Des chercheurs israéliens du centre de recherche en cybersécurité de l’Université Ben-Gurion ont développé un logiciel malveillant exploitant les vulnérabilités de scanneurs CT-scan ou IRM, afin d’alerter sur les faiblesses en cybersécurité de ces équipements critiques d’imagerie médicale, tout comme les réseaux qui transmettent ces images.

Le logiciel malveillant ajoute de fausses tumeurs, extrêmement réalistes, sur les scans, avant même que les radiologistes ou que les médecins puissent les analyser. Inversement, le logiciel malveillant est capable de dissimuler des nodules et des lésions cancéreuses, ce qui peut entraîner une erreur de diagnostic fatale pour le patient.

La recherche n’est pas théorique : dans une étude en double aveugle, avec de vraies tomodensitométries de poumons, dont 70 modifiées par le logiciel malveillant, trois radiologues renommés ont posé, presque à 100 %, un mauvais diagnostic sur les scans.

Pour les scans avec des nodules cancéreux fabriqués, ils ont diagnostiqué un cancer dans 99 % des cas. Pour les scans où le logiciel malveillant a caché les nodules cancéreux, ils ont diagnostiqué que les patients étaient sains dans 94 % des cas.

Même après avoir été avertis que les scans avaient été altérés par un logiciel malveillant, et donné un deuxième ensemble de 20 scans, dont 10 manipulés, ils ont toujours cru que les faux nodules étaient vrais dans 60 % des cas, et ont été trompés par les vrais nodules cancéreux cachés dans 94 % des cas.

On peut imaginer qu’un tel logiciel malveillant pourrait être exploité contre une personne importante, comme un politicien. Durant la dernière élection présidentielle américaine, la candidate Hilary Clinton, affectée de toux persistantes et de trébuchements lors de sa campagne, tenta de rassurer sur sa santé en divulguant un ct-scan de ses poumons, montrant qu’il s’agissait « simplement » d’une pneumonie.

Comme les scans ne sont pas signés numériquement par les machines, et que leur transmission n’est pas chiffrée, ils sont hautement vulnérables.

Malheureusement, on connaît déjà depuis des années les lacunes désastreuses de l’informatique de santé, sans que rien ne soit entrepris. Il y a quelques années, il avait déjà été démontré que l’on pouvait pirater certains stimulateurs cardiaques à distance, pour tuer une cible.

La démonstration israélienne suffirat-elle à alarmer fabricants et régulateurs, ou doit-on attendre une catastrophe ?