L’information est de Cory Duplantis de la firme de sécurité Cisco Talos. NeuroWorks, une application Windows pour électroencéphalogrammes, exhibe des failles de sécurité. Le chercheur en a dénombré cinq en tout dans la version 8 du logiciel. Il en a fait deux catégories dont l’une permet de lancer des attaques par déni de service sur une formation hospitalière et l’autre, d’occasionner des fuites de données.
NeuroWorks s’appuie sur le réseau Ethernet pour se connecter aux électroencéphalogrammes et c’est par ce biais qu’il est vulnérable. « La première catégorie permet l’exécution de code sur le dispositif médical au travers d’un paquet réseau spécialement conçu », explique-t-il pour ce qui est de la cause d’éventuelles fuites de données. Si l’on prend en compte le fait que l’application est utilisée en tandem avec les électroencéphalogrammes comme outils de diagnostic pour générer des données et prendre des décisions sur la base de ces dernières, alors il s’agit d’un problème sérieux quand on sait que les data peuvent être corrompues et ce, tenez-vous tranquille, à distance !
Mais, il y a pire puisque dans ce cas, les failles peuvent être exploitées par un hacker pour installer des malwares persistants sur les ordinateurs d’organisations qui gèrent des données aussi sensibles. D’après ce que rapporte Talos, Natus – la société qui conçoit le logiciel – a publié des correctifs, ce qui veut dire que les formations hospitalières qui feront les mises à jour seront à l’abri des surprises.
Il y a seulement que de nombreuses publications parues sur cette plateforme montrent que les bonnes pratiques en matière de sécurité semblent ne pas être la priorité dans le cercle des formations hospitalières. Le cas du NHS – le système de santé publique du Royaume-Uni – l’illustre à souhait. En mai 2017, lorsque le rançongiciel WannaCry a frappé pour la première fois, c’était par le biais de cette organisation qui avait Windows XP installé sur la plupart de ses postes de travail. La prise en charge de cette version du système d’exploitation de Microsoft a pourtant cessé en avril 2014, ce qui veut dire que le réseau d’hôpitaux ne recevait plus de mises à jour de sécurité.
Pour montrer à quel point les organisations en général sont peu tatillonnes en matière de sécurité des infrastructures IT, on peut évoquer le fait que l’Agence américaine des produits alimentaires et médicamenteux (FDA) a émis le premier rappel d’appareils à usage médical pour des raisons de sécurité en août 2017 ; des stimulateurs cardiaques de marque Abbott auxquels il fallait appliquer des correctifs.
« Les organisations qui œuvrent dans le domaine de la santé doivent être conscientes des risques liés aux vulnérabilités telles que celles-ci au sein des appareils dont elles font usage. Les systèmes vulnérables doivent être mis à jour aux dernières versions publiées par le fabricant. Les réseaux sur lesquels les systèmes potentiellement vulnérables sont connectés doivent être sécurisés pour être résistants aux attaques. Chaque activité malicieuse doit être détectée, bloquée et la source de l’activité éradiquée afin de prévenir les atteintes contre les organisations et surtout les patients », a conclu Talos.
Source : Talos