octobre 7th, 2015

Scott Erven et Mark Collao sont des specialistes du fuzzing à grande échelle dans un domaine plutôt sensible : les équipements médicaux. L’un est d’ailleurs un spécialiste sécurité de ce secteur, l’autre un chercheur pratiquant les tests de pénétration de longue date. Et leur toute récente communication effectuée à l’occasion de Derbycon 2015 renvoie les travaux de Jay Radcliffe, de Kevin Fu ou de Billy Rios au rang d’anecdotes de salles de garde. 21 appareils d’anesthésie, 488 équipements de cardiologie, 133 systèmes d’injection, 31 stimulateurs cardiaques, 97 IRM, 323 appareils d’imagerie médicale… sont vulnérables soit à un type d’attaque, soit propices à des fuites d’information ce qui, dans le domaine médical, peut avoir de lourdes conséquences. Pis encore, bon nombre de ces équipements sont répertoriés par Shodan, le moteur de recherche des IoT, dévoilant ainsi des équipements soit directement attaquables, soit coupables d’indiscrétions.

Les failles de sécurité que révèlent les deux chercheurs n’ont hélas aucun caractère franchement novateur. Accès SSH distants, failles de consoles Web, mots de passe par défaut, vulnérabilité à des attaques que l’on croyait maîtrisées depuis longtemps tel que la faille exploitée par le vers Conficker… « Et ce n’est pas là un risque virtuel, insistent Erven et Collao. Nous avons constaté que certains équipements subissaient régulièrement des attaques brute-force, ou avaient fait l’objet de hack directs couronnés de succès ».