Alertes (pour les) cardiaques : les pacemakers présenteraient de très nombreuses failles vulnérables aux hackers

Dans une récente revue faite sur 7 pacemakers, des experts en sécurité ont pu identifier 19 vulnérabilités partagés par la plupart des produits. Une de ces vulnérabilités, des composants tiers comptabilisent à eux seuls près de 9000 défauts de sécurité. Comment expliquer une telle vulnérabilité de ces appareils ? Quels sont les risques encourus par leurs porteurs ? Si de tels risques avaient déjà pu être mis en évidence par le passé, comment expliquer encore de telles failles ? 

Jean-Paul Pinte : Ainsi défibrillateurs, pompes à insuline et pacemakers ont déjà été l'objet de nombreuses attaques allant jusqu'à prendre le contrôle de ces derniers et leur faire délivrer plusieurs décharges de 830 volts, Dans le  rapport extrêmement détaillé WhiteScope, les chercheurs Billy Rios et Jonathan Butts ont ainsi recensé plus de 8600 vulnérabilités dans les systèmes de 7 pacemakers de 4 fabricants différents ! Le défunt hacker Banarby Jack avait aussi fait la démonstration que les pacemakers de certains fabricants étaient vulnérables à des attaques sans fil et seraient aussi susceptibles d'être détournés pour délivrer des chocs électriques mortels et permettraient donc d'agir directement sur le stimulateur cardiaque. 

Une attaque au moins contre un pacemaker est célèbre. Celle-ci appartient toutefois à la fiction puisqu'elle se produit dans une série américaine à succès : Homeland.

Dans un dossier consacré au cybercrime et au piratage dans les soins de santé (journal du médecin n°2472), Jean-Pierre Heymans rappelait la facilité avec laquelle aujourd'hui on peut pirater des appareils médicaux notamment implantables. Des chercheurs de la KU Leuven viennent de le démontrer en modifiant les données de pacemakers et de pompes à insuline. Un jeu d'enfant apparemment.L'information parue dans le Tijd  montre que deux chercheurs louvanistes Dave Singelée et Eduard Marin ont réussi à l'aide d'une antenne de fortune à pirater dix appareils médicaux implantables.

A ces vulnérabilités viennent également se greffer de graves lacunes en matière de chiffrement des données mais aussi d'authentification basique.

Les failles concernent principalement la programmation des transmetteurs sans fil. De quoi fournir des instructions aux pacemakers implantés et les contrôler. Une perspective qui induit un danger pour la santé des patients.

Orange précise d'ailleurs sur son site quelques vulnérabilités depuis plusieurs années comme  un attaquant qui peut se connecter sur le port pacemaker_remote de Pacemaker, afin de mener un déni de service ou éventuellement d'exécuter du code.. Le produit Pacemaker disposant d'un service pacemaker_remote (3121/tcp), une connexion sur ce port stoppe la session corosync active.

Quels sont les moyens à disposition permettant de limiter de tels risques ? 

Les pacemakers sont des objets santé connectés constitués de 4 systèmes : l'appareil lui-même, la commande de contrôle à domicile, le programme logiciel et le réseau en ligne". C'est cette complexité qui les rend vulnérables et difficiles à protéger des attaques tout en sachant très bien que rien n'est inattaquable 

Selon un article de SLATE, le pire des scénarii à envisager pour les patients serait celui d’une mort induite par le sabotage à distance de leur appareillage médical. Afin de répondre à cette menace, le Massachusetts Insitute of Technology (MIT) et l’université de Massachusetts-Amherst (Umass) ont développé il y a plus de cinq ans un système de protection fonctionnant comme un bouclier invisible. Il s’agit d'équiper le patient d'un transmetteur chargé de brouiller les signaux non-autorisés envoyés à l’appareil.

Les ingénieurs avaient  déjà envisagé à l'époque envisagent de miniaturiser le concept pour qu’il puisse être porté autour du cou ou en bracelet. L’un des avantages de ce système c’est qu’il peut être utilisé pour protéger les appareils déjà implantés.

