Les dispositifs médicaux de Becton, Dickinson and Company (BD) qui s’appuient sur des réseaux Wi-Fi chiffrés via le protocole Wi-Fi Protected Access II (WPA2) sont vulnérables vis à vis de KRACK Attacks Wi-Fi, a indiqué l’entreprise dans une alerte de sécurité.
Cette alerte est la mise à jour d’un autre avertissement, publié lors de la parution de KRACK en octobre 2017.
BD surveille l’évolution de la situation suite à la découverte d’un ensemble de vulnérabilités au sein du protocole WPA2 affectant la confidentialité, l’intégrité et la disponibilité de la communication entre un point d’accès Wi-Fi et un client Wi-Fi tel qu’un ordinateur, un téléphone, des stations de base Wi-Fi, ainsi que d’autres équipements, et ce même si les données sont chiffrées.
BD est loin d’être le seul fabricant de dispositifs médicaux, ou d’appareils pour l’industrie en général, à commercialiser des produits vulnérables. Mais avec BD et d’autres fabricants de dispositifs médicaux, nous parlons tout de même d’équipements utilisés pour surveiller et traiter les patients, y compris par exemple, les systèmes d’anesthésie.
Le bulletin de sécurité fournit une liste des périphériques vulnérables, notamment des systèmes médicaux d’approvisionnement et de gestion tels que la station de travail BD Alaris Gateway, Pyxis Anesthesia ES, Anesthesia System 4000, MedStation ES et l’ordinateur de poche Parx, entre autres.
KRACK n’est pas seulement un bug. C’est un regroupement de bugs similaires, appelés KRACK Attacks, qui ont été découverts en octobre 2017, déclenchant alors des mises en garde et avertissements apocalyptiques concernant la fin du Wi-Fi tel que nous le connaissons aujourd’hui.
Mais dans une telle situation le monde fait ce qui est normal de faire face à la cyberapocalypse de ce mois-ci : corriger ce qui pouvait l’être et aller de l’avant !
KRACK, qui signifie Key Reinstallation Attack, fonctionne en exploitant une faille dans le protocole de chiffrement WPA et WPA2, qui couvre de nos jours la plupart des points d’accès sans fil où le chiffrement est activé.
BD a déclaré que, en ce qui concerne les dispositifs médicaux, personne n’avait encore signalé un exploit malveillant ayant réussi à utiliser cette vulnérabilité. L’entreprise a déclaré qu’une attaque réussie serait un véritable défi à relever, étant donné qu’elle devrait être lancé à partir d’un lieu très proche de la cible, et nécessiterait une certaine habileté technique :
KRACK peut être exploité à partir d’un réseau adjacent. La complexité de l’attaque est élevée car elle nécessite la proximité d’un point d’accès Wi-Fi affecté et des compétences techniques importantes.
Quoi qu’il en soit, une attaque ne nécessiterait aucun privilège, ni aucune interaction directe de l’utilisateur. Si la vulnérabilité devait être exploitée avec succès, BD a déclaré que les pirates pouvaient alors modifier les dossiers de patients et/ou voler des données personnelles, et générer des “perturbations informatiques majeures”.
Pour éviter une telle situation, les services informatiques des établissements de santé et les fournisseurs dont dépend BD vont devoir agir, a-t-il ajouté.
Mais quelle action ? Corriger ce qui peut l’être et se remettre en route !
L’entreprise affirme avoir installé les correctifs de fournisseurs tiers via son processus de correction habituel et a donné une liste de produits vulnérables qui ont déjà été corrigés. Cette dernière contacte actuellement davantage de fournisseurs pour planifier plus de correctifs.
L’ampleur de KRACK est sans aucun doute ce qui a le plus effrayé les utilisateurs. Les bugs affectaient le chiffrement du Wi-Fi utilisé pour sécuriser la plupart des réseaux sans fil dans le monde et d’innombrables appareils et systèmes, qui utilisent le protocole WPA, étaient vulnérables.
Heureusement, et comme on pouvait s’y attendre, des correctifs ont été développés : Apple a été très réactif avec un patch pour empêcher certains utilisateurs d’iPhone d’être pris pour cible, comme nous l’avons signalé début novembre 2017 … Idem pour Aruba, Cisco et Intel, entre autres.
En décembre, Apple a également tiré la sonnette d’alarme à propos d’iOS 11.2, permettant de fournir des correctifs KRACK pour les périphériques qui avaient été oubliés lors de la première vague.
BD recommande aux utilisateurs de ses produits de prendre également les mesures suivantes pour réduire le risque vis-à-vis de KRACK Attacks :
- Assurez-vous que vos points d’accès Wi-Fi disposent des dernières mises à jour recommandées.
- Utilisez des contrôles physiques pour empêcher les pirates de se retrouver dans la zone des périphériques Wi-Fi concernés.
- Sauvegardez les données et mettez en œuvre des procédures de récupération en cas de catastrophe.
Pour tous les autres, nous pouvons considérer KRACK comme un énième rappel concernant la nécessité d’une protection en profondeur comme la meilleure stratégie à adopter, qu’il y ait eu une cyberapocalypse ou non. Ainsi, les conseils que notre expert Paul Ducklin a donnés lors de la première apparition des KRACK Attacks n’ont pas perdu de leurs valeurs :
- Installez les correctifs KRACK pour vos clients (et les points d’accès associés) dès qu’ils sont disponibles.
- Traitez tous les réseaux Wi-Fi comme ceux présents dans les cyber-cafés, à savoir des réseaux sans fil ouverts et non chiffrés.
- Utilisez des connexions HTTPS, dès que le site web visité le permet afin de chiffrer vos activités sur internet.
- Pensez à utiliser un VPN, ce qui signifie que tout votre trafic réseau (et pas seulement votre navigation sur le web) est chiffrée, depuis votre ordinateur portable ou votre appareil mobile vers votre réseau personnel ou professionnel, et ce même s’il passe par une connexion non chiffrée.
Billet inspiré de Medical devices vulnerable to KRACK Wi-Fi attacks, sur Sophos nakedsecurity.