Ports USB des postes clients, des serveurs, des tablettes, des smartphones, sans oublier les dispositifs médicaux : au-delà des facilités apportées, une véritable source de problèmes pour la sécurité des systèmes informatiques de santé, ainsi que des données des patients.

Une étude publiée par l’éditeur d’antivirus Avira en 2017, a montré que l’usage intensif des périphériques de stockage USB en France présentait des risques.

En effet, selon ce rapport, le logiciel malveillant le plus répandu en France sur l’année 2016, était le ver Verecno, un malware dont la spécificité est la transmission via des périphériques USB.

D’après une étude menée dans le secteur de l’industrie auprès de 50 entreprises réparties sur 4 continents, la société Honeywell indique que l’USB est un vecteur de menace majeur car 44 % des entreprises du panel présentaient des fichiers malveillants transmis via des périphériques de stockage USB.

Mais, les antivirus peuvent scanner les clés USB lorsqu’elles sont connectées, où serait donc problème ?

Si les antivirus  avaient un taux de détection et d’interception des malware de 100 %, on le saurait.

Ensuite, il faut, selon Charles Blanc-Rolin (DSIH) (1), mesurer l’ensemble des risques et de les comparer au besoin.

Pour ce spécialiste, quelle est la nécessité d’utiliser des périphériques de stockage USB dans un système d’information de santé ?

Il souligne que l’usage de clés USB n’est pas un besoin, mais une solution, et «une mauvaise solution ».

ð Si le besoin est de partager des informations, il existe de nombreuses autres solutions permettant de remplir cette tâche : messagerie, serveur de fichier, solutions de partages de fichiers internes / externes, MSSanté, les solutions ne manquent pas.

Côté risques, au-delà de l’« infection » possible ou du  risque de destruction matérielle (USB Killer), il existe un risque important de fuite de données, et notamment de données à caractère personnel (voir RGPD), ainsi que des données de santé.

Le consortium USB Implementers Forum (USB-IF), a annoncé en ce début d’année le lancement du programme visant à implémenter l’authentification des périphériques et câbles USB directement dans le protocole USB (C).

Si le fait d’autoriser uniquement des chargeurs (pour les tablettes et smartphones), des câbles ou des périphériques USB divers à être connectés peut apparaître comme légitime en matière de sécurité, tout cela ne va-t-il pas créer de nouveaux risques ? souligne Charles Blanc-Rolin

Des risques de compatibilité et de monopole?

Selon lui, sous prétexte de mettre en place une solution de sécurité pour se « protéger », les constructeurs obligeront à utiliser uniquement les chargeurs et autres périphériques USB qu’ils fabriquent.

 Ainsi, plus question de chargeurs adaptables à 5€ !

L’USB-IF a également annoncé sa collaboration avec un partenaire unique pour la gestion des PKI. Là encore se pose la question de la non mise en concurrence !

Pour Charles Blanc-Rolin, si cette solution peut améliorer certains aspects de sécurité, comme les chargeurs USB qui siphonnent les données des smartphones, elle ne résoudra pas tous les problèmes de « contamination » et de fuite de données, et ne devrait en aucun cas changer la donne en matière de politique de sécurité vis à vis de l’utilisation de périphériques USB.

(1)           D’après Charles Blanc-Rolin : L’actualité des systèmes d’information hospitaliers et de la e-sante (DSIH)