La meilleure façon de lutter contre ces menaces serait, et ce n'est pas simple, que les fabricants considèrent la cybersécurité tout au long du cycle de vie d'un produit. En d'autres termes, les fabricants devraient construire des contrôles de cybersécurité lors de la conception et du développement de l'appareil afin d'assurer une performance correcte des appareils face aux menaces cybernétiques. 

En octobre 2014, la FDA américaine a publié un petit guide interne relatif à la cybersécurité des équipements médicaux et, en France, la Haute Autorité de Santé (HAS) est allée plus loin en publiant un guide de 101 bonnes pratiques afin de concevoir des objets connectés médicaux plus sûrs.

Dans un article dédié à la sécurité du matériel de santé  on peut  lire quelques conseils pour les centres médicaux :

  - Renforcer les mesures de sécurité, en maintenant leurs systèmes d’exploitation et leurs logiciels de sécurité à jour. 

  - Surveiller leurs politiques BYOD (« Bring your own device ») dans les hôpitaux et les services de numéros d’urgence pour empêcher les brèches de données. 

  - D’utiliser un chiffrement fort pour toutes les communications via des services VPN puisqu’il suffit de quelques dollars pour pirater les réseaux privés virtuels basiques. 

  - De corriger les failles courantes de Windows pouvant conduire au piratage  des appareils médicaux, la plupart d’entre eux fonctionnant sous  Windows.   

- De maintenir tous les réseaux Wifi à l’extérieur du réseau principal, car le piratage Wifi est accessible à tous en téléchargeant simplement un outil sur Internet. 

  - De placer des systèmes de détection d’intrusion absolument partout et de recevoir des alertes lors de tentatives d’accès au réseau ou à un appareil médical.

Selon le rapport publié par Ponemon Institute, 80% des fabricants américains de pacemakers déclarent que ces dispositifs sont « difficiles à sécuriser ». Le motif invoqué est que les ressources disponibles sur ces plateformes sont réduites et ne permettent pas d’implémenter efficacement des mesures de sécurité.

A ce jour, seuls 17% des fabricants ont engagé un processus de sécurisation de leurs dispositifs.

La nature même d'un pacemaker, un émetteur d'information pour des médecins,  ne rend pas elle pas inutile toute tentative de sécurisation maximale ? ZLes modes d'ingénierie sociale ou modes opératoires des cyberdélinquants autour des matériels de santé et en particulier des pacemakers iront en évoluant et en innovant mais ils ne doivent pas faire oublier aussi les logiciels et composants qui assurent leur fonctionnement. 

Il est donc difficile même avec une veille opérationnelle et assidue de ces environnements de pouvoir imaginer une sécurisation maximale.

Pour la plupart des chercheurs, la conclusion est que les fabricants devront de plus en plus effectuer une évaluation approfondie du contrôle de sécurité mise en place pour assurer le bon fonctionnement des stimulateurs cardiaques.

Il faudra de plus en plus privilégier une approche « Security By Design » chez les développeurs et fabricants de matériels de santé connectés s l'on veut espérer tendre vers cette sécurisation maximale. Aujourd'hui trop d'implants médicaux intègrent des dispositifs de communication sans fil, qui permettent d’obtenir des mises à jour du matériel, ou des diagnostics de fonctionnement. Il apparaît malheureusement que ces liaisons sont non-cryptées, c’est à dire utilisables à distance, sans la moindre restriction d’accès. La tâche reste immense d'autant qu'il faudra aussi penser autrement les canaux de communication entre professionnels de santé et implants médicaux électroniques.

La seule alternative serait par conséquent de sécuriser ces communications invisibles, par le biais de solutions de cryptage comme le chiffrement. Un article du site Panoptinet nous rappelle ainsi pour l’heure que le principal écueil réside dans le fait que des solutions de cryptage consommeraient beaucoup trop de ressources : un fonctionnement incompatible avec les capacités des batteries (piles) actuelles.