Suivi du rythme cardiaque… et des données de paiement ? 33 vulnérabilités détectées dans le protocole de transfert de données des dispositifs médicaux connectés

17 février 2022

Sur la seule année 2021, les experts de Kaspersky ont détecté 33 vulnérabilités, dont 18 critiques, dans le protocole le plus courant de transfert des données des dispositifs connectés utilisés pour le suivi des patients à distance. Par rapport à 2020, cela représente 10 vulnérabilités critiques supplémentaires, dont beaucoup ne sont pas patchées et pourraient être exploitées par des hackers pour intercepter les données envoyées en ligne.

La pandémie actuelle a entraîné une numérisation rapide du secteur médical. Saturation des hôpitaux, surcharge de travail du personnel de santé et multiplication des mises en quarantaine à domicile ont imposé la nécessité de repenser la manière de délivrer les soins aux patients. De fait, une récente étude Kaspersky a établi que 91 % des prestataires de services médicaux du monde se sont dotés de capacités de télémédecine. Cependant, ce passage accéléré au numérique a créé de nouveaux risques de sécurité auxquels sont particulièrement exposées les données des patients.

Le suivi des patients à distance fait appel à des moniteurs portatifs et à des dispositifs connectés permettant de surveiller en continu ou par intervalles les indicateurs de santé, comme l’activité cardiaque.

Simple et pratique, le protocole MQTT est le plus souvent utilisé pour transmettre des données à partir de dispositifs et de capteurs portatifs. On le trouve dans presque tous les objets connectés, avec malheureusement une authentification entièrement facultative et un chiffrement peu fréquent. Il est donc très vulnérable aux attaques de type « man in the middle », lors desquelles un pirate interceptant les communications entre deux parties via Internet peut voler des données médicales très sensibles, des informations personnelles et même la géolocalisation d’un patient.

Depuis 2014, 90 vulnérabilités ont été détectées dans MQTT, dont certaines sont critiques et beaucoup ne sont pas encore patchées. L’année 2021 totalise 33 nouvelles vulnérabilités découvertes, dont 18 critiques, soit 10 de plus qu’en 2020, d’où un risque accru de vol des données.

Nombre de vulnérabilités détectées dans le protocole MQTT de 2014 à 2021

Les chercheurs de Kaspersky ont identifié des vulnérabilités non seulement dans le protocole MQTT, mais aussi dans l’une des plateformes les plus prisées pour les dispositifs connectés, Qualcomm Snapdragon Wearable. Depuis son lancement, plus de 400 vulnérabilités ont été mises en évidence, mais toutes n’ont pas été patchées, y compris certaines remontant à 2020.

Il est important de savoir que la plupart des dispositifs connectés portatifs effectuent le suivi des données de santé, mais aussi de la géolocalisation et des déplacements, ce qui expose les patients au vol de données mais aussi au stalking.

 « La pandémie a entraîné une forte croissance du marché de la télémédecine, qui ne se résume pas aux téléconsultations avec un médecin. Cela implique toute une série de technologies et de produits complexes, qui évoluent rapidement, notamment des applications spécialisées, des dispositifs portatifs, des capteurs implantables et des bases de données dans le cloud. Toutefois, de nombreux hôpitaux ont encore recours à des services tiers non testés pour stocker les données des patients, tandis que les dispositifs et capteurs portatifs utilisés dans le domaine médical restent vulnérables. Avant leur mise en œuvre, vous devez vous renseigner au maximum sur leur niveau de sécurité afin de préserver les données de votre établissement et de vos patients », souligne Maria Namestnikova, qui dirige la Global Research and Analysis Team (GReAT) de Kaspersky en Russie.

Pour consulter l’intégralité du rapport sur la sécurité dans la télémédecine, rendez-vous sur Securelist.

Pour en savoir plus sur l’adoption internationale des services de télémédecine, lisez l’étude mondiale de Kaspersky.

Afin d’assurer la sécurité des données des patients, Kaspersky fait les recommandations suivantes aux prestataires de services médicaux :

  • Vérifiez la sécurité de l’application ou du dispositif proposé par l’hôpital ou l’organisation médicale.
  • Limitez si possible les données transférées par les applications de télémédecine (par exemple, désactivez la géolocalisation si elle n’est pas utile).
  • Changez les mots de passe par défaut et utilisez le chiffrement si le dispositif le permet.

À propos de Kaspersky

Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus : www.kaspersky.fr.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *