Comment des pirates informatiques sont parvenus à truquer les radios d’un hôpital pour simuler des cancers

Des chercheurs en sécurité informatique ont décrit une attaque inédite : s’introduire dans le système radiologique d’un hôpital pour en modifier les clichés d’imagerie, afin d’induire de faux diagnostics de cancer du poumon. Un exemple parmi beaucoup des mille et une cyberattaques susceptibles de frapper les hôpitaux, comme nous le confirme le spécialiste Vincent Trély.

La nouvelle est passée un peu inaperçue, mais elle n’a rien de rassurant. Une équipe de chercheurs en sécurité informatique de l’université Ben Gourion du Néguev (au sud d’Israël) a rendu public en avril le mode opératoire d’un « exploit » qui fait froid dans le dos : modifier les radios du poumon d’un hôpital afin de générer de faux diagnostics de cancer.
Les auteurs ont développé une IA en deep learning, capable d’injecter des nodules imaginaires sur une radio de poumon normal. Pour démontrer la faisabilité de l’attaque, ils ont ensuite piraté le réseau de l’hôpital. Il leur a suffi de s’introduire en salle de radiologie derrière l’équipe de nettoyage de nuit et d’y brancher un dispositif d’interception. Temps d’installation : trente secondes.
Ne leur restait – eussent-ils été de vrais pirates – qu’à intercepter les radios transitant sur le réseau afin d’en altérer la nature. Et d’y ajouter des nodules factices évoquant un cancer du poumon avancé…
Une telle attaque pourrait-elle fonctionner dans la réalité ? Pour s’en assurer, les chercheurs ont demandé à trois radiologues aguerris d’analyser des clichés altérés à leur insu. Résultat : une tumeur maligne du poumon était diagnostiquée à tort dans 99 % des cas ! Même informés de la supercherie, les radiologues se trompaient encore sur 60 % des faux cancers. Quant à l’IA d’aide au diagnostic, elle s’est fait berner dans la totalité des cas.
« Un attaquant pourrait employer une telle méthode pour compromettre un politicien, saboter des recherches, frauder une assurance, commettre un acte de terrorisme ou même un meurtre », indiquent les chercheurs dans leur article. Pour en savoir un peu plus, nous nous sommes tournés vers Vincent Trély, président de l’Association pour la sécurité des systèmes d’information santé et dirigeant d’un cabinet de stratégies numériques en santé.

Egora.fr. Une telle démonstration de vulnérabilité des données d’imagerie vous étonne-t-elle ?5
Vincent Trély. Ce n’est pas très spectaculaire pour moi : toutes les technologies ont leur failles. Et oui, on peut prendre la main sur des IRM, des scanners, des pacemakers… Il y a cinq ans, un Australien a montré qu’il pouvait envoyer 480 volts dans un pacemaker à distance – c’est d’ailleurs la raison pour laquelle Dick Cheney avait fait désactiver le WIFI du sien ! Il y a quelques mois, des chercheurs belges ont montré qu’ils pouvaient prendre le contrôle d’un neurostimulateur…
Pour réaliser leur attaque, les « pirates » se sont introduits physiquement dans l’enceinte de l’hôpital. C’est si facile ?
Clairement, les hôpitaux sont des passoires ! Par nature…
Un hôpital est un lieu d’accueil : il y a des familles, des gens, des fournisseurs, des docteurs, des consultants extérieurs… Vous pouvez passer deux bonnes journées dans un hall d’hôpital sans que personne ne vous demande rien. J’ai fait le test plusieurs fois : on vient chercher des PC, on rentre on dit « Bonjour, on est de l’informatique » et on repart avec ! Il y a d’ailleurs des travaux en cours pour au moins identifier les personnels de santé grâce à des badges avec photos.
Ils se sont aussi aperçus que beaucoup de données circulaient en clair sur le réseau.
Certains outils médicaux intègrent la fonction de chiffrement des données sur le réseau, et d’autres non. Mais parfois cette fonctionnalité va provoquer un ralentissement et les médecins vont râler : « Les informaticiens, vous me faites bien marrer mais moi j’ai un vrai métier, je sauve des gens »… Et du coup on va désactiver. Parce que médecins contre informaticiens, dans un hôpital, c’est le médecin qui gagne ! Et puis parfois, il y a des défauts de configuration dus à l’équipe informatique interne.
Fuite de données : 16 000 professionnels de santé concernés en France
La perspective d’un chantage aux données de santé vérolées est quand même inquiétante.
Oui, c’est inquiétant !… En l’occurrence, ils se sont attaqués à l’intégrité des données, c’est-à-dire qu’on fait dire des conneries à l’informatique. Pour moi, c’est le pire parce qu’on peut tuer des gens ! Là, c’est de l’imagerie mais ça pourrait être pendant une opération chirurgicale. Au Defcon 2018, un chercheur a montré qu’il était capable de changer les constantes à distance sur un appareil de monitoring. Le chirurgien est en train d’opérer et tout à coup il croit que le patient est passé à 180 pulsations minutes…
Quels autres types d’attaques existent ?
On peut rendre indisponible (avec un virus de type « cryptolocker », ndlr) les données du système informatique contre une rançon. « Payez-nous parce que là vous avez 200 infirmières et 500 médecins qui bossent plus » : ils n’accèdent plus à rien, ne passent plus d’IRM, plus de scanner…
Et enfin, il y a l’atteinte à la confidentialité. Au lieu de faire chanter l’hôpital, on va simplement voler les dossiers médicaux et dire : « Ce sont des infos secrètes et vous avez la responsabilité de la confidentialité, mais on va tout balancer sur internet et vous aurez plein de procès avec les patients ».
De telles attaques se sont-elles déjà produites en France ?
SI vous allez sur la plateforme de déclaration des incidents de sécurité, obligatoire depuis 2017, vous verrez que oui, à différentes échelles. Sur un bon millier d’incidents de sécurité déclarés par an (avant le changement de méthodologie, ndlr), il y a beaucoup de tout-venant et une petite dizaine de tentatives de hacking assez sophistiquées, avec parfois des demandes de rançon ou de chantage.
Au point de désorganiser gravement un hôpital ?
Le dernier exemple européen concerne les hôpitaux britanniques en 2017, avec un méchant cryptovirus appelé WannaCry. Il a vraiment désorganisé 150 hôpitaux : il a fallu débrancher les patients, les mettre dans des ambulances et les envoyer dans des hôpitaux à 200 km parce que plus personne n’était en mesure de faire fonctionner le matériel. En France, je n’ai pas connaissance d’attaques d’une telle ampleur. Des hôpitaux ont pu connaître des difficultés sur certaines parties du système d’information, comme l’imagerie ou la biologie, mais le reste fonctionnait.
Est-il possible de se protéger contre ces menaces ?
Les services sont censés avoir des procédures dégradées. Comment fonctionner si l’informatique s’arrête cet après-midi ? En utilisant du papier, des téléphones mobiles, etc. C’est plus ou moins mis en place, selon les hôpitaux. Ce qui complique les choses c’est que la personne en charge de la sécurité n’est pas très bien positionnée dans la hiérarchie hospitalière : souvent elle dépend de la direction informatique…
Les établissements de santé confrontés aux cyberattaques
Que faire en cas de demande de rançon ?
La règle numéro un, c’est de ne pas payer. On fait une intervention d’experts pour protéger le système, trouver les traces, déposer une plainte… C’est tout un protocole. Et qu’est-ce qui se passe au pire ? Les données de santé sont sauvegardées toutes les nuits si c’est fait correctement. Si le système est mis en l’air à 15 heures, on réinstalle la sauvegarde de minuit et on a perdu 15 heures de travail.
Est-il réellement possible de se protéger efficacement contre de telles attaques ?
Plus on augmente la sécurité, plus on augmente le niveau de sécurité requis pour embêter le monde. Mais à la question « Est-ce que des gens très bien documentés, experts dans le domaine, peuvent faire des misères aux hôpitaux s’ils le souhaitent vraiment ? », la réponse est oui. Si des pirates internationaux décident de mettre six mois de leur vie, à quinze, pour voler la base de données de l’hôpital, il y a de fortes chances qu’ils réussissent. Mais en faisant de la sécurité, on évite le petit escroc du coin, qui a regardé un tuto sur internet et envoie un cryptolockerpour se faire 25 000 balles…

