En direct
Best of
Best of du 11 au 17 janvier
En direct
Flash-actu
Articles populaires
Période :
24 heures
7 jours
01.

Quand les députés votent pour grignoter discrètement le droit de propriété en France

02.

Mais pourquoi les pêcheurs chinois découvrent-ils autant de petits sous-marins espions dans leurs filets ?

03.

Les taux d’intérêt vont rester durablement très bas ... mais au profit de qui ?

04.

L’arme à 3 coups qui pourrait porter Ségolène Royal vers 2022

05.

« Plus c’est jeune, moins cela veut travailler, plus c’est vieux plus cela veut toucher » !! Analyse d’une France non entrepreneuriale, celle de la rente

06.

Betelgeuse superstar : voilà pourquoi nous pourrions bientôt voir apparaître une supernova dans notre ciel

07.

Macron prépare un plan contre l'islamisme! Et il sera prêt - pure coïncidence? - avant les municipales

01.

Succès du lait d’amande : les abeilles ne disent pas merci aux bobos bio

02.

Quand certains médicaments changent drastiquement nos personnalités dans l’indifférence totale de l’industrie pharmaceutique et des autorités sanitaires

03.

Mais pourquoi les pêcheurs chinois découvrent-ils autant de petits sous-marins espions dans leurs filets ?

04.

L’arme à 3 coups qui pourrait porter Ségolène Royal vers 2022

05.

Chine : un virus mystérieux inquiète les autorités chinoises. Et désormais l'OMS

06.

Quand les députés votent pour grignoter discrètement le droit de propriété en France

01.

Ce boulevard qui devrait s’ouvrir au RN… mais ne s’ouvre pas tant que ça

02.

Ce duel nationaux/mondialistes auquel s’accrochent Marine Le Pen et Emmanuel Macron alors qu’il n’intéresse pas vraiment les Français

03.

Jeanne Balibar (« Les Misérables ») veut qu'on enseigne les mathématiques en arabe !

04.

L’arme à 3 coups qui pourrait porter Ségolène Royal vers 2022

05.

Quand certains médicaments changent drastiquement nos personnalités dans l’indifférence totale de l’industrie pharmaceutique et des autorités sanitaires

06.

Attention danger ? Ce risque de violence qui émerge lorsque l’alternance dans une démocratie paraît bloquée

ça vient d'être publié
décryptage > Culture
Atlanti culture

Eva, une aventure de Lorenzo Falco d' Arturo Pérez-Reverte: un second chapitre des aventures de Falco, qui rachète le premier !

il y a 4 heures 30 min
pépite vidéo > People
L'adieu du Prince
Harry l'affirme: il n'avait "pas le choix" que de partir
il y a 5 heures 36 min
décryptage > Economie
LES ENTREPRENEURS PARLENT AUX FRANÇAIS

« Plus c’est jeune, moins cela veut travailler, plus c’est vieux plus cela veut toucher » !! Analyse d’une France non entrepreneuriale, celle de la rente

il y a 6 heures 35 min
décryptage > Politique
Cachoteries parlementaires

Quand les députés votent pour grignoter discrètement le droit de propriété en France

il y a 11 heures 30 min
décryptage > Religion
Les imams comme les curés?

Macron prépare un plan contre l'islamisme! Et il sera prêt - pure coïncidence? - avant les municipales

il y a 12 heures 1 min
décryptage > Economie
Bismarko Scanner

La France devrait-elle négocier avec l’Allemagne comme les Etats-Unis viennent de le faire avec la Chine?

il y a 12 heures 10 min
décryptage > Santé
Sans (aucun) risque ?

Retrait de médicaments : pourquoi la France ne devrait pas avoir peur de vivre une épidémie d'addiction aux opioïdes à l’américaine

il y a 16 heures 33 min
décryptage > Atlantico business
Atlantico-Business

Les taux d’intérêt vont rester durablement très bas ... mais au profit de qui ?

il y a 17 heures 10 min
décryptage > Société
Multi-facettes

Politique, sociale ou purement criminelle, la violence s’impose partout en France. Est-il encore possible d’échapper à la spirale infernale ?

il y a 17 heures 32 min
light > Politique
Une nouvelle vie
Royaume-Uni : le prince Harry et son épouse Meghan Markle renoncent à leur titre d'altesse royale
il y a 1 jour 6 heures
décryptage > Culture
Atlantic-culture

