Pour gérer vos consentements :

Sécurité : Conficker revient infecter l’IoT médical

Un des problèmes de la montée en puissance de l’Internet des objets ? La sécurité. Spécialistes, constructeurs, éditeurs répètent à longueur de conférences qu’il faut absolument que l’IoT soit « secure by design ». Entendez par là que les capteurs, le protocole de communication, la plateforme de traitement de l’information, l’architecture soient sécurisés dès leur conception.

Oui mais voilà, c’est sans compter sur le fameux héritage technique. Le monde de la santé rentre typiquement dans ce cadre et tout particulièrement les outils médicaux connectés. On pense ici aux IRM, scanners, radios, ou pompes à insuline. Ces équipements sont de plus en plus ciblés par les cyberattaquants, car ils sont moins bien protégés que des PC ou des serveurs.

Conséquence de cette faible sécurité, les vieux virus se rappellent aux bons souvenirs des administrateurs et des RSSI. Un rapport de la société de sécurité TrapX Labs, disséquant une attaque baptisée MEDJACK.2, montre que les attaques utilisent des malwares comme networm32.kido.ib ou le ver Conficker en complément de menaces plus sophistiquées. Moshe Ben Simon, co-fondateur de TrapX, résume bien ce paradoxe : « un loup intelligent déguisé avec des vieux habits de mouton ».

Mise en place de backdoors

Premier constat, les équipements médicaux connectés à Internet fonctionnent avec des versions de Windows non corrigées allant de XP (qui n’est plus supporté par Microsoft) aux versions 7 et 8. Des cibles de choix pour les anciens virus. « Ces vieux virus sont utilisés avec des malwares (en l’occurrence MEDJACK.2) plus élaborés pour installer des backdoors dans l’établissement de santé et ensuite mener une campagne par exfiltration de données, voire se transformer en ransomware », souligne le rapport.

Les échantillons de Conficker que les experts de la société de sécurité ont analysé, montrent que le ver a été modifié pour avoir une meilleure capacité à se déplacer dans un réseau. Pire, son évolution fait qu’il est devenu indétectable pour les équipements médicaux. Dans son enquête auprès de 3 hôpitaux, TrapX relève qu’aucune alerte n’a été remontée par les établissements sur la présence de Conficker.  A son apogée en 2009, Conficker avait infecté entre 9 et 15 millions d’ordinateurs. Il avait, comme capacité, de casser les mots de passe, d’enrôler les PC dans des botnets, etc. La version actuelle est diffusée par phishing envoyé aux personnels de l’hôpital.

Les données patients : la ruée vers l’or

L’objectif de ces attaques : obtenir les dossiers patients. Des informations très demandées sur le Dark Web et affichant une forte valeur marchande au marché noir. « Les cybercriminels peuvent voler l’identité d’un patient pour se faire rembourser par les assurances des traitements coûteux et, en plus, revendre ces traitements au marché noir ». TrapX estime qu’un dossier médical se monnaye entre 10 et 20 dollars sur le marché, contre 5 dollars pour une information financière. En début de semaine, on apprenait le vol de 9,3 millions de données de santé de citoyens américains. Le calcul est vite fait…

A lire aussi :

Conficker, Sality et Dorkbot principaux botnets DDoS au début 2016

Profession : chasseur de hackers

Recent Posts

Charles Souillard, nouveau CEO de Bonitasoft

Charles Souillard succède à Miguel Valdés Faura comme CEO de Bonitasoft. Cofondateur, il était jusqu'à…

2 heures ago

Stéphane Lapierre, nouveau DSI dédié à la relation client de AG2R La Mondiale

Stéphane Lapierre rejoint le spécialiste de l'assurance en qualité de Directeur des systèmes d’information relation…

5 heures ago

Cloudflare : 1,25 Md$ pour financer des start-up en phase d’amorçage

Le fournisseur de services d’optimisation réseau fait équipe avec des capital-risqueurs. De jeunes pousses utilisatrices…

6 heures ago

Green IT : un « référentiel carbone » pour la dématérialisation

Un référentiel ouvert pour mesurer l'empreinte carbone de la chaîne de dématérialisation à travers 21…

7 heures ago

SAP Universal ID : la « phase deux » touche à sa fin

SAP entend boucler d'ici à fin 2022 la deuxième phase de son programme Universal ID.…

9 heures ago

SSO et passwordless à l’expérimentation sur Azure Virtual Desktop

Microsoft expérimente, sur son VDI, l'authentification unique (SSO) et sans mot de passe, avec fédération…

11 heures ago