fuite de dossiers patients pacemaker infiltre dispositif d’accompagnement de cybersécurité Pharmaciens

Pacemaker : plus de 8 600 failles découvertes

Posted On 29 Mai 2017

Tag: défibrilateur, hack, infiltration, Internet of Things, pacemaker, sécurité

Des chercheurs en sécurité ont découvert plus de 8 600 vulnérabilités dans les systèmes de pacemaker et les bibliothèques tierces utilisées pour alimenter les cœurs sous défibrillateur cardiaque.

Plus de 8 600 vulnérabilités et bugs, voilà le chiffre très étonnant annoncé par les chercheurs en sécurité de chez WhiteScope. Des problèmes visant des défibrillateurs cardiaques, mais aussi les logiciels et composants permettant le bon fonctionnement d’un pacemaker. Les chercheurs ont découvert ces défauts dans sept produits différents, appartenant à quatre fabricants différents. Ces problèmes sont détaillés en profondeur dans un rapport que l’équipe vient de publier. La plupart des vulnérabilités se trouvent dans des bibliothèques tierces. Les recherches se sont portées sur des dispositifs implantables radio-contrôlés tels que les stimulateurs cardiaques, les défibrillateurs cardiovasculaires implantables (ICD), les générateurs d’impulsions et la gestion du rythme cardiaque (CRM). Ce que les chercheurs ont constaté : la plupart de ces systèmes de stimulateurs cardiaques fonctionnent sur une architecture similaire qui inclue le périphérique médical implanté, un dispositif de surveillance à domicile, une infrastructure basée sur le cloud qui transmet des données à un médecin et un programmeur de pacemaker, utilisé par les médecins traitant.

Des défauts de conception de base

Les chercheurs se sont rendus compte que les programmeurs de pacemaker, et le stimulateur cardiaque implanté d’une même société ne s’authentifiaient pas mutuellement. Bilan, un pirate qui se rapproche de la victime peut modifier les paramètres de l’implant. Imaginez, être capable de réduire la fréquence de l’appareil. De quoi provoquer un malaise. Un crime « presque » parfait. De même, les programmeurs de pacemaker ne nécessitent pas que les médecins s’authentifient sur le périphérique. Un docteur qui se fait voler le matériel et le drame est à la porté d’un clic de souris criminel. Dernier point que j’ai pu relever dans l’étude, les systèmes de pacemaker stockent des données sur des supports non chiffrés. Bref, pirater le cœur humain ne semble pas simple, mais n’est clairement plus impossible !

Depuis le début des années 2000, les pacemakers font parler de leur manque de sécurité. L’U.S. Department of Health and Human Services et la FDA [Food and Drug administration] ont publié en octobre 2014 un guide dédié aux bonnes pratiques intitulé « Content of Premarket Submissions for Management of Cybersecurity in Medical Devices ». En 2008, des chercheurs expliquaient au New York Times comment il leur avait été possible de manipuler du matériel médical. L’expérience avait cependant exigé plus de 30 000 $ de matériel de laboratoire et plusieurs équipes de spécialistes des Universités de Washington et du Massachusetts pour interpréter les données recueillies à partir des signaux de l’implant « hacké ». En 2012, un chercheur de chez IOActive, Jack Barnaby, avait démontré comment il était possible de délivrer un choc mortel [830 volts] via la prise de contrôle d’un logiciel de gestion qui gérait, à l’époque, 4,6 millions de stimulateurs cardiaques dans le monde.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.