Des experts en informatique à l'intérieur des hôpitaux travaillaient avec diligence mercredi pour remédier à une nouvelle faille de sécurité grave dans les anciennes versions du système d'exploitation Windows, qui est encore utilisé dans de nombreux appareils de soins de santé, même si Microsoft n'a pas activement pris en charge l'ancien logiciel depuis des années.

Julie Flaschenriem, directeur de l'information chez Hennepin Healthcare, a déclaré que le système de santé de Minneapolis a activé un centre de commande mardi soir lorsque la nouvelle de la vulnérabilité a éclaté. Dès mercredi, l'équipe travaillait sur sa liste d'actions prioritaires pour sécuriser tous les appareils plus anciens nécessitant une attention particulière.

"Nous savons - et le monde entier le sait - qu'il y a des gens qui essaient d'exploiter celui-ci. Et chaque organisation ici, qu'il s'agisse de soins de santé ou de toute autre chose, essaie de l'empêcher, " dit Flaschenriem, qui a occupé des postes en technologie de l'information dans plusieurs systèmes de santé des villes jumelles. "Nous avons tous certains risques autour de cela que nous nous efforçons d'atténuer. … Parce que cela s'est suffisamment produit maintenant, nous avons des plans en place que nous pouvons mettre en place et commencer à travailler dessus à la minute où quelque chose comme ça se produit."

Mardi, Microsoft a commencé à exhorter les utilisateurs d'anciens systèmes d'exploitation à installer immédiatement des correctifs de sécurité ou à prendre d'autres mesures pour se protéger d'une vulnérabilité qui pourrait être exploitée et répandre rapidement le chaos mondial, comme cela s'est produit en 2017 avec l'attaque de ransomware dite "WannaCry".

Dans ce cas, l'attaque s'est avérée destructive même si le correctif de sécurité pour la corriger était disponible depuis des mois. WannaCry a affecté des milliers d'ordinateurs non corrigés dans le monde, faisant tomber les réseaux hospitaliers au Royaume-Uni et provoquant l'annulation de 19, 000 rendez-vous médicaux il y a deux ans.

"Maintenant que j'ai votre attention, il est important que les systèmes affectés soient corrigés le plus rapidement possible pour éviter qu'un tel scénario ne se produise, " Simon Pape, directeur de la réponse aux incidents au Microsoft Security Response Center, a écrit dans un article de blog mardi. « Nous prenons la mesure inhabituelle de fournir une mise à jour de sécurité à tous les clients pour protéger les plates-formes Windows, y compris certaines versions de Windows non prises en charge."

Mardi, Microsoft a révélé une vulnérabilité « jour zéro » dans les anciens systèmes d'exploitation dotés d'une fonctionnalité appelée « protocole de bureau à distance ». RDP est le système qui permet à un utilisateur de contrôler à distance un ordinateur, comme lorsque le personnel du service d'assistance d'une entreprise prend le contrôle d'un ordinateur à distance tout en résolvant un problème.

La vulnérabilité est considérée comme « hautement susceptible » d'être intégrée dans un logiciel malveillant dans un avenir proche, à en juger par le score de risque propriétaire de Microsoft et le score de risque de base CVSS de 9,8. (CVSS est une échelle de 1 à 10, avec des nombres plus élevés représentant des risques de sécurité plus graves.)

La vulnérabilité, qui n'a pas encore été exploité par des pirates malveillants, ne nécessite aucune interaction de l'utilisateur et peut se propager facilement parmi les ordinateurs non corrigés sur un réseau, similaire au malware WannaCry.

"Ce qui rend celui-ci si dangereux, c'est que vous n'avez besoin d'aucun accès, " a déclaré Jeremy Sneeden, un responsable du département de gestion des menaces et des vulnérabilités chez Allina Health, qui possède et exploite 13 hôpitaux au Minnesota et au Wisconsin. "Pour beaucoup de vulnérabilités, vous avez besoin d'un nom d'utilisateur et d'un mot de passe, ou une sorte d'accès à la machine, pour faire fonctionner la vulnérabilité. Mais ceux-ci - je suppose qu'ils les appellent "vermifuges" maintenant - ils n'ont pas besoin d'informations d'identification, et c'est pourquoi ils se sont propagés si rapidement."

