Les anciens dispositifs médicaux IoT plus sûrs que les récents ?

le 31/07/2020, par Jon Gold / Network World (adaptation Jean Elyan), Sécurité, 973 mots

Les anciens dispositifs médicaux IoT manquent peut-être de fonctions de sécurité, mais les nouveaux dispositifs, construits avec des composants standard, présentent des vulnérabilités mieux comprises les attaquants.

Les anciens dispositifs médicaux IoT plus sûrs que les récents ?

La question de savoir s'il faut imputer la vulnérabilité des réseaux de santé aux anciens dispositifs médicaux connectés ou aux dispositifs IoT plus récents, divise les experts. Le plus souvent, c'est le maintien ou l'intégration d'anciens appareils sur un réseau qui est pointée du doigt et rendue responsable du défaut de sécurité de l'IoT. Dans certains secteurs, ces dispositifs sont antérieurs à l'Internet, et parfois très antérieurs... Il ne faut donc pas s'étonner si les entreprises doivent faire face à de nombreux défis pour protéger ces matériels contre les attaques à distance. Et même des dispositifs plus récents manquent souvent de fonctionnalités clés. Par exemple, il n'est pas possible de mettre à jour leur logiciel à distance et leur mot de passe n'est pas configurable, empêchant toute velléité de protection de la part des services IT qui voudraient les protéger contre les dernières menaces.

Mais, selon Richard Staynings, stratège en chef de la sécurité de Cylera, une start-up spécialisée dans la sécurité de l'IoT médical, dans le domaine médical, la problématique est tout autre. Selon lui, ces dernières années, le nombre et la variété des dispositifs médicaux IoT ont explosé, et beaucoup de ces gadgets sont au moins aussi peu sûrs que d'anciens équipements existants. Comme il l'affirme, les anciens appareils pourraient s'avérer beaucoup plus sûrs que des dispositifs IoT plus récents. C'est le cas en particulier des appareils basés sur des technologies obsolètes, comme les anciennes versions de mémoire effaçable et programmable (Electrically Erasable Programmable Read Only Memory - EEPROM). « Les anciens systèmes étaient écrits en EEPROM, et il faut un lecteur EEPROM pour les modifier », a-t-il déclaré. « La base de code n'est pas sur Internet, ce qui veut dire qu'elle pas accessible aux pirates, et il faut un accès physique à l'EEPROM pour la réécrire ».

Les risques sont devenus permanents

Comparativement, les appareils les plus récents utilisent fréquemment des composants logiciels et matériels que les attaquants potentiels connaissent beaucoup mieux. « Ils les utilisent couramment dans leurs designs et leurs développements - croyez-le ou non, ils travaillent avec des systèmes d'exploitation grand public, comme Windows Embedded, toujours utilisé pour les systèmes embarqués, et ils sont beaucoup plus vulnérables aux attaques qu'un ancien système », a encore déclaré Richard Staynings. De plus, l'insécurité de la génération actuelle de matériels médicaux IoT expose à des risques permanents, et pas seulement à des problèmes ponctuels. Et si le cycle de remplacement des assets IT est rapide, ce n'est pas le cas des dispositifs IoT qui ont des cycles de remplacement beaucoup plus longs. « Les dispositifs médicaux sont comme le plutonium, ils ne disparaissent jamais ! », a encore déclaré M. Staynings.

D'autres experts ne sont pas tout à fait d'accord avec Richard Staynings sur l'insécurité des dispositifs médicaux IoT. Selon eux, l'idée selon laquelle les nouveaux appareils représentent une plus grande menace que les anciens, va à l'encontre des mesures prises récemment pour renforcer leur sécurité. Keith Mularski, un consultant en cybersécurité chez Ernst and Young, a qualifié l'affirmation de M. Staynings de « surprenante ». Il estime que le paysage réglementaire des dispositifs médicaux connectés fait rapidement évoluer les normes dans un sens positif. « Les directives de la FDA sont assez strictes, et avant de pouvoir mettre ces dispositifs sur le marché, il faut établir une modélisation des menaces, donc examiner l'architecture de sécurité, les vecteurs, etc. De plus, dans les demandes d'autorisation de mise sur le marché, la FDA pourrait bientôt exiger aux constructeurs de fournir les résultats de tests de pénétrations par des tiers », a déclaré Keith Mularski. « Dans le cas des anciens appareils, les demandes de mise sur le marché n'étaient pas aussi exigeantes ».

Des cibles faciles à repérer

Ce dernier admet que certains vieux appareils particulièrement vulnérables sont souvent plus isolés par design sur le réseau, en partie parce qu'ils sont davantage identifiés comme des actifs vulnérables. C'est le cas par exemple d'anciens appareils de radiographie sous Windows 95 : ils sont faciles à repérer comme cible potentielle pour un mauvais acteur. « Je pense que la plupart des environnements hospitaliers ont fait un travail approfondi pour identifier ces vieux matériels, et ils savent lesquels sont les plus vulnérables », a-t-il déclaré. Cette simple prise de conscience des failles potentielles de sécurité sur un réseau, qui met d'accord la plupart des experts, est essentielle pour sécuriser les réseaux de soins de santé. Selon Greg Murphy, CEO d'Ordr, une start-up basée à Santa Clara et spécialisée dans la visibilité et la sécurité des réseaux, Keith Mularski et Richard Staynings ont raison sur deux aspects différents de la sécurité. « Quiconque minimise le problème des dispositifs hérités devrait aller faire un tour dans le département d'ingénierie biomédicale d'un hôpital », a-t-il déclaré. « D'un autre côté, il faut aussi admettre que les nouveaux appareils qui sont connectés au réseau présentent eux-mêmes d'énormes vulnérabilités. Beaucoup de constructeurs ne savent pas quelles vulnérabilités affectent leurs appareils, et là, on ne parle plus d'un problème à l'échelle humaine », a-t-il ajouté.

Keith Mularski et Richard Staynings sont également d'accord sur ce point. Quels que soient les appareils les plus vulnérables connectés à un réseau donné, ils rappellent que les cybercriminels ne font généralement pas de publicité sur les failles qu'ils trouvent, tant qu'ils peuvent les exploiter. « Un attaquant peut, après un scan, tomber sur un appareil IoT et trouver une vulnérabilité, mais on ne peut pas dire que le ciblage des appareils médicaux est spécifique », a déclaré M. Mularski. « Il est important aussi de rappeler aux entreprises qui possèdent des appareils médicaux d'effectuer un inventaire précis des appareils connectés à leur réseau et d'assurer leur suivi ».

Tout savoir sur Azure Security Benchmark v2

Microsoft a ajouté des benchmarks de sécurité à Azure. Comment fonctionnent-ils et comment peuvent-ils vous aider à mieux comprendre votre posture de sécurité sur Azure ? 

le 22/10/2020, par Susan Bradley, IDG NS (adaptation Jean Elyan), 1398 mots

Les élections américaines de 2020 menacées par les réseaux de zombies

La date du 3 novembre, jour de l'élection présidentielle américaine, approche à grands pas, et l'imminence d'attaques basées sur Windows semble évidente. D'ailleurs, il n'est pas impossible que leur...

le 20/10/2020, par Preston Gralla, IDG NS (adaptation Jean Elyan), 1353 mots

Des attaques DDoS de plus en plus importantes selon Google Cloud

Google met en garde contre une augmentation exponentielle des volumes d'attaques DDoS et révèle les détails de l'attaque à 2,5 Tb/s en 2017.

le 19/10/2020, par Leon Spencer, IDG NS (adapté par Serge Leblal), 630 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...