Vision L’Internet des objets de santé, futur eldorado pour la cybercriminalité ?, par Walter Peretti et Gaël Chareyron
Le développement rapide de l’Internet des objets pose de nombreux problèmes de sécurité, en particulier dans le domaine de la santé.
Àgrand renfort de publicité, un nombre croissant d’entreprises vendent des objets connectés destinés à améliorer notre bien-être. Ces objets, qui scrutent nos déplacements, notre rythme cardiaque et bien d’autres paramètres, ne se contentent pas de sauvegarder ces données, ils transmettent aussi des informations à leurs concepteurs respectifs. Ces objets connectés et leurs interconnexions constituent ce que l’on appelle les écosystèmes de l’Internet des objets (en anglais Internet of things, ou IoT). En train de se généraliser dans tous les domaines de l’activité humaine, ils sont la face visible d’une nouvelle façon de générer, de traiter et d’utiliser l’information. Quand on pense « objets connectés », on pense d’abord montres, lampes, bracelets ou enceintes, et pas forcément pacemakers ou pompes à insuline. Pourtant, dans le domaine de la santé, les écosystèmes IoT sont soumis aux mêmes contraintes de sécurité que dans tous les autres domaines d’application. Mais les risques que font courir des piratages sont sans commune mesure...
UNE MENACE BIEN RÉELLE
Si le piratage de la base de données d’un casino, survenu le 16 avril 2018 en passant par le thermomètre connecté d’un de ses aquariums, peut prêter à sourire, en seraitil de même pour le piratage d’une pompe à insuline ou d’un pacemaker? Non, bien sûr. Dans le premier cas, il s’agit d’une nuisance indirecte (dérober une base de données et des données), tandis que dans le second cas, la nuisance est directe, voire vitale (injecter une dose mortelle d’insuline ou arrêter un pacemaker). Science-fiction, pensez-vous ? Europol, l’agence européenne de police criminelle, prend pourtant la menace au sérieux. Dès 2014, un de ses rapports prévenait: « Comme de plus en plus d’objets sont connectés et du fait de la création de nouveaux types d’infrastructures, nous pouvons nous attendre à voir de plus en plus d’attaques ciblées sur ces dernières, ainsi que de nouvelles formes de chantage, d’extorsion, de vol de données, de préjudices physiques, et même de possibles décès. » Le risque de préjudice physique, voire de décès, est directement lié à l’objet et à sa sécurité. De par leur nature même, les « objets » de l’IoT ont plusieurs vulnérabilités potentielles. Ils possèdent une identité unique. Ils ont la capacité de communiquer sans fil et peuvent être contrôlés à distance. Ils savent mesurer leur environnement via des capteurs, collecter des données, les analyser, en tirant parti de la mobilité, du cloud et des technologies de traitement des données volumineuses (big data). Ces objets connectés risquent donc de se faire usurper leur identité, de voir leurs canaux de communication brouillés ou leur contenu modifié, leurs capteurs faussés, d’être contrôlés à distance par un tiers, bref de subir des altérations de leurs comportements. Ces points faibles potentiels transforment des dispositifs dont la vocation initiale est d’apporter une assistance en objets utilisables pour exercer une pression, ou plus encore.
