Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Kaspersky Lab contribue à la sécurisation des prothèses bioniques

février 2019 par Marc Jacob

Les experts de Kaspersky Lab enquêtant sur les infrastructures cloud expérimentales utilisées pour les prothèses bioniques avancées ont identifié plusieurs failles de sécurité jusque-là inconnues, qui pourraient permettre à des tiers l’accès, la manipulation, le vol voire la suppression de données privées et d’autres éléments appartenant aux utilisateurs de ces appareils. Ces constatations ont été communiquées au fabricant Motorica, une start-up russe qui développe des prothèses bioniques de membres supérieurs destinées à des personnes en situation de handicap, afin que l’entreprise puisse remédier à ces problèmes de sécurité.

L’Internet des objets ne se limite plus aux montres ou aux maisons connectées mais englobe également des écosystèmes complexes de plus en plus automatisés, notamment dans le domaine de la santé. A l’avenir, ces technologies pourraient ne plus servir uniquement à des équipements d’assistance, pour se généraliser et être utilisés par des consommateurs désireux d’étendre les pouvoirs ordinaires du corps humain grâce à un processus de cybernétisation. Il importe donc que tout risque en matière de cybersécurité, susceptible d’être exploité par des acteurs malveillants, soit réduit au maximum par l’investigation et la correction des problèmes de sécurité touchant les produits actuels ainsi que les infrastructures sur lesquelles ils s’appuient.

Les chercheurs de Kaspersky Lab ICS CERT, en partenariat avec Motorica, ont entrepris d’évaluer la cybersécurité d’une solution logicielle de test pour une prothèse de main numérique conçue par la start-up russe. La solution elle-même est un système cloud distant, une interface permettant de suivre le statut de tous les équipements biomécaniques référencés. Ce système met également à la disposition des autres développeurs une palette d’outils pour analyser l’état technique d’équipements tels que des fauteuils roulants connectés ou encore des mains ou des pieds artificiels.

Les recherches initiales ont identifié plusieurs problèmes de sécurité, portant notamment sur une connexion http non sécurisée, des opérations incorrectes sur les comptes ou encore une validation insuffisante des informations saisies. En cours d’utilisation, la prothèse de main envoie des données au système cloud. A travers les failles détectées, un pirate pourrait :

• accéder à des informations conservées dans le cloud à propos de tous les comptes connectés (notamment des identifiants et mots de passe en clair pour toutes les prothèses et leurs administrateurs) ;
• manipuler, ajouter ou effacer des informations de ce type ;
• ajouter ou supprimer leurs propres utilisateurs, normaux ou privilégiés (avec droits administrateurs).

« Motorica est une entreprise de haute technicité, fiable et socialement responsable, qui se donne pour mission de venir en aide aux personnes atteintes d’un handicap physique. Alors que l’entreprise se prépare à une phase de croissance, nous souhaitions l’aider à veiller à la mise en place des mesures de sécurité appropriées. Les résultats de notre analyse rappellent de manière opportune que la sécurité doit être intégrée dans les nouvelles technologies dès le départ. Nous espérons que les autres développeurs d’équipements connectés avancés accepterons de collaborer avec le secteur de la cybersécurité afin d’analyser et de corriger les failles de leurs appareils et systèmes, en traitant la sécurité des équipements comme faisant partie intégrante du développement », commente Vladimir Dashchenko, chercheur en sécurité au sein de Kaspersky Lab ICS CERT.

« Les nouvelles technologies nous ouvrent un nouveau monde d’équipements d’assistance bioniques. Il devient aujourd’hui crucial pour les développeurs de ces technologies de collaborer avec les fournisseurs de solutions de cybersécurité. Cela nous permettra de rendre impossibles des attaques, même théoriques, contre le corps humain », conclut Ilya Chekh, CEO de Motorica.

Pour assurer la sécurité de ces équipements, Kaspersky Lab adresse aux entreprises les recommandations suivantes :

• Consulter les modèles de menaces et les classifications de vulnérabilités pour les technologies web et IoT concernées, établis par des experts du secteur tels que le Projet OWASP IoT.
• Instaurer des pratiques sécurisées pour le développement des logiciels, reposant sur le cycle de vie approprié. Pour évaluer la sécurité des logiciels existants, adopter une approche systématique, par exemple OWASP OpenSAMM. 
• Mettre en place une procédure permettant d’obtenir des informations sur les menaces et vulnérabilités concernées afin de pouvoir répondre à tout incident promptement et de manière adéquate.
• Mettre régulièrement à jour les systèmes d’exploitation, applications, logiciels des équipements et solutions de sécurité.
• Installer des solutions de cybersécurité conçues pour analyser le trafic et détecter et prévenir les attaques, à la périphérie du réseau d’entreprise et du réseau opérationnel.
• Utiliser une solution de protection intégrant la technologie MLAD (Machine Learning Anomaly Detection) pour repérer les anomalies dans le comportement des équipements IoT et détecter en amont toute attaque ou défaillance.


Voir les articles précédents

    

Voir les articles suivants