Des chercheurs en sécurité israéliens de la firme CyberMDX ont découvert une faiblesse dans plusieurs appareils respiratoires et d’anesthésie de GE Healthcare, ce qui pourrait potentiellement mettre les patients en danger.
Une faille dans des appareils respiratoires et anesthésiques
CyberMDX, une entreprise de chercheurs qui se concentrent principalement sur la cybersécurité médicale, explique que si certaines personnes mal intentionnées exploitent cette faille, elles pourraient interférer avec les fonctionnalités des appareils respiratoires. Cette vulnérabilité pourrait ainsi directement impacter la confidentialité, l’intégrité, les disponibilités des composants de l’appareil, et pourrait potentiellement poser un risque pour les patients.
L’équipe de recherche de CyberMSX a trouvé cette vulnérabilité dans le GE Aestiva et le GE Aespire devices, les modèles 7100 et 7900. Avec cette faille, ils montrent que l’assaillant pouvait altérer le bon fonctionnement de la machine en mettant en silence les alarmes, changer l’heure et la date ou falsifier des informations.
Ce n’est pas tout, si cette faille venait à être exploitée, les attaquants pouvaient également ajuster la composition des gaz comme par exemple changer la concentration d’oxygène inspiré et expiré, le C02, le protoxyde d’azote, et des agents anesthésiques fournis au patient. Cette faille met donc en grand danger la confidentialité et la santé des patients. L’équipe ICS-CERT du département américain de la Sécurité intérieure a attribué à cette vulnérabilité une valeur CVSS de 5,3. Cela correspond à un niveau de risque modéré pour ces machines.
Comme souvent pour les cas d’exploitation de vulnérabilité de sécurité, il y a d’abord des pré-conditions. D’abord, les appareils de GE Healthcare ciblés doivent être connectés à un réseau internet et doivent être configurés pour fonctionner avec un serveur terminal. La personne pouvait alors hacker les dispositifs sans connaissance préalable des adresses IP de l’établissement médical ou de l’emplacement des machines.
Y avait-il un réel risque ?
Elad Luz, directrice de la recherche chez CyberMDX explique : “L’anesthésiologie est une science complexe et chaque patient peut réagir différemment au traitement. C’est pour cela que les anesthésistes doivent suivre des protocoles rigoureux pour documenter et signaler les procédures, les doses, les signes vitaux, etc. La capacité de saisir automatiquement et précisément ces détails est l’une des principales raisons pour lesquelles les appareils respiratoires sont connectés à un réseau au départ. Une fois que l’intégrité des paramètres d’heure et de date a été compromise, vous n’avez plus de pistes d’audit fiables. C’est un problème très grave pour tout centre médical. »
Le média TNW a directement interrogé l’entreprise GE Healthcare. Dans un e-mail, la porte-parole de l’entreprise, Hannah Huntley, explique que la vulnérabilité ne présente pas de “danger clinique” pour les utilisateurs des machines. “Après une enquête officielle sur les risques, nous avons déterminé que ce scénario de mise en œuvre potentielle ne présente pas de danger clinique ou de risque direct pour le patient”, constate-t-elle.
Elle assure ainsi qu’une approche proactive a été adoptée pour assurer l’intégrité de ces appareils, en menant des partenariats avec des organismes externes : “Nous avons une approche globale en matière de sécurité et surveillons continuellement les environnements dans lesquels nous évoluons pour évaluer et atténuer les risques. Nous continuerons de travailler avec les organismes gouvernementaux, les fournisseurs de soins de santé et les chefs de file de l’industrie de la sécurité à des initiatives de cyberpréparation qui appuient l’utilisation sécuritaire et efficace de nos appareils médicaux et de nos solutions logicielles.”
Researchers find terrifying security vulnerability in GE Healthcare anesthesia machines https://t.co/fjyTzSeAH5
— Antonio Mele (@antoniomele101) July 10, 2019
Avec les appareils médicaux, tout comme les téléphones ou ordinateurs, nous ne sommes jamais à l’abri d’une faille qui peut représenter dans ce cas un danger pour la santé.
