Un chercheur démontre la simplicité avec laquelle les pacemakers peuvent être piratés et même détournés pour délivrer des impulsions électriques mortelles.

Lors de la conférence Ruxcon Breakpoint à Melbourne, un expert en sécurité chez IOActive du nom de Jack Barnaby a présenté une vidéo dans laquelle il montre comment il prend le contrôle d’un pacemaker. Barnaby est également connu pour ses analyses d’autres équipements médicaux comme ceux qui délivrent de l’insuline aux patients.

Il explique que la faille provient des transmetteurs sans fil utilisés pour envoyer des instructions aux pacemakers et aux DAI (défibrillateur automatique implantable). Car lorsqu’un pacemaker détecte des contractions irrégulières du cœur, il délivre un choc électrique pour empêcher un arrêt cardiaque. Une attaque utilisant cette liaison sans fil peut sans aucun doute entraîner la mort du patient. Dans une démonstration vidéo, Jack a montré comment il a pu provoquer un choc électrique de 830 volts via un pacemaker.

Le transmetteur sans fil remplace la baguette

Entre 2006 et 2011, environ 4,6 millions de pacemakers et DAI ont été vendus aux Etats-Unis uniquement. Auparavant, les pacemakers et DAI étaient reprogrammés par le staff médical qui devait passer une « baguette » à quelques mètres d’un patient. La baguette activait un « bouton » logiciel qui permettait alors au pacemaker d’accepter de nouvelles instructions.

Mais maintenant les entreprises produisant ces équipements médicaux vendent des transmetteurs sans fil pour remplacer la baguette. Ces transmetteurs ont une portée de dix à quinze mètres et transmettent dans les fréquences aux alentours des 400MHz.

En étudiant les transmetteurs Jack Barnaby a réussi à faire en sorte que les pacemakers renvoient leur numéro de série et de modèle lorsqu’il leur adresse une commande sans fil spéciale. Après avoir obtenu les numéros de série et du modèle, il a pu reprogrammer le logiciel du transmetteur pour qu’il autorise la modification du pacemaker (ou d’un DAI) déjà implanté dans le corps d’une personne.

L'accès à des informations personnelles

Il a également trouvé d’autres problèmes dans ces terminaux comme le fait qu’ils contiennent souvent des informations personnelles à propos des patients (leur nom et celui de leur médecin). Il rapporte même la possibilité d’accéder aux serveurs à distance qui ont été utilisés pour le développement du logiciel.

En théorie il serait donc possible d’uploader des malwares dans les serveurs de l’entreprise pour infecter de multiples pacemakers et DAI.

Les équipements médicaux vieillissent et deviennent de plus en plus vulnérables à des attaques. Une nette amélioration de leur sécurité s'impose.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 144333
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI