Des chercheurs de l'Université de Washington ont testé la sécurité d'un robot de chirurgie à distance développé par leur propre université, et découvert des vulnérabilités potentiellement mortelles pour les personnes opérées.

Ce n'est pas la nouvelle la plus rassurante du jour, mais elle n'a rien de très surprenant. Des chercheurs de l'Université de Washington ont voulu tester la sécurité informatique des robots qui permettent aux chirurgiens de télé-opérer des patients, et ont découvert une série de vulnérabilités très dangereuses dans celui qu'ils ont testé, le Raven II, développé par le laboratoire de biorobotique de leur université. 

Pour reproduire à distance les gestes du chirurgien, le robot qui opère par exemple un cerveau reçoit les instructions depuis une connexion à internet. Mais comme le rapporte The Register, plusieurs techniques de piratage sont détaillées dans l'étude (.pdf) publiée le 17 avril dernier, qui permettent à un hacker malintentionné de parasiter une opération en cours, voire de prendre le contrôle du robot pour lui faire effectuer des gestes pouvant coûter la vie au patient opéré.

L'une des techniques tire profit d'une mesure de sécurité implémentée dans le robot. Un mécanisme de protection baptisé "E-Stop" interdit en effet au robot de reproduire un ordre qui serait trop brutal ou trop dangereux, et bloque la machine en attente d'un nouvel ordre. Or il serait possible d'envoyer des instructions au contrôleur de l'E-Stop, pour l'obliger à y voir une anomalie et à arrêter les mouvements en cours, ce qui peut profondément remettre en cause le succès de l'opération, voire laisser le patient dans un état plus dangereux encore qu'au début de l'opération.

Plus grave, les chercheurs ont découvert qu'il était possible de prendre le contrôle du robot en mélangeant intentionnellement l'ordre des paquets TCP/IP reçus, et ainsi faire croire au robot que la connexion a été perdue, pour l'obliger à réinitialiser une session avec le pirate. Une technique rendue possible en conditions réelles par les techniques de spoofing ARP.

Les auteurs de l'étude préviennent que certaines des techniques pourraient être évitées en utilisant une connexion chiffrée de bout en bout (car oui, ce n'est apparemment pas le cas), ce qui n'est pas toujours pas compatible avec la nécessité de disposer de la connexion et du flux vidéo le plus "en temps réel" possible entre le chirurgien qui opère et le robot qui reproduit les gestes. "Des tensions entre la cybersécurité, la sécurité et les besoins fonctionnels de la chirurgie robotique téléopérée rendront beaucoup des solutions de sécurité actuelles infaisables pour la chirurgie télérobotique, exigeant que de nouvelles approches de sécurité soient développées", concluent les chercheurs.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !