Peut-on hacker un hôpital ? À cette question à laquelle CyberGuerre a répondu dans un article paru il y a quelques semaines, s’ajoutent de nouveaux éléments apportés par une équipe de chercheurs du Centre de recherche sur la cybersécurité de l’Université Ben Gurion, en Israël. Menée par Yisroel Mirsky, Yuval Elovici et deux autres scientifiques, l’étude montre à quel point les infrastructures réseau des hôpitaux sont devenues obsolètes.
L’objectif du quatuor se voulait simple : altérer les résultats d’un scan médical en créant ou supprimant des cellules cancéreuses avant qu’un médecin ne livre son diagnostic. Et le moins que l’on puisse dire, c’est que la mission a été un franc succès, comme le relate un article du Washington Post, qui détaille au passage la technique utilisée par les attaquants.
Une vulnérabilité du système trop prise à la légère
Yisroel Mirsky et ses acolytes ont été autorisés à réaliser des tests grandeur nature. Pour ce faire, les quatre hommes ont dans un premier temps développé un virus basé sur du machine learning, et ont ensuite profité des vulnérabilités de l’hôpital cobaye pour introduire leur malware. Ce dernier, pour infiltrer le système, nécessitait une intervention physique et humaine. Prévenue, la structure médicale ne savait ni où ni quand, l’attaquant se faufilerait dans ses locaux pour accéder à ses systèmes.
Malgré l’avertissement, ce premier objectif a été réalisé sans aucun problème. À partir de cette manœuvre, les hackers ont pu exploiter la principale faille observée sur la majorité des hôpitaux : leurs réseaux. Aujourd’hui, l’image d’un scan ou d’une IRM est envoyée vers des bases de données par le biais du système PACS (Picture Archiving and Communication System), lequel permet de gérer les images médicales grâce à des fonctions d’archivage.
Problème : le réseau PACS ne bénéficie d’aucun chiffrement, et les scans ne reçoivent aucune signature numérique de la part des médecins spécialistes. Conséquences : les pirates peuvent accéder aux fameuses images, et en modifier les résultats. Pour démontrer l’efficacité de leur attaque, les chercheurs ont organisé une série de tests à l’aveugle auprès de trois radiologues qualifiés.
Un total de 70 scans pulmonaires piratés demeuraient à l’ordre du jour : tous ont été en mesure de tromper les trois médecins. Dans le cas où des cellules cancéreuses ont été ajoutées, les radiologues ont diagnostiqué un cancer dans 99 % du temps. Inversement, lorsque des nodules cancéreux autrefois présents ont été retirés, les trois sujets jugeaient leur patient en bonne santé dans 94 % du temps.
Des risques aux conséquences gravissimes
Après avoir informé les médecins que ces scans ont été modifiés, les hackers les ont sou mis à une seconde batterie de tests. Mais sur les vingt nouveaux scans soumis à une analyse, la moitié d’entre eux avait une fois de plus subi une modification. Dans 60 % des cas où l’imagerie médicale affichait de fausses cellules, les médecins tombaient dans le panneau. Un chiffre qui augmente encore plus lorsque le logiciel malveillant gommait des vrais nodules : 87 %.
Pire, les hackers sont en mesure de modifier les analyses de suivi une fois un traitement prescrit, et ce en créant de fausses tumeurs qui se propagent ou se contractent. Si l’étude susmentionnée se focalise sur le cancer des poumons, le piratage, lui, ne se cantonne pas uniquement à cette maladie : les tumeurs cérébrales, maladies cardiaques, caillots sanguins, lésions de la colonne vertébrale, fractures des os et autres blessures des ligaments sont aussi sujets à de tels risques.
La technologie de machine learning prend tout son sens une fois le virus lancé, car celui-ci se gère de manière totalement automatique et fonctionne indépendamment des chercheurs. S’ils le souhaitent, ces derniers ont le choix de cibler une victime précise. Un problème majeur dont les structures hospitalières ne semblent pas se rendre compte, comme l’estime Fotios Chantzis, ingénieur en sécurité informatique de la Mayo Clinic, au Minnesota.
L’intéressé justifie cette indulgence informatique par le fait que les hôpitaux estiment leur réseau inaccessible depuis l’extérieur. À tort, en somme. Les infrastructures obsolètes des établissements et le manque de moyen financier empêchent également une refonte profonde des réseaux, qui passe notamment par le chiffrement du système PACS.
Ce type de vulnérabilité peut entraîner des conséquences gravissimes : à titre d’exemple, des hommes et femmes politiques pourraient très bien devenir la cible de personnes malveillantes lors d’une campagne d’envergure. Inventer une maladie en piratant des scans médicaux l’obligerait alors à se retirer de la bataille. Cette technique s’avère encore plus dangereuse lorsque des cellules cancéreuses repérées sont effacées par les pirates. Dans ce cas, des vies seraient tout bonnement en jeu.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !