211service.com
Des experts en sécurité piratent un robot chirurgical téléopéré
Un goulot d'étranglement crucial qui empêche la réalisation de chirurgies vitales dans de nombreuses régions du monde est le manque de chirurgiens qualifiés. Une façon de contourner ce problème est de mieux utiliser ceux qui sont disponibles.
Les envoyer sur de grandes distances pour effectuer des opérations est clairement inefficace en raison du temps qu'il faut consacrer aux déplacements. Ainsi, une alternative de plus en plus importante est la possibilité de téléchirurgie avec un expert à un endroit contrôlant un robot à un autre qui effectue physiquement la coupe et le découpage en dés nécessaires. En effet, la vente de robots médicaux augmente au rythme de 20 % par an.
Mais si les avantages sont clairs, les inconvénients ont été moins bien explorés. La téléchirurgie s'appuie sur des technologies de pointe dans des domaines aussi variés que l'informatique, la robotique, les communications, l'ergonomie, etc. Et toute personne familière avec ces domaines vous dira qu'ils sont loin d'être infaillibles.
Aujourd'hui, Tamara Bonaci et ses amis de l'Université de Washington à Seattle examinent les pièges particuliers associés à la technologie de communication impliquée dans la téléchirurgie. Ils montrent notamment comment un attaquant malveillant peut perturber le comportement d'un télérobot lors d'une intervention chirurgicale et même prendre le contrôle d'un tel robot, la première fois qu'un robot médical est ainsi piraté.
La première téléchirurgie a eu lieu en 2001 avec un chirurgien de New York qui a réussi à retirer la vésicule biliaire d'un patient à Strasbourg en France, à plus de 6 000 kilomètres. Les communications s'effectuaient sur une fibre dédiée fournie par une société de télécommunications spécifiquement pour l'opération.
C'est une option coûteuse, car les fibres dédiées peuvent coûter des dizaines de milliers de dollars.
Depuis lors, les chirurgiens ont réalisé de nombreuses opérations à distance et ont commencé à expérimenter des liens de communication ordinaires via Internet, nettement moins chers.
Bien qu'il n'y ait aucun incident enregistré dans lequel l'infrastructure de communication a causé des problèmes lors d'une opération de téléchirurgie, il y a encore des questions sur la sécurité et la confidentialité qui n'ont jamais été pleinement résolues.
Bonaci et co ont donc entrepris d'explorer certaines de ces questions à l'aide d'un robot de téléchirurgie appelé Raven II, qui a été développé à l'Université de Washington. Raven II est conçu dans le but de réduire considérablement la taille de ces robots tout en améliorant leur durabilité afin qu'ils puissent être utilisés dans des environnements extrêmes.
Le robot se compose de deux bras chirurgicaux qui sont manipulés par un chirurgien à l'aide d'une console de contrôle à la pointe de la technologie qui comprend un retour vidéo et haptique.
Le robot lui-même fonctionne sur un seul PC exécutant un logiciel basé sur des normes ouvertes, telles que Linux et le système d'exploitation du robot. Il communique avec la console de contrôle à l'aide d'un protocole de communication standard pour la chirurgie à distance connu sous le nom de protocole de téléchirurgie interopérable.
Cette communication s'effectue sur des réseaux publics potentiellement accessibles à tous. Et comme le robot est conçu pour fonctionner dans des conditions extrêmes, ce lien de communication peut être une connexion Internet de mauvaise qualité, peut-être même sans fil.
Et c'est là que réside le risque. En raison de la nature ouverte et incontrôlable des réseaux de communication, il devient facile pour des entités malveillantes de brouiller, de perturber ou de prendre le contrôle de la communication entre un robot et un chirurgien, disent Bonaci et co.
C'est donc exactement ce qu'ils ont essayé de faire. Bonaci et co ont tenté différents types de cyberattaques sur le robot pour voir à quel point il est facile de le perturber.
Leur expérience est relativement simple. Au lieu d'une véritable opération, l'opérateur a pour tâche de déplacer des blocs de caoutchouc d'une partie d'un panneau perforé à une autre. L'équipe mesure ensuite la rapidité avec laquelle l'opérateur peut accomplir cette tâche lors d'une attaque et la difficulté avec laquelle les différents opérateurs évaluent la tâche.
La console de contrôle se connecte au robot via un réseau standard, auquel l'ordinateur attaquant est également lié. Cette configuration permet à l'ordinateur attaquant d'intercepter et de manipuler les signaux envoyés dans les deux sens entre la console de contrôle et le robot.
L'équipe essaie trois types d'attaques. La première modifie les commandes envoyées par l'opérateur au robot en les supprimant, les retardant ou les réordonnant. Cela rend le mouvement du robot saccadé et difficile à contrôler.
Le deuxième type d'attaque modifie l'intention des signaux de l'opérateur au robot en modifiant, par exemple, la distance à laquelle un bras doit se déplacer ou le degré auquel il doit tourner, etc. La plupart de ces attaques ont eu un impact notable sur le Raven dès son lancement, disent Bonaci et co.
La dernière catégorie d'attaque est un détournement qui prend complètement le contrôle du robot. Cela s'avère relativement facile puisque le protocole de téléchirurgie interopérable est accessible au public. Nous avons effectivement pris le contrôle de la procédure téléopérée, disent-ils.
Ils ont même trouvé comment générer des mouvements déclenchant un mécanisme d'arrêt automatique intégré au robot. Cela se produit lorsqu'un mouvement entraîne les bras au-delà d'une certaine distance prédéfinie ou les fait bouger trop rapidement.
En envoyant constamment des commandes déclenchant ce mécanisme, l'équipe a pu mener une sorte d'attaque par déni de service. Nous sommes en mesure d'empêcher facilement le robot d'être correctement réinitialisé, rendant ainsi une intervention chirurgicale impossible, disent-ils.
Et si ce type de cyberattaque ne suffisait pas, la connexion vidéo était également accessible au public, permettant à presque tout le monde de regarder l'opération en temps réel.
Il n'est pas difficile d'imaginer comment des cyberattaques de ce type pourraient avoir des conséquences mortelles. Même l'attaque par déni de service à un moment crucial d'une intervention chirurgicale peut être fatale.
Ayant vu à quel point ces types de cyberattaques peuvent être efficaces, Bonaci et ses collègues suggèrent également des moyens de les prévenir. La plus évidente est de chiffrer les communications entre la console de contrôle et le robot.
Ils ont même testé cette idée et ont déclaré que le robot fonctionnait comme prévu. L'utilisation du cryptage et de l'authentification a un faible coût et des avantages élevés pour la chirurgie télérobotique, atténuant de nombreuses attaques analysées, concluent-ils.
Cependant, le cryptage ne peut pas déjouer tous les types d'attaques. En particulier, il autorise toujours les attaques de l'homme du milieu où un espion intercepte les signaux dans les deux sens tout en trompant les deux parties sur le fait qu'elles se parlent toujours.
Et le cryptage vidéo n'est probablement pas pratique sur le type de liaisons réseau envisagées pour la chirurgie à distance dans des endroits extrêmes. Ce n'est peut-être pas un problème de sécurité, mais cela soulève d'importants problèmes de confidentialité.
C'est un travail intéressant qui a de profondes implications non seulement sur la façon dont la téléchirurgie sera effectuée, mais sur la façon dont le public perçoit la sécurité et la confidentialité de ces systèmes.
Les opérateurs de téléchirurgie devront prendre en compte la sécurité de leurs équipements. Et les décideurs politiques et le public devront tirer leurs propres conclusions sur le type de sécurité et de confidentialité acceptable. Quoi qu'il en soit, le jeu du chat et de la souris de la cybersécurité continuera
Réf :arxiv.org/abs/1504.04339: Sécuriser un robot : une analyse expérimentale des menaces de cybersécurité contre la robotique chirurgicale téléopérée