Spot Mini, le dernier robot à quatre pattes de Boston Dynamics qui range la vaisselle et apporte des canettes (pratique pour suivre l'Euro 2016).

L'Image du jour

Spot Mini, le dernier robot à quatre pattes de Boston Dynamics qui range la vaisselle et apporte des canettes (pratique pour suivre l'Euro 2016).

French Tech : Effet pschitt ou vrai accélérateur

Dernier Dossier

French Tech : Effet pschitt ou vrai accélérateur

De la French Touch à la French Tech, c'est le message que Bpifrance a souhaité faire passer aux 30 000 visiteurs (startups, entrepreneurs, PME, ETI, g...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Pacemaker hacké : risque de décharge mortelle

Crédit Photo: D.R

Crédit Photo: D.R

Les stimulateurs cardiaques de plusieurs fabricants peuvent être piratés depuis un ordinateur portable et déclencher une décharge mortelle. Le chercheur à l'origine de cette découverte pointe du doigt la faiblesse des logiciels embarqués sur ces dispositifs médicaux.

Barnaby Jack, expert pour l'éditeur de solution de sécurité IO Active, est connu pour son expertise sur les équipements médicaux. Il vient de discourir lors de la conférence Ruxcon Breakpoint à Melbourne en soulignant une faille dans la programmation des émetteurs sans fil utilisés pour envoyer des instructions aux stimulateurs cardiaques et aux défibrillateurs. Ces derniers détectent les contractions cardiaques irrégulières et délivrent un choc électrique pour éviter une crise cardiaque.

Le spécialiste a admis qu'une attaque qui utilisera cette faille « pourrait certainement entraîner la mort de l'utilisateur ». Il a avisé les fabricants du problème, mais n'a pas nommé publiquement les entreprises concernées. Dans une vidéo de démonstration, Barnaby Jack a montré comment il pouvait provoquer depuis un PC portable une décharge de 830 volts sur un pacemaker. Cette intensité a pu être entendue avec un vif pop audible. Il précise que 4,6 millions de stimulateurs et de défibrillateurs ont été vendus entre 2006 et 2011.

Des firmwares très perméables

Dans le passé, la reprogrammation de ces dispositifs se faisait par l'intermédiaire d'une baguette de commande que le médecin passait sur le patient. Mais la tendance aujourd'hui est de passer au sans fil où plusieurs fabricants vendent maintenant des programmeurs sans fil avec une portée de 10 à 15 mètres). En 2006, la FDA (Food and Drug Administration) avait validé l'utilisation de la bande de fréquence de 400 MHz pour ces équipements. En étudiant les émetteurs, le spécialiste a réussi, via une commande spéciale, à obtenir le numéro de série et du modèle. Avec ces informations, il a pu reconfigurer le firmware de l'émetteur, en charge de la reprogrammation des pacemakers et des défibrillateurs.

« Il n'est pas difficile de comprendre pourquoi cette faille peut être meurtrière », ironise-t-il. Il rassure néanmoins la portée de sa découverte : « mon objectif est de les sensibiliser [NDLR : les autorités et les fabricants] à ces attaques potentielles et de les encourager à examiner la sécurité de leur code et pas uniquement se reposer sur les mécanismes traditionnels de sécurité de ces appareils ».

Des dispositifs bien peu protégés

Il a constaté, par ailleurs, que la plupart de ces appareils contenaient des données personnelles comme les noms des patients et celui de leur médecin. Il a également trouvé dans le code des accés potentiel à des serveurs distants utilisés pour développer les logiciels. « Cette implémentation est une erreur à bien des égards et a besoin d'être retravaillée », souligne Barnaby Jack. Pour démontrer cela, il a développé une application, nommée « Electric Feel », avec une interface graphique qui permet à une personne de rechercher un dispositif médical.

Une liste s'affiche et il suffit de choisir celui que l'on souhaite couper ou configurer pour délivrer un choc électrique. De plus, il dit qu'il est possible d'uploader le firmware sur un serveur d'entreprise et ensuite infecté les stimulateurs cardiaques et les défibrillateurs, comme pour la diffusion d'un virus. « Nous parlons potentiellement d'un ver capable de commettre des assassinats en masse » déclare le chercheur. Il précise avec ironie que les implants et les transmetteurs sans fil sont capables d'utiliser des solutions de chiffrement de type AES (Advanced Encryption Standard), mais elles ne sont pas activées. Il a constaté aussi l'existence de backdoor au sein de ces équipements médicaux.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

35 ans
21 Mars 1983 n°94
Publicité
Publicité
Publicité