Pensez à bien fermer la porte de derrière

Attention à ces petits périphériques oubliés dans vos réseaux ! Aujourd’hui, zoom sur les vecteurs d’attaques présents dans les opérateurs d’importance vitale (OIV), et plus particulièrement dans les hôpitaux. En effet, les services médicaux offrent des données personnelles très intéressantes à la portée de personnes malveillantes et sont donc souvent ciblés.

La sécurisation des équipements médicaux

Un rapport publié fin novembre 2017 par Ben-Gurion University of the Negev et Clalit Health Services en Israël ne nous laisse aucune illusion concernant l’échelle du problème de la sécurisation des équipements médicaux contre une cyberattaque. Les hôpitaux et cliniques médicales ont des environnements informatiques avec des versions de logiciels diverses et des équipements de tout âge, souvent vieux, sans forcément avoir la possibilité de faire des mises-à-jour comme dans le cas de Windows XP. De nouveaux équipements sont souvent ajoutés au réseau existant sans vouloir interrompre les services ni trop changer l’architecture, ce qui n’est pas forcément la meilleure pratique au niveau sécurité puisqu’il faut se préparer en permanence pour pouvoir contrer les méthodes innovantes des attaquants.

D’autre part, il y a de plus en plus de logiciels malveillants (malwares) dans le monde, comme le graphique ci-dessous le montre.

Graphique sur le nombre de nouveaux malwares découverts chaque année (rapport Israélien)

Ce qui est encore plus inquiétant c’est que les attaques récentes telles que Orangeworm (un virus qui cible les services médicaux entre autres) ne semblaient pas avoir de but particulier. Comme un virus biologique, dans l’informatique le code malveillant se réplique et corrompt le système ciblé. Il y a des experts en cybersécurité qui pensent que pour l’instant ce seraient des attaques de reconnaissance. La question se pose sur qu’est-ce que les attaquants vont faire après avec ces connaissances.

L’attaque Wannacry de mai 2017 a laissé sa marque sur le plus grand système de santé du monde (le NHS au Royaume-Uni) qui a créé des ravages en interrompant 1% des services de soins pendant une semaine. Ça a coûté £20m pendant la période de l’attaque et £72m pour faire le ménage après et mieux sécuriser les systèmes informatiques. Mais ce n’est pas la première fois que des ransomwares affectent des hôpitaux. Par exemple en 2016 aux États-Unis, Locky a verrouillé des fichiers dans des systèmes hospitaliers. Les hôpitaux sont ciblés car les attaquants cherchent des victimes susceptibles de payer la rançon. Les données médicales sont très sensibles, et dans des cas extrêmes, un grand délai d’accès aux données peut parfois conduire à la mort du patient.

Parallèlement, tout l’équipement médical devient de plus en plus connecté au réseau et cela laisse de plus en plus d’opportunités d’attaques. Des machines IRM ou de tomographie sont de plus en plus utilisées. Parfois ces équipements périphériques ne sont pas bien sécurisés, souvent ce n’est pas la faute des hôpitaux mais des constructeurs. Dans tout environnement de travail c’est impossible de maintenir un système informatique complètement sécurisé et bien patché, de nouvelles failles sont toujours découvertes et exploitées.

Les vecteurs d’attaques, exemples

En marge de ces attaques complexes aux noms originaux, des vecteurs d’attaques plus classiques existent. Par exemple, dans les hôpitaux, un hacker peut profiter de pivots tels que les IRM, ou les fax, pour s’infiltrer dans le réseau !

Un rapport indépendant sur DeepMind Health, publié en juillet 2017, avait la remarque inquiétante suivante,

“La révolution digitale a largement contourné le NHS, qui en 2017 retient toujours le titre douteux du plus grand acheteur de fax au monde [et] beaucoup d’archives se basent sur des systèmes papier, non-sécurisés, lourds et difficiles à utiliser.”

Les fax, ces machines inventées dans les années 1860, sont aujourd’hui vus comme des instruments archaïques. Peu utilisés, ils se font discrets mais sont néanmoins loin d’être absents des entreprises, des institutions, des réseaux informatiques internes des domiciles, ou des hôpitaux ! On les retrouve en effet comme un des composants des équipements de bureau tout-en-un (aux côtés de l’imprimante et du photocopieur).