"Où bat le cœur du monde" de Philippe Hayat: Quand le jazz fait parler les muets, un roman intense, rythmé, syncopé...

il y a 4 heures 57 min
pépites > Social
Enfants en danger
Les nouvelles failles de l'Aide sociale à l'enfance
il y a 6 heures 5 min
pépites > Environnement
Total à la porte du campus
L'implantation de Total sur le campus de Polytechnique contestée au nom de l'environnement
il y a 7 heures 15 min
décryptage > Santé
La vérité (et le problème) sont ailleurs

Pourquoi les hôpitaux ont moins de problèmes de moyens qu’on le croit

il y a 11 heures 51 min
décryptage > Economie
Erreur de calcul ?

Age pivot, travail des séniors…et si l'essentiel pour l’équilibre des retraitées était ailleurs ?

il y a 12 heures 6 min
rendez-vous > High-tech
La minute tech
Petit guide des multiples moyens employés par Facebook pour vous traquer en ligne
il y a 16 heures 20 min
décryptage > Science
Evolution stellaire

Betelgeuse superstar : voilà pourquoi nous pourrions bientôt voir apparaître une supernova dans notre ciel

il y a 17 heures 2 min
décryptage > Economie
Âge d'or

Voilà pourquoi l’âge d’or qu’ont représenté les années 2010 pour les riches ne devrait pas se poursuivre dans la décennie qui vient de s’ouvrir

il y a 17 heures 15 min
pépites > Politique
A torts ou à raison ?
Violences policières : Sibeth Ndiaye défend les forces de l'ordre
il y a 1 jour 4 heures
pépites > Politique
"10, 9, 8... boum"
Donald Trump raconte l'élimination du général Qassem Soleimani par les forces américaines
il y a 1 jour 7 heures
© JOE RAEDLE / GETTY IMAGES NORTH AMERICA / AFP
© JOE RAEDLE / GETTY IMAGES NORTH AMERICA / AFP
Et la santé?

Ces inquiétantes failles qui rendent les pacemakers vulnérables aux hackers.

Publié le 12 août 2018
Deux ans après la publication du rapport de l'entreprise Medsec spécialisée dans la sécurité des appareils médicaux qui alertait sur ces failles, force est de constater que peu de choses ont changé.
Jean-Paul Pinte est docteur en information scientifique et technique.Maître de conférences à l'Université Catholique de Lille, il est expert en cybercriminalité.
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Jean-Paul Pinte
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Jean-Paul Pinte est docteur en information scientifique et technique.Maître de conférences à l'Université Catholique de Lille, il est expert en cybercriminalité.
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Deux ans après la publication du rapport de l'entreprise Medsec spécialisée dans la sécurité des appareils médicaux qui alertait sur ces failles, force est de constater que peu de choses ont changé.

Atlantico : Dans une récente revue faite sur 7 pacemakers, des experts en sécurité ont pu identifier 19 vulnérabilités partagés par la plupart des produits. Une de ces vulnérabilités, des composants tiers comptabilisent à eux seuls près de 9000 défauts de sécurité. Comment expliquer une telle vulnérabilité de ces appareils ? Quels sont les risques encourus par leurs porteurs ? Si de tels risques avaient déjà pu être mis en évidence par le passé, comment expliquer encore de telles failles ? 

 

Jean-Paul Pinte : Ainsi défibrillateurs, pompes à insuline et pacemakers ont déjà été l'objet de nombreuses attaques allant jusqu'à prendre le contrôle de ces derniers et leur faire délivrer plusieurs décharges de 830 volts, Dans le  rapport extrêmement détaillé WhiteScope, les chercheurs Billy Rios et Jonathan Butts ont ainsi recensé plus de 8600 vulnérabilités dans les systèmes de 7 pacemakers de 4 fabricants différents ! Le défunt hacker Banarby Jack avait aussi fait la démonstration que les pacemakers de certains fabricants étaient vulnérables à des attaques sans fil et seraient aussi susceptibles d'être détournés pour délivrer des chocs électriques mortels et permettraient donc d'agir directement sur le stimulateur cardiaque. 

Une attaque au moins contre un pacemaker est célèbre. Celle-ci appartient toutefois à la fiction puisqu'elle se produit dans une série américaine à succès : Homeland.

