Une faille dans une application médicale fait office de porte dérobée

Et permet à un pirate d'obtenir ou modifier les données critiques des patients

Une faille dans une application médicale fait office de porte dérobée
et permet à un pirate d'obtenir ou modifier les données critiques des patients

CERT (Computer Emergency Response Team) le centre d'alerte et de réaction aux attaques informatiques à l’intention des entreprises ou des administrations, a détecté une vulnérabilité dans les versions antérieures à la version 2015R1 de PIMS (développée par MEDHOST), une application de gestion des patients en attente d’une opération chirurgicale.

« MEDHOST PIMS, précédemment VIPMS, embarque des identifiants dans son code qui peuvent être utilisés pour avoir accès à la base de données des clients. Un attaquant qui serait au courant des identifiants dans son code et qui a la capacité de communiquer directement avec le serveur de la base de données de l’application serait en mesure d’obtenir ou de modifier des informations sensibles sur les patients », a prévenu CERT.

Les utilisateurs de la suite d’applications, le personnel des centres de santé ainsi que les médecins sont en mesure d'obtenir de nombreuses données sur les patients. Sur son site Internet, MEDHOST explique par exemple que PIMS AIMS (Anesthesia Information Management System) va permettre aux anesthésistes de bénéficier de :

Anesthesia Pre-Assessment Testing (PAT)  : cette fonctionnalité permet une collection de données regroupant l’état actuel du patient avant l’opération chirurgicale, l’historique médical du patient, les examens qu’il a déjà faits ainsi que l’évaluation des risques encourus. Ces données sont disponibles pour tout le personnel du centre de santé ou de l’hôpital. Elle donne également l’historique ;

Anesthesia Charting : cette fonctionnalité apporte un support intégré des décisions, des notifications électroniques, des méthodes de vérification de la complétion des tableaux, de la tendance des signes vitaux, une documentation des différentes opérations effectuées dans le temps (début de l’anesthésie, entrée en salle d’opération, sortie de la salle d’opération, fin de l’anesthésie, etc.)

Desktop Monitoring : qui donne aux anesthésistes accès aux informations critiques en temps réel pour leur permettre de s’assurer de l’état physiologique du patient.

MEDHOST explique que PIMS apporte un accès en temps réel aux données du patient ainsi qu’aux systèmes de la clinique, allant de la consultation initiale à la décharge post-chirurgicale en passant par l’anesthésie complète, sans oublier les services d’infirmerie.

CERT, qui a reporté la vulnérabilité à MEDHOST, demande aux administrateurs de migrer vers la nouvelle version que MEDHOST a publiée et qui vient corriger cette erreur. Ils recommandent également de restreindre l’accès au réseau : « une bonne pratique de sécurité voudrait que ne soient autorisées que des connexions depuis des hôtes et réseaux de confiance. Restreindre l’accès peut aider à empêcher un attaquant de se servir des identifiants dans le code sur un réseau bloqué ».

Source : CERT, MEDHOST

Voir aussi :

Un équipement médical plante durant une opération sur le cœur à cause d'un scan antivirus qui s'est lancé en plein milieu de la procédure

Attaque au rançongiciel contre un hôpital dans le sud de la Californie, existe-t-il des limites à ne pas franchir pour ces pirates ?

Apple ouvre sa plateforme ResearchKit aux développeurs et chercheurs en médecine pour contribuer à la recherche médicale