Des chercheurs israéliens sont parvenus à développer un logiciel malveillant capable d’altérer les résultats d’un scanner médical afin d’afficher ou de supprimer des cellules cancéreuses très facilement. Mais leurs recherches mettent avant tout en exergue la vétusté des infrastructures hospitalières face aux risques de cyberattaques.

Peut-on hacker un hôpital ? À cette question à laquelle CyberGuerre a répondu dans un article paru il y a quelques semaines, s’ajoutent de nouveaux éléments apportés par une équipe de chercheurs du Centre de recherche sur la cybersécurité de l’Université Ben Gurion, en Israël. Menée par Yisroel Mirsky, Yuval Elovici et deux autres scientifiques, l’étude montre à quel point les infrastructures réseau des hôpitaux sont devenues obsolètes.

L’objectif du quatuor se voulait simple : altérer les résultats d’un scan médical en créant ou supprimant des cellules cancéreuses avant qu’un médecin ne livre son diagnostic. Et le moins que l’on puisse dire, c’est que la mission a été un franc succès, comme le relate un article du Washington Post, qui détaille au passage la technique utilisée par les attaquants.

Une vulnérabilité du système trop prise à la légère

Yisroel Mirsky et ses acolytes ont été autorisés à réaliser des tests grandeur nature. Pour ce faire, les quatre hommes ont dans un premier temps développé un virus basé sur du machine learning, et ont ensuite profité des vulnérabilités de l’hôpital cobaye pour introduire leur malware. Ce dernier, pour infiltrer le système, nécessitait une intervention physique et humaine. Prévenue, la structure médicale ne savait ni où ni quand, l’attaquant se faufilerait dans ses locaux pour accéder à ses systèmes.

Malgré l’avertissement, ce premier objectif a été réalisé sans aucun problème. À partir de cette manœuvre, les hackers ont pu exploiter la principale faille observée sur la majorité des hôpitaux : leurs réseaux. Aujourd’hui, l’image d’un scan ou d’une IRM est envoyée vers des bases de données par le biais du système PACS (Picture Archiving and Communication System), lequel permet de gérer les images médicales grâce à des fonctions d’archivage.

Image d'erreur

Un médecin analyse la radio d’un patient. // Crédit photo : rawpixel via Pixabay.

Problème : le réseau PACS ne bénéficie d’aucun chiffrement, et les scans ne reçoivent aucune signature numérique de la part des médecins spécialistes. Conséquences : les pirates peuvent accéder aux fameuses images, et en modifier les résultats. Pour démontrer l’efficacité de leur attaque, les chercheurs ont organisé une série de tests à l’aveugle auprès de trois radiologues qualifiés.

Un total de 70 scans pulmonaires piratés demeuraient à l’ordre du jour : tous ont été en mesure de tromper les trois médecins. Dans le cas où des cellules cancéreuses ont été ajoutées, les radiologues ont diagnostiqué un cancer dans 99 % du temps. Inversement, lorsque des nodules cancéreux autrefois présents ont été retirés, les trois sujets jugeaient leur patient en bonne santé dans 94 % du temps.

Des risques aux conséquences gravissimes

Après avoir informé les médecins que ces scans ont été modifiés, les hackers les ont sou mis à une seconde batterie de tests. Mais sur les vingt nouveaux scans soumis à une analyse, la moitié d’entre eux avait une fois de plus subi une modification. Dans 60 % des cas où l’imagerie médicale affichait de fausses cellules, les médecins tombaient dans le panneau. Un chiffre qui augmente encore plus lorsque le logiciel malveillant gommait des vrais nodules : 87 %.

Pire, les hackers sont en mesure de modifier les analyses de suivi une fois un traitement prescrit, et ce en créant de fausses tumeurs qui se propagent ou se contractent. Si l’étude susmentionnée se focalise sur le cancer des poumons, le piratage, lui, ne se cantonne pas uniquement à cette maladie : les tumeurs cérébrales, maladies cardiaques, caillots sanguins, lésions de la colonne vertébrale, fractures des os et autres blessures des ligaments sont aussi sujets à de tels risques.

Image d'erreur

Un appareil IRM scanne une patiente. // Crédit photo : Ken Treloar via Unsplash.

La technologie de machine learning prend tout son sens une fois le virus lancé, car celui-ci se gère de manière totalement automatique et fonctionne indépendamment des chercheurs. S’ils le souhaitent, ces derniers ont le choix de cibler une victime précise. Un problème majeur dont les structures hospitalières ne semblent pas se rendre compte, comme l’estime Fotios Chantzis, ingénieur en sécurité informatique de la Mayo Clinic, au Minnesota.

L’intéressé justifie cette indulgence informatique par le fait que les hôpitaux estiment leur réseau inaccessible depuis l’extérieur. À tort, en somme. Les infrastructures obsolètes des établissements et le manque de moyen financier empêchent également une refonte profonde des réseaux, qui passe notamment par le chiffrement du système PACS.

Ce type de vulnérabilité peut entraîner des conséquences gravissimes : à titre d’exemple, des hommes et femmes politiques pourraient très bien devenir la cible de personnes malveillantes lors d’une campagne d’envergure. Inventer une maladie en piratant des scans médicaux l’obligerait alors à se retirer de la bataille. Cette technique s’avère encore plus dangereuse lorsque des cellules cancéreuses repérées sont effacées par les pirates. Dans ce cas, des vies seraient tout bonnement en jeu.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.