Barnaby Jack, expert pour l'éditeur de solution de sécurité IO Active, est connu pour son expertise sur les équipements médicaux. Il vient de discourir lors de la conférence Ruxcon Breakpoint à Melbourne en soulignant une faille dans la programmation des émetteurs sans fil utilisés pour envoyer des instructions aux stimulateurs cardiaques et aux défibrillateurs. Ces derniers détectent les contractions cardiaques irrégulières et délivrent un choc électrique pour éviter une crise cardiaque.

Le spécialiste a admis qu'une attaque qui utilisera cette faille « pourrait certainement entraîner la mort de l'utilisateur ». Il a avisé les fabricants du problème, mais n'a pas nommé publiquement les entreprises concernées. Dans une vidéo de démonstration, Barnaby Jack a montré comment il pouvait provoquer depuis un PC portable une décharge de 830 volts sur un pacemaker. Cette intensité a pu être entendue avec un vif pop audible. Il précise que 4,6 millions de stimulateurs et de défibrillateurs ont été vendus entre 2006 et 2011.

Des firmwares très perméables

Dans le passé, la reprogrammation de ces dispositifs se faisait par l'intermédiaire d'une baguette de commande que le médecin passait sur le patient. Mais la tendance aujourd'hui est de passer au sans fil où plusieurs fabricants vendent maintenant des programmeurs sans fil avec une portée de 10 à 15 mètres). En 2006, la FDA (Food and Drug Administration) avait validé l'utilisation de la bande de fréquence de 400 MHz pour ces équipements. En étudiant les émetteurs, le spécialiste a réussi, via une commande spéciale, à obtenir le numéro de série et du modèle. Avec ces informations, il a pu reconfigurer le firmware de l'émetteur, en charge de la reprogrammation des pacemakers et des défibrillateurs.

« Il n'est pas difficile de comprendre pourquoi cette faille peut être meurtrière », ironise-t-il. Il rassure néanmoins la portée de sa découverte : « mon objectif est de les sensibiliser [NDLR : les autorités et les fabricants] à ces attaques potentielles et de les encourager à examiner la sécurité de leur code et pas uniquement se reposer sur les mécanismes traditionnels de sécurité de ces appareils ».

Des dispositifs bien peu protégés

Il a constaté, par ailleurs, que la plupart de ces appareils contenaient des données personnelles comme les noms des patients et celui de leur médecin. Il a également trouvé dans le code des accés potentiel à des serveurs distants utilisés pour développer les logiciels. « Cette implémentation est une erreur à bien des égards et a besoin d'être retravaillée », souligne Barnaby Jack. Pour démontrer cela, il a développé une application, nommée « Electric Feel », avec une interface graphique qui permet à une personne de rechercher un dispositif médical.

Une liste s'affiche et il suffit de choisir celui que l'on souhaite couper ou configurer pour délivrer un choc électrique. De plus, il dit qu'il est possible d'uploader le firmware sur un serveur d'entreprise et ensuite infecté les stimulateurs cardiaques et les défibrillateurs, comme pour la diffusion d'un virus. « Nous parlons potentiellement d'un ver capable de commettre des assassinats en masse » déclare le chercheur. Il précise avec ironie que les implants et les transmetteurs sans fil sont capables d'utiliser des solutions de chiffrement de type AES (Advanced Encryption Standard), mais elles ne sont pas activées. Il a constaté aussi l'existence de backdoor au sein de ces équipements médicaux.