analyse…

L’ICS-CERT et la FDA précise qu’ils ne savent pas si un patient a déjà subi un quelconque traumatisme à la suite d’une exploitation de cette vulnérabilité par un attaquant.

Cette alerte permet de rappeler la criticité des appareils médicaux. Ces équipements peuvent être paramétrables à distance ou via des technologies sans fil, il ne faut pas négliger leur sécurité car il y a un enjeu vital direct. On cite souvent en exemple, le cas de la pompe à insuline pour laquelle on peut modifier le dosage pour le rendre fatal (cf http://labo.cyberprotect.fr/?p=202).

[Source]

React