Photo by Ken Treloar on Unsplash

Quand l’appareil d’imagerie médicale attrape un virus… informatique

Très bon article cette semaine dans le Washington Post sur les conséquences possibles de la piètre sécurité des appareils électroniques, dans le secteur médical en particulier. Bien qu’on ne soit pas porté à y réfléchir, les virus qu’on peut combattre à coup de médicaments ne sont pas le seul type de virus qui peut s’inviter à l’hôpital. Oui, les maliciels et les virus informatiques peuvent s’avérer pertinents même dans le domaine médical.

L’histoire rapportée cette semaine à ce sujet découle de travaux de recherche en Israël et démontre le genre de risque que court le secteur médical (et la société en général) à cause du fait que les fabricants d’appareils médicaux ne prennent toujours pas la sécurité au sérieux, y compris dans des appareils d’imagerie médicale.

Pour ce faire, les chercheurs ont créé un maliciel qui ajoute de faux résultats sur de l’imagerie médicale, dont de fausses tumeurs. La démonstration montre un tel maliciel en action, autant sur des imageries de type CT qu’IRM. Ce maliciel dont l’opération a été démontrée en ligne peut même retirer des indications de cancer. La vidéo à laquelle on fait un lien ci-dessus démontre la méthode qui pourrait être utilisée (sans grande difficulté) pour infecter un appareil dans un véritable hôpital.

Les résultats générés par ce maliciel sont de telle qualité qu’ils parviennent à berner la plupart des radiologues et même les systèmes experts que les professionnels utilisent souvent pour filtrer les résultats. Oui, vraiment. Si le maliciel ajoute des tumeurs là où il n’en existait pas, c’est une chose, mais imaginez le contraire… Si je passe un test médical et que l’hôpital conclut que mes tests ne révèlent pas de présence de cancer parce que les résultats d’imagerie médicale ont été trafiqués par un maliciel qui a infecté du matériel dont la sécurité s’avérait déficiente, y a-t-il quelqu’un qui ne voit pas une source de réclamation éventuelle dans un tel dossier? Oui, moi aussi…

Pour l’instant, les malfaiteurs ne passent peut-être pas beaucoup de temps à envisager comment infecter de tels appareils (sans doute parce que cela ne représente pas une façon facile de générer du profit), ce qui ne signifie pas pour autant que le problème soit purement théorique. On peut très bien envisager que ce genre de chose puisse, par exemple, éventuellement faire partie de manœuvres de criminels visant à faire chanter ou escroquer des fabricants ou des hôpitaux, etc. Compte tenu des conséquences potentiellement terribles d’un problème éventuel de ce côté, peut-être est-il temps de cesser de considérer que la sécurité dans les appareils médicaux ne s’avère pas importante puisque personne ne serait assez malicieux pour s’en prendre à ce type de matériel.