DES VULNÉRABILITÉS POTENTIELLES
L’Apple Watch 4 est une montre connectée qui assure la surveillance continue du rythme cardiaque, la détection de chute, et qui, si nécessaire, déclenche un appel d’urgence. Toutes ces données sont ensuite consultables sur iPhone, comme l’annonce le site Internet du fabricant. Quels risques peut bien présenter un tel objet? La fuite de données privées est, bien sûr, le premier risque. En 2017, les entreprises du secteur de la santé étaient les plus attaquées en Amérique du Nord : elles
Nous pouvons nous attendre à de nouvelles formes de chantage, de préjudices physiques, et même de décès
concentraient 26% des incidents de cybersécurité, devant le secteur public. Un second risque concerne le piratage de l’objet en vue de diffuser des informations erronées à l’utilisateur. Faux rythme cardiaque, signalement de situations de stress inexistantes ou, à l’inverse, sous-estimation d’une situation de stress accrue sont autant d’informations pouvant avoir des conséquences en matière de santé, pour les personnes cardiaques par exemple. Des ingénieurs de Mentor-Siemens ont également mis en évidence la possibilité de tromper certains accéléromètres par des attaques physiques. Il est ainsi possible de déclencher des signaux intempestifs en donnant l’illusion d’une chute à l’accéléromètre de la montre. Ce type d’attaque pourrait perturber les services d’assistance. D’une façon plus générale, le déclenchement systématique d’appels d’urgence pourrait conduire à un déni de service (DDoS) des services de protection censés intervenir. Des risques plus classiques existent aussi, tel que le blocage du système (par cryptage par exemple), avec demande de rançon pour le déverrouiller.
LE RISQUE DES NUISANCES DIRECTES
Avec ces objets wearable (« que l’on porte »), les nuisances restent indirectes. Même chose avec un électrocardiogramme mobile ou un holter cardiaque [dispositif portable enregistrant en continue l’électrocardiogramme pendant au moins vingt-quatre heures, ndlr] : une attaque risque de toucher essentiellement l’information et son flux. Ce qui ne signifie pas que l’exploitation de telles failles soit sans conséquence : un mauvais diagnostic, basé sur les données erronées, pourrait risquer d’entraîner des conséquences graves. Mais avec certains dispositifs implan- tables, les conséquences d’une attaque sont encore plus importantes. Le 31 août 2017, The Guardian titrait sur le rappel de 500000 pacemakers de la société Abbott. Ce rappel, ordonné par la FDA [Food and Drug Administration], faisait suite à la découverte d’une faille par la société MedSec. Cette faille permettait de prendre directement le contrôle de l’objet et de le reprogrammer, soit pour en vider la batterie, soit pour modifier le rythme cardiaque imposé au patient. Autant dire que le risque a été pris très au sérieux par les autorités sanitaires américaines, bien que l’exploitation de la faille soit en réalité extrêmement difficile à mettre en oeuvre. Déjà en 2016, Johnson & Johnson, laboratoire pharmaceutique qui commercialise les pompes à insuline Animas OneTouch Ping, avait prévenu de la découverte d’une faille dans ce modèle de pompe. Comme dans le cas des pacemakers, la difficulté du piratage était alors mise en avant. Néanmoins, les utilisateurs ont reçu des consignes pour limiter le risque, comme éteindre la pompe en dehors des phases d’injection. Cette révélation a également entraîné une enquête de la FDA.
LES HÔPITAUX PRIS POUR CIBLE
Qu’un hacker exige une rançon pour vous rendre l’accès à vos données est déjà un problème. Mais que dire si la demande de rançon concerne un hôpital, et menace la santé de plusieurs centaines de patients ? Ce scénario, qui semblait limité aux séries télé, est aujourd’hui une réalité. Les hôpitaux britanniques ont notamment eu un aperçu des conséquences d’une cyberattaque en mai 2017, lorsqu’un certain nombre d’entre eux ont été victimes du virus WannaCry, qui avait touché des milliers d’entreprises et d’organisations partout dans le monde. Avec la croissance inéluctable de l’Internet des objets, le nombre de failles va augmenter. Pas de panique, malgré tout : si les failles des objets connectés sont difficiles à découvrir et à combler, elles sont aussi compliquées à exploiter. Par ailleurs, on peut s’interroger sur l’intérêt qu’auraient des hackers à menacer la vie de milliers de patients, alors qu’il est bien plus lucratif de s’attaquer à une banque, ou simplement de rançonner un maximum d’individus. On ne peut toutefois exclure que l’Internet des objets fasse émerger un nouveau genre de cybercriminalité ou de cyberterrorisme, s’appuyant sur les objets connectés pour mieux se procurer des otages à échanger contre rançon. Verra-ton un jour des hackers modifier des résultats médicaux pour fragiliser une entreprise ou un gouvernement?