Si, l’an passé, la conférence sécurité Genevoise avait bien timidement abordé les problèmes liés à la sécurité de l’informatique embarquée automobile, son édition 2016 a littéralement mis les pieds dans le plat de l’IoT. S’il fallait une seule phrase pour résumer le discours des chercheurs, ce serait « Peut mieux faire : de bonnes idées, mais une intégration bâclée et un travail rendu trop rapidement. Apprenez à réfléchir ».
Apprenez à réfléchir. C’est le cri d’alarme que pousse Beau Woods au fil de son intervention intitulée « A Hippocratic Oath for Connected Medical Devices ». Rien de particulièrement nouveau sous le soleil, ce cyber-serment d’Hippocrate avait été rapidement brossé en janvier dernier dans un billet de blog rédigé par Woods lui-même. Ses travaux, ainsi que ceux de tous les participants du mouvement « I am the Cavalry », expliquent clairement le manque de compétence et d’attention dont font preuve les intégrateurs du domaine de l’instrumentation médicale. Entre les hacks de pacemakers et les intrusions dans les électroniques des pompes à insuline, en passant par les razzias effectuées sur les fichiers d’imagerie médicale (ou les parachutages de crypto-malwares), le capital confiance dont bénéficiaient les professionnels de l’électronique médicale s’érode peu à peu. Et rien, ou si peu, est fait pour que cette situation s’améliore, déplore Woods. Et de recommander ces « règles d’un Owasp médical » à la fois si simples à comprendre, si difficiles à mettre en place : une sécurité by design, le recours aux conseils de professionnels de la sécurité qui savent, des outils de conservation des traces et des preuves recevables, des mécanismes de mise à jour, le tout protégé par des appareils résilients dans le cadre d’une architecture segmentée pour limiter les risques de propagation. Il reste à espérer que le clairon de la cavalerie ne se fera pas entendre trop tard au sein des grands OEM du milieu médical, automobile, de l’habitat ou des infrastructures publiques.