Healthcare, connected people

Filtrer par catégorie :

23 Mars 2016 by Nha-Khanh Nguyen
Nha-Khanh Nguyen
A l'ère où l'on connecte au reste du monde votre montre et votre brosse à dent électrique, la principale préoccupation concernant l'Internet des Objets porte sur la vie privée des utilisateurs. Cependant, la notion de sécurité est bien plus large que cela. Confidentialité, intégrité ou manipulation des données, quels sont aujourd'hui les véritables enjeux de cette nouvelle tendance ?

L'obsession de la confidentialité

Les objets de la vie quotidienne intègrent de plus en plus les technologies sans fil pour devenir des objets connectés : vous pouvez ainsi faire le suivi de votre rythme cardiaque directement via votre smartphone, consulter votre température remontée par votre brosse à dent connectée ou encore commander automatiquement du bacon lorsque votre réfrigérateur détecte qu'il va vous en manquer pour votre petit déjeuner. Pratique ? Certainement. Sécurisé ? C'est une autre histoire ! Ce n'est qu'assez récemment que le grand public a pris conscience que toutes ces données transitent par Internet et que, de fait, elles sont potentiellement récupérables par des attaquants. On ne compte plus aujourd'hui le nombre de piratages ayant exposé des milliers de données d'utilisateurs dans la nature. En conséquence, le maitre-mot, dès lors que l'on aborde le sujet de la sécurité des objets connectés, est confidentialité.

Mais si beaucoup d'objets ne font que transiter des informations, d'autres sont contrôlables à distance et peuvent potentiellement être détournés pour faire beaucoup plus de dégâts. Notamment, qu'en est-il des objets touchant directement à la santé des utilisateurs ?

Votre vie entre les mains de n'importe qui

Des chercheurs ont recemment démontré comment prendre le contrôle d'un pacemaker et d'une pompe à insuline et ont mis en exergue la dangerosité de leur piratage. La plupart du temps, ces petits appareils sont connectés en Bluetooth ou en WiFi. Il en est de même pour les appareils médicaux hospitaliers qui, de plus en plus, intègrent ces technologies sans fil.

Il n'est pas nouveau que certains dispositifs médicaux soient reliés en filaire au réseau des hôpitaux afin de pouvoir centraliser des données. Mais depuis quelques années, la tendance est aux objets connectés sans fil et de plus en plus d'entreprises proposant ce type de produits et de services voient le jour. Ainsi, afin d'optimiser le travail du personnel, certaines données peuvent être envoyées vers une application web ou mobile afin que l'information puisse être consultée en temps réel. En mettant l'accent sur la mobilité des outils des cliniciens, cela permet un gain de temps considérable : le professionnel affecté à tel patient peut par exemple modifier sa posologie suite à une alerte envoyée par le moniteur de surveillance et cela sans même être à proximité de la chambre. Par ailleurs, les applications mobiles assurent le partage des informations du patient, ce qui facilite son suivi par les médecins, notamment lorsqu’il est amené à changer de service.

smartphone

Cette révolution technologique rend possible la résolution de nombreuses problématiques en environnement médical, qu'elles soient d'ordre physique ou procédural. Seulement, connecter un appareil, c'est également augmenter sa surface d'attaque. Il existe plusieurs niveau de vecteurs d'attaque selon qu'ils nuisent directement ou indirectement au patient :

Niveau Cible d'attaque Description
Primaire Appareils médicaux actifs
Médicaments et biomatériaux
Chirurgie et procédures
Personnel
Directement en interaction avec le patient
Secondaire Appareils médicaux passifs Apportant des informations ou diagnostics, n'affectant pas directement la santé du patient
Tertiaire Systèmes financiers
Postes de travail
Appareils mobiles
Pouvant être utilisés comme vecteur d'attaque sur le Système d'Information

Si certains appareils ne sont accessibles que physiquement, d'autres le sont via une interface web ou application mobile. Avec de bons mots clés, il est ainsi possible de trouver, grâce à un moteur de recherche comme Shodan, l'adresse IP de nombreux appareils médicaux. Accéder à leur interface web devient alors un jeu d'enfant et l'attaquant peut potentiellement prendre le contrôle à distance d'appareils parfois vitaux. En prenant l'exemple d'un appareil destiné à délivrer les doses adaptées de médicaments aux patients, accéder à son interface web permettrait alors de modifier le taux de substance à lui administrer, qui pourrait alors être létale : un individu malveillant n'a alors même plus besoin d'accéder physiquement à l'appareil ! Il en va de même pour les moniteurs de surveillance qui peuvent être compromis afin d'afficher de fausses informations et d'induire en erreur le clinicien, ce qui peut mettre en danger la vie du patient.

Connectés oui, mais sécurisés !

Le principal problème des objets connectés de santé est qu'ils ne sont bien souvent pas sécurisés. Par effet de mode mais aussi en raison des avancées technologiques, les constructeurs tendent à rendre leurs produits plus modernes et plus pratiques en leur permettant d'être accessible à distance. Mais la question de la sécurité est encore loin d'être une priorité absolue, ce qui devrait être tout particulièrement le cas dans le domaine médical.