Hôpital : plus de 300 000 pompes à perfusion piratables

Après les robots chirurgicaux, les pompes à perfusion pourraient aussi être piratées dans les hôpitaux. C'est ce qu'a révélé un spécialiste américain de la cybersécurité.

Gerry Broome/AP/SIP

Publié le 15.06.2015 à 12h45
Commenter

Quand les hackers s’attaquent à la santé ! Un spécialiste américain de la cybersécurité vient en effet de découvrir que certaines pompes électroniques utilisées dans les hôpitaux pour délivrer des traitements (médicaments ou nutriments) peuvent être contrôlées à distance.

Billy Rios, fondateur de la société Laconicly et hacker, a ciblé son attaque contre Hospira, fournisseur américain de matériels médicaux racheté par Pfizer en février. Il voulait ainsi démontrer qu'un modèle de pompe à perfusion électronique, LifeCare PCA, souffrait d’une faille de sécurité au niveau du module de communication. Conséquence, n’importe quel hacker, dans un établissement de santé, peut y accéder depuis le réseau Internet et modifier les quantités limites d’un dosage de médicament censées être délivrées à un patient. Cela peut se faire sans qu’aucune alerte ne soit émise, affirme cet as de l'informatique.

Modifier les dosages

Pire encore, en allant plus loin dans ses travaux, Billy Rios a découvert que cinq autres modèles de pompes électroniques de la même société utilisent le même logiciel. Et les clefs de cryptage étant communes, ces pompes souffrent donc de la même faille.
Enfin, pour clôturer le tout, Billy Rios a aussi démontré qu’un pirate informatique pouvait même modifier les dosages eux-mêmes, et non plus seulement la quantité maximale ou minimale administrée.
Selon Sciences et Avenir, l’un des modèles de pompes incriminées, le Plum A+, a été vendu par Hospira à pas moins de 325 000 exemplaires dans le monde. Le Figaro Santé parle de son côté de 400 000 systèmes de perfusion susceptibles d'être piratés.

Un piratage en direct en juillet

Face à cette menace, les matériels de Hospira ont fait l’objet d’une alerte de la part du ministère américain de la sécurité intérieure (DHS) et de la Food and Drug Administration (FDA). De son côté, le fabricant a répondu qu’il avait des doutes quant aux trouvailles de Billy Rios, qui le mettent directement en cause.
L'informaticien reconnaît en effet qu'il ne s'agit pour le moment que de risques théoriques, mais reste convaincu de la faisabilité de ces scénarios. Il a d’ailleurs d’ores et déjà averti. Il va procéder à une attaque prouvant son concept le mois prochain lors de la conférence de sécurité de SummerCon, qui se tiendra les 17 et 18 juillet à Brooklyn.

Pour rappel, le mois dernier, des chercheurs de l'Université de Washington à Seattle ont mené une expérience identique relatée dans la revue du Massachussetts Institute of Technology (MIT). En testant la résistance des robots chirurgicaux à d'éventuelles attaques de pirates informatiques, ils ont mis au jour des problèmes importants de cyber-sécurité.