Le hic, c’est que les chercheurs de CheckPoint ont trouvé des vulnérabilités inhérentes au protocole du fax pour réussir à prendre l’accès sur un réseau informatique entier ! Tout ce qui leur faut pour leur attaque nommée Faxploit, c’est notamment un numéro de fax…

Carte de visite fictive

Comment ça marche ?

Pour pénétrer dans un réseau, un attaquant a seulement besoin d’un point d’entrée.

C’est le moment de regarder plus en détail les connectivités du fax. A l’origine isolé du réseau interne et branché simplement sur la prise téléphonique pour envoyer des documents, le fax a finalement hérité d’une seconde prise pour le connecter à Internet quand il a été intégré aux imprimantes multi-fonctions. Le fax, alors partie intégrante du réseau interne, est donc devenu une porte idéale pour infiltrer le réseau car le canal téléphonique est souvent moins sécurisé que le canal via Internet.

Pour résumer, si votre fax, comme sur le schéma ci-dessous, est branché sur la prise téléphonique et est connecté via Ethernet à votre ordinateur, qui lui même est connecté à un autre ordinateur (avec potentiellement plus de droits), qui est connecté à un routeur, qui est connecté à un serveur… alors ainsi, saut après saut, l’attaquant est capable de compromettre tout un réseau en quelques secondes. Un firewall ne vous protégera pas dans ce cas, car le canal d’attaque ne passe pas par le point d’entrée classique à un réseau de l’extérieur, c’est à dire via Internet.

Architecture classique d’un réseau d’entreprise (schéma de Checkpoint)

Vous pouvez regarder cette vidéo si vous souhaitez plus de détails techniques et une démonstration de l’attaque Faxploit.

C’était HP qui était principalement concerné par cette vulnérabilité. Les chercheurs de CheckPoint les ont donc contactés pour les en informer. Voici le déroulement de la responsible disclosure :

Déroulement de la divulgation résponsable de la faille

D’autres fabricants ont par la suite vérifié leurs systèmes mais il s’est avéré qu’ils n’étaient pas tous concernés par cette vulnérabilité, par exemple Canon, Fuji Xerox et Biscom.

Mais finalement, comment se protéger ?

Dans le médical la sécurité informatique est un vrai problème. En plus des risques associés aux équipements, il y a le problème fondamental du temps, de l’expertise informatique et de l’argent, ce que les hôpitaux n’ont pas généralement. Leur but premier est de soigner les patients. Des régulations, souvent très strictes, empêchent de faire des mise-à-jours basiques facilement.

Cependant, avant de paniquer et de désespérer sur l’état des choses, il faut savoir que c’est tout à fait possible de prendre des mesures efficaces pour limiter l’impact d’une attaque! Bien sûr, pour avoir un niveau de sécurité à 100% il suffit de se déconnecter de l’Internet et de jeter les fax et les IRM à la poubelle… mais pour une solution moins radicale et plus tolérante envers vos chères machines, il vaut mieux suivre les règles suivantes:

1. Il faut cloisonner le réseau de sorte à protéger vos machines. Si une partie est donc compromise alors le malware n’affectera pas les autres services critiques.
2. Il faut toujours appliquer les patches et mises-à-jours régulièrement et remplacer des équipements ou logiciels qui ne sont plus maintenus.
3. Il faut assurer une protection complémentaire des équipements périphériques avec un software antivirus à jour.
4. Il faut toujours avoir des backups de vos systèmes et fichiers.

A vos marques, sécurisez, verrouillez !

Nos sources principales

https://blog.checkpoint.com/2018/08/12/faxploit-hp-printer-fax-exploit

Faxploit: Sending Fax Back to the Dark Ages - Check Point Research

https://arxiv.org/ftp/arxiv/papers/1801/1801.05583.pdf

NHS 'world's biggest buyer of fax machines' - report | THINK Digital Partners

Hospital MRI and CT scanners at risk of cyberattack