Les anciens dispositifs médicaux IoT plus sûrs que les récents ?
Les anciens dispositifs médicaux IoT manquent peut-être de fonctions de sécurité, mais les nouveaux dispositifs, construits avec des composants standard, présentent des vulnérabilités mieux comprises les attaquants.
La question de savoir s'il faut imputer la vulnérabilité des réseaux de santé aux anciens dispositifs médicaux connectés ou aux dispositifs IoT plus récents, divise les experts. Le plus souvent, c'est le maintien ou l'intégration d'anciens appareils sur un réseau qui est pointée du doigt et rendue responsable du défaut de sécurité de l'IoT. Dans certains secteurs, ces dispositifs sont antérieurs à l'Internet, et parfois très antérieurs... Il ne faut donc pas s'étonner si les entreprises doivent faire face à de nombreux défis pour protéger ces matériels contre les attaques à distance. Et même des dispositifs plus récents manquent souvent de fonctionnalités clés. Par exemple, il n'est pas possible de mettre à jour leur logiciel à distance et leur mot de passe n'est pas configurable, empêchant toute velléité de protection de la part des services IT qui voudraient les protéger contre les dernières menaces.
Mais, selon Richard Staynings, stratège en chef de la sécurité de Cylera, une start-up spécialisée dans la sécurité de l'IoT médical, dans le domaine médical, la problématique est tout autre. Selon lui, ces dernières années, le nombre et la variété des dispositifs médicaux IoT ont explosé, et beaucoup de ces gadgets sont au moins aussi peu sûrs que d'anciens équipements existants. Comme il l'affirme, les anciens appareils pourraient s'avérer beaucoup plus sûrs que des dispositifs IoT plus récents. C'est le cas en particulier des appareils basés sur des technologies obsolètes, comme les anciennes versions de mémoire effaçable et programmable (Electrically Erasable Programmable Read Only Memory - EEPROM). « Les anciens systèmes étaient écrits en EEPROM, et il faut un lecteur EEPROM pour les modifier », a-t-il déclaré. « La base de code n'est pas sur Internet, ce qui veut dire qu'elle pas accessible aux pirates, et il faut un accès physique à l'EEPROM pour la réécrire ».
Les risques sont devenus permanents
Comparativement, les appareils les plus récents utilisent fréquemment des composants logiciels et matériels que les attaquants potentiels connaissent beaucoup mieux. « Ils les utilisent couramment dans leurs designs et leurs développements - croyez-le ou non, ils travaillent avec des systèmes d'exploitation grand public, comme Windows Embedded, toujours utilisé pour les systèmes embarqués, et ils sont beaucoup plus vulnérables aux attaques qu'un ancien système », a encore déclaré Richard Staynings. De plus, l'insécurité de la génération actuelle de matériels médicaux IoT expose à des risques permanents, et pas seulement à des problèmes ponctuels. Et si le cycle de remplacement des assets IT est rapide, ce n'est pas le cas des dispositifs IoT qui ont des cycles de remplacement beaucoup plus longs. « Les dispositifs médicaux sont comme le plutonium, ils ne disparaissent jamais ! », a encore déclaré M. Staynings.
D'autres experts ne sont pas tout à fait d'accord avec Richard Staynings sur l'insécurité des dispositifs médicaux IoT. Selon eux, l'idée selon laquelle les nouveaux appareils représentent une plus grande menace que les anciens, va à l'encontre des mesures prises récemment pour renforcer leur sécurité. Keith Mularski, un consultant en cybersécurité chez Ernst and Young, a qualifié l'affirmation de M. Staynings de « surprenante ». Il estime que le paysage réglementaire des dispositifs médicaux connectés fait rapidement évoluer les normes dans un sens positif. « Les directives de la FDA sont assez strictes, et avant de pouvoir mettre ces dispositifs sur le marché, il faut établir une modélisation des menaces, donc examiner l'architecture de sécurité, les vecteurs, etc. De plus, dans les demandes d'autorisation de mise sur le marché, la FDA pourrait bientôt exiger aux constructeurs de fournir les résultats de tests de pénétrations par des tiers », a déclaré Keith Mularski. « Dans le cas des anciens appareils, les demandes de mise sur le marché n'étaient pas aussi exigeantes ».
Des cibles faciles à repérer
Ce dernier admet que certains vieux appareils particulièrement vulnérables sont souvent plus isolés par design sur le réseau, en partie parce qu'ils sont davantage identifiés comme des actifs vulnérables. C'est le cas par exemple d'anciens appareils de radiographie sous Windows 95 : ils sont faciles à repérer comme cible potentielle pour un mauvais acteur. « Je pense que la plupart des environnements hospitaliers ont fait un travail approfondi pour identifier ces vieux matériels, et ils savent lesquels sont les plus vulnérables », a-t-il déclaré. Cette simple prise de conscience des failles potentielles de sécurité sur un réseau, qui met d'accord la plupart des experts, est essentielle pour sécuriser les réseaux de soins de santé. Selon Greg Murphy, CEO d'Ordr, une start-up basée à Santa Clara et spécialisée dans la visibilité et la sécurité des réseaux, Keith Mularski et Richard Staynings ont raison sur deux aspects différents de la sécurité. « Quiconque minimise le problème des dispositifs hérités devrait aller faire un tour dans le département d'ingénierie biomédicale d'un hôpital », a-t-il déclaré. « D'un autre côté, il faut aussi admettre que les nouveaux appareils qui sont connectés au réseau présentent eux-mêmes d'énormes vulnérabilités. Beaucoup de constructeurs ne savent pas quelles vulnérabilités affectent leurs appareils, et là, on ne parle plus d'un problème à l'échelle humaine », a-t-il ajouté.
Keith Mularski et Richard Staynings sont également d'accord sur ce point. Quels que soient les appareils les plus vulnérables connectés à un réseau donné, ils rappellent que les cybercriminels ne font généralement pas de publicité sur les failles qu'ils trouvent, tant qu'ils peuvent les exploiter. « Un attaquant peut, après un scan, tomber sur un appareil IoT et trouver une vulnérabilité, mais on ne peut pas dire que le ciblage des appareils médicaux est spécifique », a déclaré M. Mularski. « Il est important aussi de rappeler aux entreprises qui possèdent des appareils médicaux d'effectuer un inventaire précis des appareils connectés à leur réseau et d'assurer leur suivi ».