Le monde connecté devient de plus en plus angoissant. Le chercheur en sécurité Billy Rios vient de découvrir qu’il était possible de se connecter à distance à des systèmes de perfusion médicaux, de modifier son code logiciel à volonté et, le cas échéant, faire en sorte que l’équipement administre ni vu ni connu une dose fatale au patient.
Comment est-ce possible ? Le chercheur a décortiqué cinq modèles de système de perfusion du fabricant américain Hospira. Il s’agit de petits boîtiers qui permettent d’administrer de manière semi-automatique des médicaments, avec à la clé un mécanisme de sécurité pour éviter un dépassement de la dose. Dotés d’un module de communication, ces boîtiers sont connectés au réseau informatique de l’hôpital, ce qui permet au personnel médical de mettre régulièrement à jour les données thérapeutiques sur les médicaments utilisés (concentration, dosage maximal, durée d’administration…). Le problème, c’est que le module de communication est également directement relié à la carte mère de l’appareil, où se trouve le firmware.
Or, selon Billy Rios, une faille dans le module de communication permettrait d’accéder à distance sur cette carte et de modifier le firmware à volonté. L’appareil, en effet, ne dispose d’aucun mécanisme d’authentification lui permettant de refuser le chargement d’un logiciel non légitime. Il suffirait donc d’accéder au réseau de l’hôpital pour pirater ces systèmes et, par exemple, modifier les seuils limites de perfusion ou désactiver le système d’alerte. « Si vous pouvez mettre à jour le firmware sur la carte mère, vous pouvez faire ce que vous voulez avec cette pompe », souligne-t-il auprès de Wired. Pas très réjouissante comme perspective.
Contacté par le chercheur, le fabricant Hospira a tout nié en bloc, estimant qu’il était impossible de réaliser un tel piratage. Le mois prochain Billy Rios a pourtant prévu d’en faire la démonstration, à l’occasion de la conférence SummerCon. L’heure de la vérité aura alors sonné.
Sources :
Wired, note de blog de Billy Rios
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.