Le développement rapide de l'Internet de objets pose de nombreux problèmes de sécurité, en particulier dans le domaine de la santé. Par Walter Peretti, Pôle Léonard de Vinci - UGEI; Gaël Chareyron, Pôle Léonard de Vinci - UGEI
À grand renfort de publicité, un nombre croissant d'entreprises vendent des objets connectés destinés à améliorer notre bien-être. Ces objets, qui scrutent nos déplacements, notre rythme cardiaque et bien d'autres paramètres, ne se contentent pas de sauvegarder ces données, ils transmettent aussi des informations à leurs concepteurs respectifs.
Ces objets connectés et leurs interconnexions constituent ce que l'on appelle les écosystèmes de l'« Internet des objets » (en anglais « Internet of things », IoT). En train de se généraliser dans tous les domaines de l'activité humaine, ils sont la face visible d'une nouvelle façon de générer, de traiter et d'utiliser l'information.
Quand on pense « objets connectés », on pense d'abord montres, lampes, bracelets ou enceintes, et pas forcément pacemakers ou pompes à insuline. Pourtant, dans le domaine de la santé, les écosystèmes IoT sont soumis aux mêmes contraintes de sécurité que dans tous les autres domaines d'application. Mais les risques que font courir des piratages sont sans commune mesure...
Si le piratage de la base de données d'un casino, survenu le 16 avril 2018 en passant par le thermomètre connecté d'un de ses aquariums, peut prêter à sourire, en serait-il de même pour le piratage d'une pompe à insuline ou d'un pacemaker ? Non, bien sûr. Dans le premier cas, il s'agit d'une nuisance indirecte (dérober une base de données et des données), tandis que dans le second cas, la nuisance est directe, voire vitale (injecter une dose mortelle d'insuline ou arrêter un pacemaker).
Newsletter
Ma Tribune
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.
Science-fiction, pensez-vous ? Europol, l'agence européenne de police criminelle, prend pourtant la menace au sérieux. Dès 2014, un de ses rapports prévenait
« Comme de plus en plus d'objets sont connectés et du fait de la création de nouveaux types d'infrastructures, nous pouvons nous attendre à voir de plus en plus d'attaques ciblées sur ces dernières, ainsi que de nouvelles formes de chantage, d'extorsion, de vol de données, de préjudices physiques et même de possible décès. »
Le risque de préjudice physique, voire de décès, est directement lié à l'objet et à sa sécurité. De par leur nature même, les « objets » de l'IoT ont plusieurs vulnérabilités potentielles. Ils possèdent une identité unique. Ils ont la capacité de communiquer sans fil, et peuvent être contrôlés à distance. Ils savent mesurer leur environnement via des capteurs, collecter des données, les analyser, en tirant parti de la mobilité, du cloud et des technologies de traitement des données volumineuses (big data).
Ces objets connectés risquent donc de se faire usurper leur identité, de voir leurs canaux de communication brouillés ou leur contenu modifié, leurs capteurs faussés, d'être contrôlés à distance par un tiers, bref, de subir des altérations de leurs comportements. Ces points faibles potentiels transforment des dispositifs dont la vocation initiale est d'apporter une assistance en objets utilisables pour exercer une pression, ou plus encore.
Des objets connectés aux multiples vulnérabilités potentielles
L'Apple Watch 4 est une montre connectée qui assure la surveillance continue du rythme cardiaque, la détection de chute, et qui, si nécessaire, déclenche un appel d'urgence. Toutes ces données sont ensuite consultables sur iPhone, comme l'annonce le site Internet du fabricant. Quels risques peut bien présenter un tel objet ?
La fuite de données privées est bien sûr le premier risque. En 2017, les entreprises du secteur de la santé étaient les plus attaquées en Amérique du Nord : elles concentraient 26 % des incidents de cybersécurité, devant le secteur public.
Un second risque concerne le piratage de l'objet en vue de diffuser des informations erronées à l'utilisateur. Faux rythme cardiaque, signalement de situations de stress inexistantes ou, à l'inverse, sous-estimation d'une situation de stress accrue sont autant d'informations pouvant avoir des conséquences en termes de santé, pour les personnes cardiaques par exemple.
