Une prise de contrôle à distance de certains équipements médicaux pourrait s’effectuer à travers 11 failles de sécurité découvertes dans un logiciel utilisé par ces matériels, a averti hier le département américain de la sécurité en communiquant les références CVE des vulnérabilités. Ces dernières résident dans le logiciel IPNet, utilisé pour le transfert de données entre ordinateurs, un logiciel qui n'est plus supporté par son éditeur d'origine, Interpeak AB. Un bulletin d’alerte titré Urgent/11 a également été diffusé par l’US Food and Drug Administration (FDA) chargée du secteur de la santé aux Etats-Unis. Celle-ci informe « les patient, les fournisseurs de soins de santé, les équipes des établissements médicaux et les fabricants » sur les risques induits sur les équipements affectés et sur les installations réseaux des hôpitaux. L’exploitation de ces vulnérabilités dans le logiciel IPNet pourrait conduire à modifier les fonctions des équipements, provoquer un déni de service ou entraîner des fuites d’informations ou des défauts, prévient la  FDA.

Bien que ce logiciel ne soit plus supporté par Interpeak AB, éditeur suédois acquis en 2006 par Wind River Systems, certains fabricants de matériels en ont acquis une licence qui leur permet de continuer à s'en servir sans support. « C’est pourquoi le logiciel peut être intégré dans d’autres applications et systèmes qui peuvent être utilisés dans différents équipements industriels toujours en cours d’utilisation », explique la FDA dans son bulletin Urgent/11. Les chercheurs en sécurité et fabricants de matériels sont prévenus que certaines versions de systèmes d’exploitation temps réel sont affectées, notamment parmi les produits suivants : VxWorks de Wind River, OSE (Operating System Embedded) d'ENEA, Integrity de Green Hills, ThreadX de Microsoft, Itron de Tron Forum et ZebOS de IP Infusion. Un certain nombre de fabricants de matériels médicaux évaluent déjà activement quels équipements pourraient utiliser ces OS. Wind River a précisé pour sa part que la dernière version de VxWorks n'était pas affectée et que ses produits certifiés VxWorks 653 et Cert Edition ne l'étaient pas non plus. Microsoft, qui a racheté ThreadX cette année, a de son côté indiqué aux autorités fédérales américaines que l'OS n'incluait plus IPNet, mais que des versions antérieures pouvaient l'intégrer, rapporte Bloomberg.

Des logiciels d'exploitation des failles déjà disponibles

La FDA dit ne pas avoir connaissance d’événements indésirables qui seraient liés de façon confirmée à ces vulnérabilités mais elle prévient que des outils permettant d’exploiter ces failles de sécurité sont déjà publiquement accessibles, d’où l’urgence de l’avertissement. « Gardez à l’esprit que la nature des vulnérabilités permet à l’attaque de se produire sans être détectée et sans interaction avec un utilisateur », met en garde la FDA en expliquant que l’attaque peut être interprétée par l’équipement affecté comme des communications réseaux normales et, de ce fait, ne pas être détectée par les mesures existantes de sécurité. Dans son bulletin, la FDA livre une série de recommandations à l’attention des fabricants de matériels. 

Des avertissements sur des failles liées à IPNet avaient déjà été diffusés cet été, notamment par le centre canadien pour la cybersécurité.