Les hôpitaux, cible des hackers

Cet été l’Az Groeninge de Courtrai a demandé à des hackers éthiques de tester la vulnérabilité de son système. En très peu de temps, ils ont réussi à se rendre maîtres de tout le système. Et aurait pu mettre l’hôpital à l’arrêt.

Est-ce compliqué d’hacker un hôpital ? Le journal du médecin a demandé à la société de sécurité The Security Factory et à l’Az Groeninge d’en faire l’expérience. La société a commencé par tenter de pénétrer l’hôpital via le réseau WiFi. Mais comme celui-ci était bien protégé, les spécialistes ont alors essayé de s’introduire via une des adresses IP de l’hôpital. « Très vite la compagnie qui veille en externe sur le système nous a informés que quelque chose de louche se passait. Mais nous avons décidé de les ignorer pour en apprendre plus de cette tentative de hacking » dit le directeur de l’Az.

Lors de ce test, les hackers ont relevé pas moins de 8 points sensibles, dont 2 critiques. L’un des points les plus fragiles était le système de mot de passe. Ils ont notamment réussi à pirater l’ordinateur à l’accueil et à obtenir une liste de noms d’utilisateur. En utilisant LinkedIn et Facebook, ils ont essayé d’obtenir autant d’informations que possible sur ces utilisateurs… avant d’appeler le helpdesk pour se faire passer pour un utilisateur. Après avoir un peu insisté, ils ont obtenu un mot de passe. Un autre point critique était les droits d’accès aux ordinateurs qui gèrent des appareils médicaux. Un fournisseur n’avait , par exemple, pas assez protégé ses dossiers.

En se rendant sur place, les pirates s’emparent sans difficulté d’un badge qui traînait ainsi que des clés. Ils sont aussi rentrés dans le bâtiment administratif où se trouvent les papiers financiers sensibles. Là, ils ont remarqué qu’un routeur était ouvert à tous les vents. Il aurait suffi de retirer quelques câbles pour mettre le réseau à plat. Ceci dit l’hôpital avait tout de même implémenté un antivirus dans tous les systèmes et les dossiers des patients sont restés hors d’atteinte.

Que le système ait résisté à l’attaque a donc toute son importance. Surtout que, comme le précise l’hôpital, il dénombre au minimum une attaque hostile par mois. Jusqu’à aujourd’hui, il n’y a pas encore eu beaucoup d’affaires concernant des données médicales qui ont été hackées et vendues, mais il existe un marché pour ce genre de données. Un marché juteux.

Ce n’est pas tant le secret médical, à moins que ce soit par exemple le dossier médical du roi, qui importe ici, mais les nombreuses données financières que recèlent ces dossiers. Mais le plus grave pour un hôpital serait que l’on débranche à distance les appareils médicaux. Ce risque est réel, car de plus en plus de machines sont branchées sur le net. Plus que dans des softwares coûteux, il est plus important aujourd’hui d’investir dans la formation du personnel et d’informer et de sensibiliser ce dernier pour qu’il respecte les consignes de sécurité.

Emily Nazionale