Atlantico, c'est qui? c'est quoi ?
Mercredi 15 Août 2018 | Créer un compte | Connexion
Extra

Ces inquiétantes failles qui rendent les pacemakers vulnérables aux hackers.

Deux ans après la publication du rapport de l'entreprise Medsec spécialisée dans la sécurité des appareils médicaux qui alertait sur ces failles, force est de constater que peu de choses ont changé.

Et la santé?

Publié le
Ces inquiétantes failles qui rendent les pacemakers vulnérables aux hackers.

 Crédit JOE RAEDLE / GETTY IMAGES NORTH AMERICA / AFP

Atlantico : Dans une récente revue faite sur 7 pacemakers, des experts en sécurité ont pu identifier 19 vulnérabilités partagés par la plupart des produits. Une de ces vulnérabilités, des composants tiers comptabilisent à eux seuls près de 9000 défauts de sécurité. Comment expliquer une telle vulnérabilité de ces appareils ? Quels sont les risques encourus par leurs porteurs ? Si de tels risques avaient déjà pu être mis en évidence par le passé, comment expliquer encore de telles failles ? 

 

Jean-Paul Pinte : Ainsi défibrillateurs, pompes à insuline et pacemakers ont déjà été l'objet de nombreuses attaques allant jusqu'à prendre le contrôle de ces derniers et leur faire délivrer plusieurs décharges de 830 volts, Dans le  rapport extrêmement détaillé WhiteScope, les chercheurs Billy Rios et Jonathan Butts ont ainsi recensé plus de 8600 vulnérabilités dans les systèmes de 7 pacemakers de 4 fabricants différents ! Le défunt hacker Banarby Jack avait aussi fait la démonstration que les pacemakers de certains fabricants étaient vulnérables à des attaques sans fil et seraient aussi susceptibles d'être détournés pour délivrer des chocs électriques mortels et permettraient donc d'agir directement sur le stimulateur cardiaque. 

Une attaque au moins contre un pacemaker est célèbre.

Celle-ci appartient toutefois à la fiction puisqu'elle se produit dans une série américaine à succès : Homeland.

Dans un dossier consacré au cybercrime et au piratage dans les soins de santé (journal du médecin n°2472), Jean-Pierre Heymans rappelait la facilité avec laquelle aujourd'hui on peut pirater des appareils médicaux notamment implantables. Des chercheurs de la KU Leuven viennent de le démontrer en modifiant les données de pacemakers et de pompes à insuline. Un jeu d'enfant apparemment.L'information parue dans le Tijd  montre que deux chercheurs louvanistes Dave Singelée et Eduard Marin ont réussi à l'aide d'une antenne de fortune à pirater dix appareils médicaux implantables.

A ces vulnérabilités viennent également se greffer de graves lacunes en matière de chiffrement des données mais aussi d'authentification basique.

Les failles concernent principalement la programmation des transmetteurs sans fil. De quoi fournir des instructions aux pacemakers implantés et les contrôler. Une perspective qui induit un danger pour la santé des patients.

Orange précise d'ailleurs sur son site quelques vulnérabilités depuis plusieurs années comme  un attaquant qui peut se connecter sur le port pacemaker_remote de Pacemaker, afin de mener un déni de service ou éventuellement d'exécuter du code.. Le produit Pacemaker disposant d'un service pacemaker_remote (3121/tcp), une connexion sur ce port stoppe la session corosync active.

Quels sont les moyens à disposition permettant de limiter de tels risques ? 

Les pacemakers sont des objets santé connectés constitués de 4 systèmes : l'appareil lui-même, la commande de contrôle à domicile, le programme logiciel et le réseau en ligne". C'est cette complexité qui les rend vulnérables et difficiles à protéger des attaques tout en sachant très bien que rien n'est inattaquable 

 
Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Jean-Paul Pinte

Jean-Paul Pinte est docteur en information scientifique et technique.

Maître de conférences à l'Université Catholique de Lille, il est expert en cybercriminalité.

Voir la bio en entier

Je m'abonne
à partir de 4,90€