Dans un dossier consacré au cybercrime et au piratage dans les soins de santé (journal du médecin n°2472), Jean-Pierre Heymans rappelait la facilité avec laquelle aujourd'hui on peut pirater des appareils médicaux notamment implantables. Des chercheurs de la KU Leuven viennent de le démontrer en modifiant les données de pacemakers et de pompes à insuline. Un jeu d'enfant apparemment.L'information parue dans le Tijd  montre que deux chercheurs louvanistes Dave Singelée et Eduard Marin ont réussi à l'aide d'une antenne de fortune à pirater dix appareils médicaux implantables.

A ces vulnérabilités viennent également se greffer de graves lacunes en matière de chiffrement des données mais aussi d'authentification basique.

Les failles concernent principalement la programmation des transmetteurs sans fil. De quoi fournir des instructions aux pacemakers implantés et les contrôler. Une perspective qui induit un danger pour la santé des patients.

Orange précise d'ailleurs sur son site quelques vulnérabilités depuis plusieurs années comme  un attaquant qui peut se connecter sur le port pacemaker_remote de Pacemaker, afin de mener un déni de service ou éventuellement d'exécuter du code.. Le produit Pacemaker disposant d'un service pacemaker_remote (3121/tcp), une connexion sur ce port stoppe la session corosync active.

Quels sont les moyens à disposition permettant de limiter de tels risques ? 

Les pacemakers sont des objets santé connectés constitués de 4 systèmes : l'appareil lui-même, la commande de contrôle à domicile, le programme logiciel et le réseau en ligne". C'est cette complexité qui les rend vulnérables et difficiles à protéger des attaques tout en sachant très bien que rien n'est inattaquable 

Selon un article de SLATE, le pire des scénarii à envisager pour les patients serait celui d’une mort induite par le sabotage à distance de leur appareillage médical. Afin de répondre à cette menace, le Massachusetts Insitute of Technology (MIT) et l’université de Massachusetts-Amherst (Umass) ont développé il y a plus de cinq ans un système de protection fonctionnant comme un bouclier invisible. Il s’agit d'équiper le patient d'un transmetteur chargé de brouiller les signaux non-autorisés envoyés à l’appareil.

Les ingénieurs avaient  déjà envisagé à l'époque envisagent de miniaturiser le concept pour qu’il puisse être porté autour du cou ou en bracelet. L’un des avantages de ce système c’est qu’il peut être utilisé pour protéger les appareils déjà implantés.

La meilleure façon de lutter contre ces menaces serait, et ce n'est pas simple, que les fabricants considèrent la cybersécurité tout au long du cycle de vie d'un produit. En d'autres termes, les fabricants devraient construire des contrôles de cybersécurité lors de la conception et du développement de l'appareil afin d'assurer une performance correcte des appareils face aux menaces cybernétiques. 

En octobre 2014, la FDA américaine a publié un petit guide interne relatif à la cybersécurité des équipements médicaux et, en France, la Haute Autorité de Santé (HAS) est allée plus loin en publiant un guide de 101 bonnes pratiques afin de concevoir des objets connectés médicaux plus sûrs.

Dans un article dédié à la sécurité du matériel de santé  on peut  lire quelques conseils pour les centres médicaux :

  - Renforcer les mesures de sécurité, en maintenant leurs systèmes d’exploitation et leurs logiciels de sécurité à jour. 

  - Surveiller leurs politiques BYOD (« Bring your own device ») dans les hôpitaux et les services de numéros d’urgence pour empêcher les brèches de données. 

  - D’utiliser un chiffrement fort pour toutes les communications via des services VPN puisqu’il suffit de quelques dollars pour pirater les réseaux privés virtuels basiques. 

  - De corriger les failles courantes de Windows pouvant conduire au piratage  des appareils médicaux, la plupart d’entre eux fonctionnant sous  Windows.   

- De maintenir tous les réseaux Wifi à l’extérieur du réseau principal, car le piratage Wifi est accessible à tous en téléchargeant simplement un outil sur Internet. 

  - De placer des systèmes de détection d’intrusion absolument partout et de recevoir des alertes lors de tentatives d’accès au réseau ou à un appareil médical.

