l’ICS Cert (USA) émet une alerte concernant plus de 300 équipements médicaux fabriqués par au moins 40 entreprises différentes. Motif : mot de passe codé en dur. En fait, la nouvelle n’est pas très fraîche, puisqu’elle a fait l’objet d’une présentation par MM Terry McCorkle et Billy Rios durant la conférence sécurité S4, consacrée aux systèmes scada, en janvier dernier. Bon nombre d’articles de presse, dont un dans les colonnes de Dark Reading ou du Washington Post, en ont fait état. On se demande soudainement pourquoi l’ICS Cert ne réagit que maintenant. Une panne informatique, sans doute. Car McCorkle et Rios avaient, par le passé, dénoncé les faiblesses potentielles du système de supervision Scada Niagara de Tridium (4 millions de ligne de codes, des clients dans 52 pays, 11 millions d’appareils connectés… et des liaisons passant par Internet)
Cette fois, il s’agit de défibrillateurs, de systèmes de pilotages de machines d’imagerie médicale, de « gaveuses » et autres pompes d’injection de médicaments. La liste des équipements médicaux susceptibles d’être « hackés » est longue. Absence de chiffrement sur le réseau reliant l’appareil et ses machines de supervision, mots de passe inscrits en « dur » dans le firmware et autres accès sans-fil considérés comme inviolables mais ouverts à tous les vents, les deux chercheurs se sont livrés à un fuzzing sauvage sans la moindre discrimination, et mis en évidence une « attitude de négligence générale » de la part de la quasi-totalité des constructeurs d’équipements médicaux. Déjà, par le passé, de nombreuses alertes avaient été émises, mettant en garde les centres hospitaliers de certaines mauvaises pratiques en matière d’informatisation et de trop faible protection périmétrique. Ceci sans oublier quelques communications sensationnalistes (attaques d’un pacemaker par liaison sans fil par Barnaby Jack notamment) mais peu réalistes.
Le domaine de la santé publique appartient aux domaines Scada, et doit être considéré comme tel d’un point de vue sécurité. Et comme certaines installations de contrôle de processus industriel, cette sécurité semble dater d’un autre âge, conditionnée par des années de « sécurité par l’obscurantisme » et une coupable assurance d’impunité. Mais ce qui semble le plus inquiétant, c’est qu’il ait fallu à un Cert 6 mois pour réagir … et qu’il en faudra un peu plus pour que les constructeurs d’appareils médicaux commencent à faire de même.