Par Yvan Pandelé le 10-05-2019


L’étude en question :
CT-GAN: Malicious Tampering of 3D Medical Imagery using Deep Learning, Mirsky et al., ArXiv, 3 avril 2019.

17 Commentaires

Passer au formulaire de commentaire

    • REICH sur 12 mai 2019 à 10 h 10 min

    TRES INQUIETANT. MERCI

      • Dominique HERBECQ sur 12 mai 2019 à 20 h 51 min

      Le début d’abus !!

    • jl baleynaud sur 12 mai 2019 à 15 h 55 min

    pas etonnant, et c’est pas fini! JL

    • DUBOIS sur 12 mai 2019 à 17 h 32 min

    Bit brother…

      • peretti sur 13 mai 2019 à 15 h 08 min

      Inquiétant

    • Dominique HERBECQ sur 12 mai 2019 à 20 h 52 min

    Le début d’un longue série d’abus

    • Friedmann sur 12 mai 2019 à 20 h 54 min

    Froid dans le dos….

    • KALI sur 12 mai 2019 à 23 h 42 min

    Comme dit JC , Brrrrr….

    • BELTRANDO sur 13 mai 2019 à 7 h 34 min

    C’est la raison pour laquelle, bien que je sois informatisé au cabinet depuis 1987 (1er PC sans disque dur !) je garde toujours pour chaque patient un dossier papier avec les résultats d’examens complémentaires et j’ai de multiples sauvegardes sur disques durs externes + mon lap top + mon cloud personnel avec un NAS (network attached storage) qui me permet de consulter mes data du monde entier en toute sécurité !
    Mais je sais que je ne suis pas sécurisé à 100 % avec les mauvais génies hacker !

    • Hervochon sur 13 mai 2019 à 9 h 22 min

    Ça fout la trouille !
    L’informatique et l’automatisation gouverneront bientôt tout Medecine, Transport, Enseignement ….
    On aura bientôt perdu toute autonomie et indépendance sauf peut-être en vivant en autarcie dans le fin fond de la campagne
    En attendant le plaisir de vous retrouver tous en plein épanouissement personnel à Blois
    Amitiés
    Jean-Michel

    • Jacques RIVOALLAN sur 13 mai 2019 à 10 h 40 min

    Impressionnant! Et inquiétant!

    • Gene sur 13 mai 2019 à 13 h 40 min

    Moi j’ai pas tout lu parce que ça fout la trouille et suis un peu parano à la base

    • houis sur 13 mai 2019 à 15 h 41 min

    Putain que j’étais bien au milieu des grenadines, pas de téléphone pas d’internet seul avec soi même et les tortues

    • farnos sur 13 mai 2019 à 16 h 47 min

    comme quoi avec des mega bits on peut faire mal

    • LOURENÇO sur 14 mai 2019 à 23 h 19 min

    L’empire du mal va toujours plus vite que le progrès
    Le numérique risque d’être de plus en plus dangereux
    il faudra développer impérativement la police de cette galaxie
    mais les méga bits de Jean-Marie sont pas mal

    • Albert sur 16 mai 2019 à 10 h 26 min

    très inquiétant

    • coste sur 23 mai 2019 à 10 h 39 min

    c est jean michel qui a raison moi je pratique deja l autarcie au fin fond de l ardeche vous devriez essayer peche chasse champignon jardin potager (pas de reference à un mouvement politique) tous les amateurs sont cordialement invites.Amities

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.