Discussion :

[Axel Lecomte]

Après des années de silence, le ver Conficker est de retour et cible particulièrement des appareils médicaux connectés,
qui utilisent des versions obsolètes de Windows

Apparu pour la première fois en 2008, Conficker (aussi appelé Kido, Downup ou Downadup) est un ver informatique qui exploite des vulnérabilités du Windows Server Service, utilisé par Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003 et Windows Server 2008, dans le but de voler des données comme les mots de passe. Une fois installé sur la machine cible, il désactive des fonctions du système et arrive à empêcher des antivirus d'alerter la présence de mises à jour permettant de le détecter. Il peut également se mettre à jour et s'attacher à des fichiers de processus Windows sensibles comme explorer.exe, svchost.exe ou services.exe.

Conficker s'est fortement répandu en 2009, infectant environ 15 millions d'ordinateurs. Ce chiffre a ensuite considérablement diminué, passant de 1,7 million en 2011 à 400 000 en 2015.

Toutefois, le ver reste actif et semble changer de cible. Les ordinateurs tournant actuellement avec des systèmes d’exploitation plus récents, et disposant de mises à jour de sécurité régulières, Conficker s'est tourné vers les appareils utilisant encore les versions obsolètes de Windows. Et ce sont les matériels médicaux connectés qui sont particulièrement ciblés, d'après les chercheurs de l'unité 42 de la société américaine Palo Alto Networks, dans leur rapport sur les menaces qui pèsent sur l'Internet des Objets (IdO).

« 83 % des appareils d'imagerie médicale fonctionnent sur des systèmes d'exploitation non pris en charge, ce qui représente un bond de 56 % par rapport à 2018, en raison de la fin de vie du système d'exploitation Windows 7. Ce déclin général de la posture de sécurité ouvre la porte à de nouvelles attaques, telles que le cryptojacking et ramène des attaques oubliées depuis longtemps, comme Conficker, contre lequel les équipes informatiques étaient auparavant immunisées depuis longtemps », expliquent les auteurs du rapport.

De plus, 51 % des menaces sur les organismes de santé concernent les dispositifs d'imagerie, ce qui peut avoir un impact sur la qualité des soins et permettre aux malfaiteurs d'avoir accès aux données des patients stockés sur ces appareils.

« 72 % des réseaux locaux virtuels de soins de santé combinent l'IdO et les ressources informatiques, ce qui permet aux logiciels malveillants de se propager des ordinateurs des utilisateurs aux dispositifs IdO vulnérables du même réseau. Le taux d'attaques exploitant les vulnérabilités des appareils est de 41 %, les attaques informatiques passant par les appareils connectés au réseau pour tenter d'exploiter les faiblesses connues. On observe une évolution des réseaux de zombies de l'IdO menant des attaques par déni de service vers des attaques plus sophistiquées visant l'identité des patients, les données des entreprises et les profits monétaires via des logiciels de rançon », ajoutent les auteurs.

Pour parvenir à ces constats, les chercheurs se sont entre autres basés sur les alertes envoyées par Zingbox, le produit de sécurité IdO de Palo Alto Networks. La première alerte concernant l'infection par le ver provient d'un hôpital, sur une machine à mammographie.

Quelques jours après, Zingbox a détecté Conficker sur un autre appareil du même type, une visionneuse DICOM (Digital Imaging and Communications in Medicine), un système de radiologie numérique et d'autres machines.

La première réaction du personnel de l'hôpital était d'éteindre les appareils lorsqu'ils n'étaient pas utilisés. Un mammographe infecté et la visionneuse DICOM ont ensuite été mis hors ligne puis réimagés pour supprimer le ver. Mais ils ont été réinfectés quelques heures après leur remise en service, les systèmes d’exploitation ne contenant pas le correctif MS08-067 qui corrige la faille utilisée par Conficker.

Le ver a été définitivement supprimé après que l'hôpital a mis hors ligne, réimagé tous les appareils infectés et installé le correctif.

Par ailleurs, le rapport stipule que près de 20 % des clients de Zingbox healthcare ont été touchés par Conficker.

« C'est un exemple typique des défis auxquels de nombreuses organisations font face aujourd'hui. Elles sont entravées par un manque de visibilité en temps réel du comportement des dispositifs IdO et l'expertise en matière de cybersécurité pour répondre rapidement aux menaces, de contenir la propagation de l'infection et d'éradiquer la cause sous-jacente. Dans certaines organisations, la nature critique de leurs appareils rend le dépannage difficile, l'arrêt, et la réimagerie impossible ou extrêmement difficile à faire sans perturber les opérations commerciales. Par conséquent, de nombreuses organisations se retrouvent dans une boucle sans fin consistant simplement à traiter les symptômes et en espérant le meilleur », conclut le rapport.

Source : Palo Alto Networks

Et vous ?

Comment cette attaque va-t-elle évoluer d'après vous ?
Quelles mesures devraient prendre les hôpitaux et les sociétés du domaine de la santé utilisant des objets connectés ?

Voir aussi :

Sécurité : Le ver Conficker continue de se répandre
Un ransomware se hisse pour la première fois dans le top 3 des logiciels malveillants les plus répandus, sur le baromètre de Check Point
Check Point publie le Top 10 des malwares qui ont été le plus actifs en avril 2018, les malwares de cryptominage ont dominé le classement
Une faille de sécurité de dispositifs IdO rend un demi-milliard d'appareils en entreprise vulnérables, les imprimantes sont aussi un vecteur d'attaque

[jvallois]

Quand vont-ils se décider à faire tourner les systèmes sensibles sous Linux ?

