Dans des communiqués distincts, la Food and Drug Administration (FDA) et le département de la Sécurité intérieure (DHS) des États-Unis ont alerté le public d'une faille informatique exposant de nombreux appareils médicaux à un risque de piratage.
Découverte par l'entreprise de cybersécurité Armis, la porte dérobée expose ces appareils à onze vulnérabilités appelées «Urgent/11», qui permettent à «n'importe qui de prendre leur contrôle à distance, de modifier leur fonction, de les éteindre ou d'en extraire des données».
Ces vulnérabilités proviennent d'un programme appelé IPNet, développé par la société suédoise Interpeak il y a plus de dix ans pour connecter des appareils à internet.
Données sensibles
Dans son communiqué, la FDA affirme n'être pour l'instant au courant d'aucune attaque ayant utilisé la faille en question, mais précise que «des logiciels destinés à exploiter ces vulnérabilités sont d'ores et déjà disponibles publiquement». Les appareils affectés sont, entre autres, des pompes à perfusion, des moniteurs patients mais aussi des caméras, des imprimantes et des routeurs Wi-Fi.
Ces failles sont d'autant plus dangereuses que les hôpitaux sont l'une des cibles favorites des hackers. L'informatique étant essentielle à toutes les étapes du parcours médical, de la numérisation des dossiers des patient·es aux appareils utilisés pour les soigner, les hôpitaux sont de vraies usines à données.
Compte tenu du caractère sensible de toutes ces données, et leur valeur pour qui voudrait entraîner un algorithme spécialisé, les établissements de santé sont les victimes idéales pour les demandes de rançon et les vols d'informations.
Dans le cas d'Urgent/11, le pire est qu'il n'est pas possible de déployer de patch à grande échelle: les machines doivent être corrigées une par une –sauf que beaucoup de leurs propriétaires n'ont ni les moyens, ni les compétences pour le faire.