Des ingénieurs de chez Mentor-Siemens ont également mis en évidence la possibilité de tromper certains accéléromètres par des attaques physiques. Il est ainsi possible de déclencher des signaux intempestifs en donnant l'illusion d'une chute à l'accéléromètre de la montre. Ce type d'attaque pourrait perturber les services d'assistance. D'une façon plus générale, le déclenchement systématique d'appels d'urgence pourrait conduire à un déni de service (DDOS) des services de protection censés intervenir.
Des risques plus classiques existent également, tel que le blocage du système (par cryptage par exemple), avec demande de rançon pour le déverrouiller.
Le risque des nuisances directes
Avec ces objets « wearable » (« que l'on porte »), les nuisances restent indirectes. Même chose avec un électrocardiogramme mobile ou un holter cardiaque : une attaque risque de toucher essentiellement l'information et son flux. Ce qui ne signifie pas que l'exploitation de telles failles soit sans conséquence : un mauvais diagnostic, basé sur les données erronées pourrait risquer d'entraîner des conséquences graves. Mais avec certains dispositifs implantables, les conséquences d'une attaque sont encore plus importantes.
Le 31 août 2017 The Guardian titrait sur le rappel de 500 000 pacemakers de la société Abott. Ce rappel, ordonné par la FDA, faisait suite à la découverte d'une faille par la société MedSec. Cette faille permettait de prendre directement le contrôle de l'objet et de le reprogrammer, soit pour en vider la batterie, soit pour modifier le rythme cardiaque imposé au patient. Autant dire que le risque a été pris très au sérieux par les autorités sanitaires américaines bien que l'exploitation de la faille soit en réalité extrêmement difficile à mettre en œuvre.
Déjà en 2016, Johnson & Johnson, laboratoire pharmaceutique qui commercialise les pompes à insuline Animas OneTouch Ping avait prévenu de la découverte d'une faille dans ce modèle de pompe. Comme dans le cas des pacemakers, la difficulté du piratage était alors mise en avant. Néanmoins, les utilisateurs ont reçu des consignes pour limiter le risque, comme éteindre la pompe en dehors des phases d'injection. Cette révélation a également entraîné une enquête de la FDA.
Vers un changement d'échelle de la menace ?
Qu'un hacker exige une rançon pour vous rendre l'accès à vos données est déjà un problème. Mais que dire si la demande de rançon concerne un hôpital, et menace la santé de plusieurs centaines de patients ? Ce scénario, qui semblait limité aux séries télé, est aujourd'hui une réalité. Les hôpitaux britanniques ont notamment eu un aperçu des conséquences d'une cyberattaque en mai 2017, lorsqu'un certain nombre d'entre eux ont été victime du virus Wannacry, qui avait touché des milliers d'entreprises et d'organisations partout dans le monde.
Avec la croissance inéluctable de l'Internet des objets, le nombre de failles va augmenter. Pas de panique, malgré tout : si les failles des objets connectés sont difficiles à découvrir et à combler, elles sont également compliquées à exploiter.
Par ailleurs, on peut s'interroger sur l'intérêt qu'auraient des hackers à menacer la vie de milliers de patients, alors qu'il est bien plus lucratif de s'attaquer à une banque, ou simplement de rançonner un maximum d'individus.
On ne peut toutefois exclure que l'Internet des objets fasse émerger un nouveau genre de cybercriminalité ou de cyberterrorisme, s'appuyant sur les objets connectés pour mieux se procurer des otages à échanger contre rançon. Verra-t-on un jour des hackers modifier des résultats médicaux pour fragiliser une entreprise ou un gouvernement ?
_____
Par Walter Peretti, Ingénieur, Pôle Léonard de Vinci - UGEI et Gaël Chareyron, Responsable du département d'enseignement et de recherche Informatique, Big Data et Objets connectés de l'Ecole Supérieure d'Ingénieurs Léonard de Vinci, Pôle Léonard de Vinci - UGEI
_____