[Ryu2000]

« 72 % des réseaux locaux virtuels de soins de santé combinent l'IdO et les ressources informatiques, ce qui permet aux logiciels malveillants de se propager des ordinateurs des utilisateurs aux dispositifs IdO vulnérables du même réseau. Le taux d'attaques exploitant les vulnérabilités des appareils est de 41 %, les attaques informatiques passant par les appareils connectés au réseau pour tenter d'exploiter les faiblesses connues. On observe une évolution des réseaux de zombies de l'IdO menant des attaques par déni de service vers des attaques plus sophistiquées visant l'identité des patients, les données des entreprises et les profits monétaires via des logiciels de rançon », ajoutent les auteurs.

Voilà ce qu'il se passe quand on utilise des objets connectés !

Quelles mesures devraient prendre les hôpitaux et les sociétés du domaine de la santé utilisant des objets connectés ?

Il faut tout mettre à jour, le problème c'est quand ça change d'OS, comme de Windows XP à Windows 7, ou de Windows 7 à Windows 10. Au bout d'un moment Microsoft ne sort plus de mise à jour.
Chaque périphérique sur le réseau doit être à jour.

Linux ?

Il y a des failles également sous linux, cela dit il est peut-être plus facile de maintenir à jour un système sous linux à long terme.

[Invité]

@ jvallois

J'ai eu la même réaction, puis me suis souvenu d'un client dont les balances de précision n’étaient pas supportées logiciellement par les systèmes unix. :-(

Au delà de cette problématique du choix d'un OS je suis surtout interpelé par l'apparente impossibilité de réaliser des montées de version de l'OS de ces terminaux médicaux...

[jeanluc75]

Bonjour
pourquoi des systèmes critiques, sont il accessible par le net
(hôpitaux, centrale, Edf)
, a quoi ça sert compte tenu du risque ?

voir même, pourquoi mettre en réseau intranet un appareil médical?.

la plupart des cryptoware ayant besoin d’un accès au net pour compléter
leur installation, on pourrait dire
«*pas de réseau pas de problème*»

ps:j’espère qu’il y a une bonne raison.

[Invité]

Bonjour
pourquoi des systèmes critiques, sont il accessible par le net
(hôpitaux, centrale, Edf)
, a quoi ça sert compte tenu du risque ?

voir même, pourquoi mettre en réseau intranet un appareil médical?.

la plupart des cryptoware ayant besoin d’un accès au net pour compléter
leur installation, on pourrait dire
«*pas de réseau pas de problème*»

ps:j’espère qu’il y a une bonne raison.

Bonjour,

Je suppose que ces équipements sont évidement placés dans des vlan isolés du net.

Toutefois le besoin de transmettre les données captées vers des terminaux accessibles à l'ensemble du personnel soignant rend le système poreux pour un vers.

On imagine bien que tout ne peux pas se faire sur papier et de mano à mano dans un hôpital.

edit: de ma propre expérience le transfert de données entre réseaux durcis et réseaux bureautiques ce fait à l'aide de produits comme cft. Mais nous sommes très loin alors d'obtenir une disponibilité de l'information en temps réel.

[Mubelotix]

Pour moi Cornifer c'est un cafard.

[defZero]

Comment cette attaque va-t-elle évoluer d'après vous ?

Au moins dans un premier temps et d'un point de vue Admin, je croit que le plus faisable sera l'isolation réseau des devices sensible.
Comme la écrit @P_Avril avec des vLAN, mais également des règles de Firewall et de Gateway plus restrictives, voire physique.

Dans un second temps, le problème sera que les systèmes infecté ne soit pas identifiable / patchable / upgradable et qu'ils continu de tourner en étant infecté.
En prenant en compte qu' Upgrader ou Patcher un OS sur Compatible PC, c'est "standard", alors qu'avec un Firmware, ça nécessite un flashage complet et c'est déjà plus casse-gueule.
Et ça c'est sans compter que les boites impacté, vont forcement demander rémunération pour le job,ce qui va ralentir pas mal d’institutions je pense.

Quelles mesures devraient prendre les hôpitaux et les sociétés du domaine de la santé utilisant des objets connectés ?

C'est très "simple" (la réponse, pas la création), mais ça coute très cher à faire, le dev baremetal ou unikernel.
Pourquoi foutre un OS généraliste complet et donc avec toutes ses faille incluse, alors qu'un système spé réduirait grandement la surface d'attaque tout en rendant toutes forme d'attaque non ciblé, quasi-impossible ? Réponse : C'est plus simple et rapide à faire de se baser sur un OS pour s'abstraire du matos.
Oui, "quasi-", parce que personne n'est à l’abri de faille matériel, du firmware réseau, protocolaire ou autre indépendant du fabricant.
Mais ça couterez un bras et j'ai dans l'idée que personne ne veut payer le juste prix, dans le médicale comme ailleurs.

[L33tige]

Quand vont-ils se décider à faire tourner les systèmes sensibles sous Linux ?

Parce-que les logiciels utilisés par ce genre de machines sont rarement maintenus et très spécifiques, donc les OS ne sont jamais updatés/les pc jamais remplacés, et qu'un linux non mis à jour c'est encore PIRE qu'un poste windows.