Selon une nouvelle étude publiée par l'Université Ben-Gourion (BGU) des chercheurs du Negev en cybersécurité, les pirates informatiques peuvent accéder aux scanners médicaux 3D d'un patient pour ajouter ou effacer un cancer des bronches, tromper les radiologues et les algorithmes d'IA utilisés pour faciliter le diagnostic.
Une tomodensitométrie 3D combine une série d'images radiographiques prises sous différents angles autour du corps et utilise un traitement informatique pour créer des coupes transversales des os, des vaisseaux sanguins et des tissus mous. Les images de tomodensitométrie fournissent des renseignements plus détaillés que les radiographies standard et sont utilisées pour diagnostiquer le cancer, les maladies cardiaques, les maladies infectieuses, et plus encore. L'IRM est similaire, mais elle utilise des champs magnétiques puissants au lieu d'un rayonnement ionisant pour diagnostiquer les affections osseuses, articulaires, ligamentaires et cartilagineuses.
Les attaquants malveillants peuvent altérer les scans pour causer délibérément un mauvais diagnostic de fraude à l'assurance, de rançon, de cyberterrorisme, ou même de meurtre. Les attaquants peuvent même automatiser l'ensemble du processus dans un logiciel malveillant qui peut infecter le réseau d'un hôpital.
« Nos recherches montrent comment un attaquant peut, de façon réaliste, ajouter ou supprimer des artéfacts médicaux sur des tomodensitographies (TDM) et des IRM », explique Yisroel Mirsky, Ph.D, chercheur principal au département d'ingénierie des logiciels et des systèmes d'information du BGU et chef de projet et chercheur en cybersécurité au National Cyber Security Research Center du BGU. « En particulier, nous montrons comment un agresseur peut facilement accéder au réseau d'un hôpital et ensuite injecter ou retirer des cancers du poumon du scanner d'un patient. »
L'attaquant a un contrôle total sur le nombre, la taille et l'emplacement des cancers tout en conservant la même anatomie que l'image 3D originale à pleine résolution. Il s'agit d'une menace importante puisque les scanners médicaux 3D sont considérés comme des preuves plus définitives que les radiographies 2D préliminaires. Pour démontrer la faisabilité de l'attaque, les chercheurs ont pénétré par effraction le réseau d'un véritable hôpital et intercepté tous les balayages effectués par un tomodensitomètre, avec la permission des chercheurs.
« Les scans n'étaient pas cryptés car le réseau interne n'est généralement pas connecté à Internet. Cependant, des intrus déterminés peuvent toujours avoir accès à l'infrastructure via le Wi-Fi de l'hôpital ou l'accès physique à l'infrastructure », explique Yisroel Mirsky. « Or, ces réseaux sont désormais connectés à Internet, ce qui permet aux attaquants de pratiquer des attaques à distance. »
Pour injecter et éliminer des conditions médicales, les chercheurs ont utilisé un réseau neuronal d'apprentissage profond (« deep Learning » appelé réseau accusatoire génératif (GAN)) – ce sont deux algorithmes antagonistes, l’un construit l’autre teste et élimine -. Les GAN ont été utilisés dans le passé pour produire des images réalistes, comme des portraits de personnes non existantes. L'architecture (CT-GAN) utilise deux de ces GAN : l'un formé pour l'injection du cancer et l'autre pour son élimination.
Les chercheurs de la BGU ont vérifié l'efficacité de l'attaque en entraînant CT-GAN à injecter ou à retirer le cancer des bronches en utilisant l'imagerie médicale sur Internet. Ils ont engagé trois radiologues pour diagnostiquer un mélange de 70 TDM falsifiés et de 30 TDM authentiques.
Lorsque les scanners de patients en bonne santé ont été injectés avec un artéfact de cancer, les radiologistes ont diagnostiqué à tort 99% d'entre eux comme étant malins. Lorsque l'algorithme a éliminé les cancers chez les patients atteints d'un cancer, les radiologistes ont diagnostiqué à tort 94 % des patients comme étant en bonne santé. Après avoir informé les radiologues de l'attaque, ils n'ont toujours pas pu faire la différence entre les images altérées et les images authentiques, diagnostiquant à tort 60% des images avec injections et 87% de celles avec rétractations. Pour ce qui concerne de l’aide au diagnostic par intelligence artificielle, le taux d’erreur était de 100%.
« En plus des radiologistes, nous avons également montré comment le CT-GAN constitue une attaque d'apprentissage machine contradictoire efficace », dit Yisroel Mirsky. « Par conséquent, les outils de dépistage du cancer des bronches par intelligence artificielle, utilisés par certains radiologues, sont également vulnérables à cette attaque. »
Les chercheurs ont proposé des contre-mesures immédiates qui peuvent atténuer l’essentiel de la menace. Une solution consiste à permettre le cryptage entre les hôtes du réseau de radiologie de l'hôpital. De plus, certains hôpitaux peuvent activer les signatures numériques pour que leurs scanners signent chaque scan avec une marque authentique sécurisée. Si cette approche est suivie, les administrateurs doivent alors s'assurer que les signatures appropriées sont utilisées et que les périphériques finaux vérifient correctement ces signatures.
« Une autre méthode pour tester l'intégrité des images consiste à effectuer un « filigranage » numérique (DW), le processus consistant à ajouter un signal caché dans l'image de telle sorte que la falsification corrompt le signal et indique ainsi une perte d'intégrité », explique Yisroel Mirsky. « Malheureusement, la grande majorité des appareils et produits médicaux n'utilisent pas les techniques ad hoc, en l’occurrence avec de l’eau lourde. »
Un directeur d’un grand centre hospitalier a déclaré en privé récemment : « On n'a pas encore vu un directeur aller en prison, il faut savoir vivre dangereusement .». Un Haut fonctionnaire, lui, indiquait devant un petit cercle et la présidente de la HAS d’alors, connaître plusieurs confrères (PU-PH) qui détenaient des cohortes nominatives de plusieurs centaines ou milliers de patients sur leur ordinateur portable personnel. Ou encore la découverte publique que le DSI d’un très grand CHU et un directeur de la DSSIS du ministère de la Santé dont les mots de passe se « baladaient » sur la toile. Quant aux déclarations d’incidents – pourtant obligatoires grâce à l'ancien député Gérard Bapt -, elles appellent à sourire lorsque l’on compare les taux d’accidents déclarés (Etats-Unis (115.000) (Department of Health and Human Services, Office of Inspector General, Site Maude), Royaume-Uni (11.000) et France (environ 1.200).
En conclusion, si l’on s’en réfère à ce genre d’exemples, aux habitudes délétères de nos chers hospitaliers et à l’absence quasi-totale de sanction malgré les évidences, Il y a encore loin de la coupe aux lèvres. Sed Lex mais pas trop Dura Lex.
Dr Joëlle Belaïsch-Allart : « S’il faut respecter le non-désir d’enfant, le renoncement à la parentalité doit interpeller »
Visite médicale d’aptitude à la conduite : le permis à vie de nouveau sur la sellette
Le dispositif Mon soutien psy peine à convaincre, la Cnam relance l’offensive com’
Ouverture du procès d’un ancien psychiatre de l’AP-HM jugé pour viols et agressions sexuelles sur quatre patientes