le département américain of Veterans Affairs gère des programmes technologiques intéressants, mais il n’est pas connu pour être une organisation flexible ou agile. Et en ce qui concerne les dossiers médicaux électroniques, la VA a eu un drame lent mais à enjeux élevés pendant des années.
La plate-forme d’enregistrement du département, VistA, instituée pour la première fois à la fin des années 1970, est saluée comme efficace, fiable et même innovante, mais des décennies de sous-investissement ont érodé la plate-forme. À plusieurs reprises au cours des années 2010, la VA a déclaré qu’elle remplacerait VistA (abréviation de Veterans Information Systems and Technology Architecture) par un produit commercial, et la dernière itération de cet effort est actuellement en cours. Entre-temps, cependant, les chercheurs en sécurité découvrent de véritables problèmes de sécurité dans VistA qui pourraient affecter les soins aux patients. Ils veulent les divulguer à la VA et résoudre les problèmes, mais ils n’ont pas trouvé le moyen de le faire car VistA lui-même est dans le couloir de la mort.
Lors de la conférence sur la sécurité DefCon à Las Vegas samedi, Zachary Minneker, un chercheur en sécurité ayant une formation en informatique de la santé, a présenté des conclusions sur une faiblesse inquiétante dans la façon dont VistA crypte les informations d’identification internes. Sans une couche supplémentaire de cryptage réseau (comme TLS, qui est désormais omniprésent sur le Web), Minneker a découvert que le cryptage maison développé pour VistA dans les années 1990 pour protéger la connexion entre le serveur réseau et les ordinateurs individuels peut être facilement vaincu. En pratique, cela pourrait permettre à un attaquant sur le réseau d’un hôpital de se faire passer pour un fournisseur de soins de santé dans VistA, et éventuellement de modifier les dossiers des patients, de soumettre des diagnostics ou même de prescrire théoriquement des médicaments.
« Si vous étiez adjacent sur le réseau sans TLS, vous pourriez casser des mots de passe, remplacer des paquets, apporter des modifications à la base de données. Dans le pire des cas, vous pourriez essentiellement vous faire passer pour un médecin », a déclaré Minneker à WIRED. “Ce n’est tout simplement pas un bon mécanisme de contrôle d’accès pour un système de dossier médical électronique à l’ère moderne.”
Minneker, qui est ingénieur en sécurité au sein de la société spécialisée dans les logiciels Security Innovation, n’a discuté que brièvement des résultats lors de sa conférence DefCon, qui était principalement axée sur une évaluation plus large de la sécurité de Vista et du langage de programmation de base de données MUMPS qui le sous-tend. Il tente de partager la découverte avec la VA depuis janvier via le programme de divulgation des vulnérabilités du département et l’option de divulgation par des tiers de Bugcrowd. Mais Vista est hors de portée pour les deux programmes.
Cela peut être dû au fait que la VA tente actuellement d’éliminer progressivement VistA en utilisant un nouveau système de dossiers médicaux conçu par Cerner Corporation. En juin, la VA a annoncé qu’elle retarderait le déploiement général du système Cerner de 10 milliards de dollars jusqu’en 2023, car les déploiements pilotes ont été en proie à des pannes et ont conduit à près de 150 cas dans lesquels des patients auraient pu être blessés.
La VA n’a pas renvoyé les multiples demandes de commentaires de WIRED sur les conclusions de Minneker ou sur la situation plus large de la divulgation de vulnérabilités dans VistA. En attendant, cependant, VistA n’est pas seulement déployé dans le système de santé VA, il est également utilisé ailleurs.