Sneeden a déclaré qu'Allina gérait mercredi des contre-mesures de vulnérabilité dans le cadre de son travail normal de sécurité informatique, ce qui implique de rechercher constamment les vulnérabilités et de prioriser celles qui doivent être corrigées en premier. Bien qu'Allina en ait plus de 35, 000 postes de travail et ordinateurs de bureau, la plupart d'entre eux fonctionnent déjà sur des versions plus récentes de Windows qui ne sont pas affectées.

La vulnérabilité de cybersécurité (qui porte le nom technique CVE-2019-0708) affecte les anciens systèmes d'exploitation que Microsoft prend toujours activement en charge, y compris Windows 7, Windows Server 2008 R2, et Windows Server 2008, ainsi que les systèmes qui ne sont plus activement pris en charge, y compris Windows 2003 et Windows XP.

Microsoft dit que le correctif sera automatiquement installé sur les machines prises en charge, si l'utilisateur ou l'administrateur réseau a activé les mises à jour automatiques. Les mises à jour pour les machines non prises en charge sont disponibles auprès du support Microsoft Windows Security, tout comme les correctifs pour la vulnérabilité WannaCry étaient disponibles avant l'attaque à grande échelle.

"WannaCry a été un signal d'alarme pour tout le monde dans le domaine de la santé ; tous ceux à qui je parle le disent ainsi, " a déclaré l'expert en cybersécurité des technologies médicales Ben Ransford, le PDG de Virta Labs, basé à Seattle. "Mais cela fait deux ans et de nombreuses organisations de soins de santé se tordent encore les mains en essayant de comprendre ce qu'elles devraient faire à propos des équipements non corrigés. Ils ont eu amplement le temps de remettre de l'ordre dans leurs maisons après des appels rapprochés avec WannaCry, et la plupart ne l'ont pas fait, malgré les meilleurs efforts de leurs travailleurs surtaxés, même dans les meilleurs hôpitaux."

La vulnérabilité n'est pas spécifiquement ciblée sur les organisations de soins de santé comme les hôpitaux.

Cependant, les hôpitaux peuvent utiliser des systèmes logiciels plus anciens, car il peut être coûteux et chronophage d'effectuer des mises à jour sur des machines mobiles et largement réparties sur un campus hospitalier. Aussi, la mise à jour du logiciel peut provoquer des conflits et des problèmes involontaires ailleurs dans l'infrastructure informatique interconnectée d'un hôpital, ce qui peut être risqué car de nombreuses machines critiques fonctionnent sur un réseau hospitalier.

Le personnel informatique de Hennepin Healthcare et d'Allina ont tous deux pris des mesures spéciales auparavant pour protéger les machines biomédicales et de diagnostic vulnérables en les isolant dans des réseaux informatiques afin qu'elles ne puissent communiquer qu'avec le nombre minimum de systèmes pour fonctionner correctement, entre autres précautions.

Les logiciels des machines de soins de longue durée et des dispositifs implantables sont souvent plus anciens que ceux auxquels les consommateurs sont habitués, car il faut beaucoup de temps pour que de nouveaux dispositifs médicaux soient approuvés et installés dans un hôpital. Par exemple, la mise sur le marché et à l'hôpital d'un nouveau scanner IRM peut prendre des années, ce qui signifie qu'au moment où le système est prêt à être installé, le système d'exploitation Microsoft sous-jacent est peut-être déjà ancien.

"Je pense que chaque organisation de soins de santé a ce problème, " a déclaré Sneeden. " Le vrai problème est que les fabricants de dispositifs médicaux mettent tellement de temps à faire approuver les dispositifs, qu'au moment où ils sont approuvés et achetés et mis en place, souvent les systèmes d'exploitation sont anciens. Et les nouveaux ne sont pas approuvés. Nous ne pouvons donc littéralement rien faire à ce sujet. »

©2019 Star Tribune (Minneapolis)
Distribué par Tribune Content Agency, LLC.