Selon le rapport publié par Ponemon Institute, 80% des fabricants américains de pacemakers déclarent que ces dispositifs sont « difficiles à sécuriser ». Le motif invoqué est que les ressources disponibles sur ces plateformes sont réduites et ne permettent pas d’implémenter efficacement des mesures de sécurité.

A ce jour, seuls 17% des fabricants ont engagé un processus de sécurisation de leurs dispositifs.

La nature même d'un pacemaker, un émetteur d'information pour des médecins,  ne rend pas elle pas inutile toute tentative de sécurisation maximale ? ZLes modes d'ingénierie sociale ou modes opératoires des cyberdélinquants autour des matériels de santé et en particulier des pacemakers iront en évoluant et en innovant mais ils ne doivent pas faire oublier aussi les logiciels et composants qui assurent leur fonctionnement. 

Il est donc difficile même avec une veille opérationnelle et assidue de ces environnements de pouvoir imaginer une sécurisation maximale.

Pour la plupart des chercheurs, la conclusion est que les fabricants devront de plus en plus effectuer une évaluation approfondie du contrôle de sécurité mise en place pour assurer le bon fonctionnement des stimulateurs cardiaques.

Il faudra de plus en plus privilégier une approche « Security By Design » chez les développeurs et fabricants de matériels de santé connectés s l'on veut espérer tendre vers cette sécurisation maximale. Aujourd'hui trop d'implants médicaux intègrent des dispositifs de communication sans fil, qui permettent d’obtenir des mises à jour du matériel, ou des diagnostics de fonctionnement. Il apparaît malheureusement que ces liaisons sont non-cryptées, c’est à dire utilisables à distance, sans la moindre restriction d’accès. La tâche reste immense d'autant qu'il faudra aussi penser autrement les canaux de communication entre professionnels de santé et implants médicaux électroniques.

La seule alternative serait par conséquent de sécuriser ces communications invisibles, par le biais de solutions de cryptage comme le chiffrement. Un article du site Panoptinet nous rappelle ainsi pour l’heure que le principal écueil réside dans le fait que des solutions de cryptage consommeraient beaucoup trop de ressources : un fonctionnement incompatible avec les capacités des batteries (piles) actuelles.

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.

Quand les députés votent pour grignoter discrètement le droit de propriété en France

02.

Mais pourquoi les pêcheurs chinois découvrent-ils autant de petits sous-marins espions dans leurs filets ?

03.

Les taux d’intérêt vont rester durablement très bas ... mais au profit de qui ?

04.

L’arme à 3 coups qui pourrait porter Ségolène Royal vers 2022

05.

« Plus c’est jeune, moins cela veut travailler, plus c’est vieux plus cela veut toucher » !! Analyse d’une France non entrepreneuriale, celle de la rente

06.

Betelgeuse superstar : voilà pourquoi nous pourrions bientôt voir apparaître une supernova dans notre ciel

07.

Macron prépare un plan contre l'islamisme! Et il sera prêt - pure coïncidence? - avant les municipales

01.

Succès du lait d’amande : les abeilles ne disent pas merci aux bobos bio

02.

Quand certains médicaments changent drastiquement nos personnalités dans l’indifférence totale de l’industrie pharmaceutique et des autorités sanitaires

03.

Mais pourquoi les pêcheurs chinois découvrent-ils autant de petits sous-marins espions dans leurs filets ?

04.

L’arme à 3 coups qui pourrait porter Ségolène Royal vers 2022

05.

Chine : un virus mystérieux inquiète les autorités chinoises. Et désormais l'OMS

06.

Quand les députés votent pour grignoter discrètement le droit de propriété en France

01.

Ce boulevard qui devrait s’ouvrir au RN… mais ne s’ouvre pas tant que ça

02.

Ce duel nationaux/mondialistes auquel s’accrochent Marine Le Pen et Emmanuel Macron alors qu’il n’intéresse pas vraiment les Français

03.

Jeanne Balibar (« Les Misérables ») veut qu'on enseigne les mathématiques en arabe !

04.

L’arme à 3 coups qui pourrait porter Ségolène Royal vers 2022

05.

Quand certains médicaments changent drastiquement nos personnalités dans l’indifférence totale de l’industrie pharmaceutique et des autorités sanitaires

06.

Attention danger ? Ce risque de violence qui émerge lorsque l’alternance dans une démocratie paraît bloquée

Commentaires (0)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
Pas d'autres commentaires