Le « lifecarePSA » est une machine de perfusion de médicaments pour les patients hospitalisés, conçue pour administrer le bon dosage directement dans le bras de la personne. Quand il fonctionne comme il se doit, ce dispositif contrecarre l’erreur humaine et facilite ainsi les soins. Cependant si quelqu’un avait une intention malveillante, il pourrait prendre le contrôle du système et injecter l’antidouleur à sa guise. Les récents travaux de recherche en sécurité de Billy Rios montre que le système LifecarePSA, ainsi que cinq autres modèles sont vulnérables face à un piratage informatique.
Ce dispositif donne accès à une base de données qui contient des informations délicates, telles que les limites de doses appropriées fondées sur l’âge, le sexe et le poids du patient, ceci dans le but d’empêcher à la machine d’administrer accidentellement une quantité nocive. Cette machine a accès aux informations nécessaires sans authentification, ce qui signifie que les hôpitaux qui en disposent en ont entièrement confiance. Cependant, cela signifie aussi que toute personne ayant accès au réseau de l’hôpital peut potentiellement télécharger une nouvelle base de données et ainsi contribuer au décès de plusieurs personnes.
Voici le principal problème de ce dispositif : Au début, le logiciel est préinstallé par le fabricant où le client entrera les données nécessaires à son travail. Ainsi quand une compagnie réalise qu’ils ont un problème avec leur produit, ils envoient une simple mise à jour. Par conséquent la plupart des utilisateurs n’interagissent jamais réellement avec le problème.
Pourtant, il n’y a pas de processus d’authentification entre l’entreprise et la machine à vérifier. Il est donc possible qu’un pirate envoie une mise à jour du système pour ainsi tromper la machine sur les doses à prescrire. Normalement, le dispositif vérifie ces doses avec celle de la base de données et émet une alerte si elles sont incorrectes, mais une base de données modifiée signifie qu’une dose élevée restera inaperçue. Selon les recherches de Rios, les possibilités d’une intrusion dans le système sont faibles si les machines nécessitent une authentification auprès de la société de sorte que seules les mises à jour officielles puissent être valides.
Les spécialistes de la sécurité cherchent à l’avance des problèmes futurs dans les dispositifs que les entreprises possèdent avant qu’ils ne deviennent de potentiels dangers. Rios a rapporté les résultats de ses premières recherches à la FDA (Food and Drug Administration) qui supervise et réglemente les dispositifs médicaux aux Etats-Unis.
