Vulnérabilités à la pelle, nouveau règlement européen : les dispositifs médicaux de retour sur le devant de la scène SSI

Je vous parlais il y a une quinzaine de jours de l’alerte lancée par la FDA, appelant tous les patients américains disposant d’un pacemaker à se rapprocher de leur médecin pour savoir si leur stimulateur cardiaque faisait parti des 465 000 appareils vulnérables devant être « patchés » rapidement.

La semaine dernière, nous apprenions que les pompes à perfusion Medfusion 4000 de la marque Smiths Medical étaient atteintes de trois vulnérabilités et pas des moindres, qui ne seraient pas corrigées avant janvier 2018 !!!

Possibilité d’exécuter du code arbitraire à distance grâce un débordement de la mémoire tampon « buffer overflow » non maîtrisé, ce qui entraîne également la possibilité de neutraliser totalement le module de communication sans fil. Sans oublier la cerise sur le gâteau, connexion automatique Wifi avec des informations codées en dur dans le firmware de l’appareil. Le score CVSS V3 attribué à cette vulnérabilité (CVE-2017-12725) pas encore détaillée publiquement est de 9,8 / 10 !

Cette semaine, c’est au tour de Philips de corriger deux importantes vulnérabilités liées à la connexion Wifi de ces moniteurs patients portatifs MX40 de première génération. Ces vulnérabilités permettent de détourner le dispositif vers un autre réseau Wifi (je vous en parlerais plus en détails, prochainement sur le site de l’APSSIS) ce qui va faire passer le moniteur en mode autonome et ne plus renvoyer d’informations vers la centrale de surveillance, mais également et plus grave encore, l’éventualité que le moniteur passe en mode télémétrie et n’émette plus d’alarme en local non plus !

Clou du spectacle, on notera également cette semaine, la publication d’une « batterie » de vulnérabilités sur le protocole Bluetooth regroupées sous le nom de BlueBorne, et là encore les dispositifs médicaux ne seront probablement pas épargnés. Au delà de la vidéo de présentation très médiatique d’Armis Labs à faire flipper madame Michu. Il y a un vrai contenu et de vrais risques : https://www.kb.cert.org/vuls/id/240311

L’ANSM a annoncé dans un récent communiqué, la mise en œuvre progressive de deux nouveaux règlements européens [1] relatifs aux dispositifs médicaux, qui vont imposer plus de transparence et plus de traçabilité. 

A noter :

• la création d’une nouvelle base de données européenne (pour une meilleure connaissance du marché, des incidents et des investigations cliniques)
• la mise en place d’un identifiant unique pour chaque DM
• notification des incidents au niveau européen pour les fabricants
• production de résumés périodiques de sécurité (PSUR) pour les fabricants
• cahier des charges renforcé en matière de compétences et de contrôles pour les organismes notifiés (avec notamment la mise en place de contrôles inopinés chez les fabricants)
• désignation d’un responsable du respect de la réglementation chez le fabricant

A part ça, j’ai entendu dire que le taux de chômage ne semblait pas s’accentuer dans le secteur de la SSI...

(1) Publiés au JO Européen le 05/05/2017

- Règlement (UE) 2017/745 sur les dispositifs médicaux

- Règlement (UE) 2017/746 sur les dispositifs médicaux de diagnostic in vitro