[SANTÉ CONNECTÉE] Toujours des failles sur des appareils respiratoires et d’anesthésie

Des chercheurs en cybersécurité médicale de CyberMDX ont rendu public une vulnérabilité qui touche les appareils respiratoires et d’anesthésie fabriqués par General Electric. Ces appareils sont présents dans plusieurs hôpitaux et centres médicaux américains. Ils peuvent être piratés à distance et ne requiert pas de niveau de compétences élevées. Les appareils vulnérables que CyberMDX a mis en avant se nomme GE Aespire et GE Aestive (version 7900 et 7100). L’attaque peut être menée à distance en se connectant au réseau de l’hôpital visé. Le pirate trouve alors les périphériques GE Aestive ou GE Aespire connectés à ce réseau « via le protocole de communication terminal-serveur ».  L’attaquant pourra alors insérer de nouvelles commandes, sans avoir besoin de s’authentifier. Une option s’offre à lui, celle de forcer les systèmes des machines à utiliser une version antérieure du protocole, moins sécurisé. Il pourra ainsi ajouter d’autres commandes plus « dangereuses » sans s’être authentifié. Une telle action pourrait conduire à des conséquences létales. Un attaquant pourrait notamment désactiver l’alarme, modifier la pression barométrique ou modifier le type d’agents anesthésiques. De tels scenarii s’avèreraient létaux pour un patient, seulement, cette nouvelle a été prise à la légère par les constructeurs mettant en avant le fait que de tels scenarii étaient peu probables et ne comportaient aucun risque direct pour le patient.