Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Social Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Des défibrillateurs Medtronic comportent plusieurs failles de sécurité

Des défibrillateurs Medtronic comportent plusieurs failles de sécurité

Le 22 mars 2019 à 10h27

La CISA (Cybersecurity and Infrastructure Security Agency), du département américain de la Sécurité intérieure, vient de publier une alerte anxiogène : des défibrillateurs implantables sont vulnérables à plusieurs failles de sécurité.

Selon le bulletin, les modèles connectés Medtronic seraient susceptibles d’être attaqués par des pirates ayant suffisamment de connaissances techniques et se trouvant près des personnes concernées. Selon le Star Tribune, 750 000 de ces appareils seraient concernés.

Les risques potentiels sont évidemment grands, puisque le ou les pirates auraient la main sur le fonctionnement du défibrillateur, pouvant dérégler l’appareil et donc entrainer un vrai danger pour le patient.

D'après Ars Technica, ces vulnérabilités ne sont pas nouvelles. Elles auraient été signalées en janvier 2018 à Medtronic par des chercheurs de Clever Security.

Les problèmes remontés étaient sérieux : pas de chiffrement, pas d’authentification et différentes failles permettant de capter sans problème les informations circulant entre le défibrillateur connecté et les appareils conçus pour en exploiter les données. En plus d’une action directe, il est donc simple de dérober des données médicales.

Medtronic ne s’était pas exprimée l’année dernière, mais le bulletin d’alerte de la CISA, accompagné d’une note de sévérité de 9,3 sur 10, a forcé l’entreprise à communiquer.

Selon le porte-parole Ryan Mathre, le risque est très faible et aucune exploitation de ces failles n’a été notée à ce jour. En outre, il faudrait selon l'entreprise des connaissances techniques particulièrement aiguisées pour détourner un défibrillateur de son rôle.

Pour chaque patient, un pirate devrait connaître le modèle précis implanté, quels changements pourraient réellement entraîner des conséquences, sur quels paramètres agir, les commandes télémétriques pour le faire, si tant est que le modèle permette ce genre de manipulation.

En accord avec la FDA (Food and Drugs Administration), Medtronic recommande donc que les patients et médecins continuent d’utiliser les appareils normalement. La société précisé toutefois qu’elle développe actuellement des mises à jour.

Le 22 mars 2019 à 10h27

Commentaires (42)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



Les problèmes remontés étaient sérieux : pas de chiffrement, pas

d’authentification et différentes failles permettant de capter sans

problème les informations circulant entre le pacemaker connecté et les

appareils conçus pour en exploiter les données.





En 2019, comment on peut encore mettre sur le marché des produits ne chiffrant pas une communication sans fil ?



 



Selon le porte-parole Ryan Mathre, le risque est très faible et aucune

exploitation n’a été de ces failles n’a été notée à ce jour. En outre,

il faudrait selon l’entreprise des connaissances techniques

particulièrement aiguisées pour détourner un pacemaker de son rôle.





“On est invincible tant qu’on est pas attaqué”. Et c’est bien connu, les pirates ne sont pas des gens (très) doués.

Qu’ils aillent manger leurs morts.

 

votre avatar

Homeland Saison 2 ou 3 je ne sais plus.

votre avatar

Je vois les ramsomwares arriver d’ici.

Paye 1 BC ou sinon on arrête ton pacemaker.

 

votre avatar

Ryan Mathre futur candidat à la mairie de Paris ? <img data-src=" />

Tant de mauvaise foi avec un truc risquant d’entrainer une mort prématurée.



Edit : ajout dans le post.

votre avatar

De Mesmaeker Medtronic ?

votre avatar

Ce que j’aime c’est quand même la lecture entre les lignes dans ce genre d’annonces.

En gros, il suffit que la personne soit renseignée et intelligente pour tuer une personne ciblée équipée. Trop dur les conditions dites donc <img data-src=" />

votre avatar

Sont fatigants, tous ces jeunes avec leur bidules connectés è_é

<img data-src=" />

votre avatar

On n’a rien sécurisé. On s’en fou tant qu’il n’y a pas de mort.



J’aime bien le : il faut connaitre exactement les paramètres pour que cela comporte un risque.



Ma réflexion : est-ce que j’ai besoin de savoir comment marche une machine pour la saturer d’information jusqu’à la faire planter ? Les attaques ddos sont de loin les plus facile au dernière nouvelle.



&nbsp;Et vu l’appareil, juste un PC plus puissant suffira à le mettre à genoux. Donc n’importe quelle PC en fait.

Et si le Pacemaker est à genoux, qu’est-ce qu’il se passe ? Hum….

votre avatar







aldwyr a écrit :



Et si le Pacemaker est à genoux, qu’est-ce qu’il se passe ? Hum….





Dans ce cas il faut changer de chirurgien <img data-src=" />


votre avatar







patos a écrit :



Ce que j’aime c’est quand même la lecture entre les lignes dans ce genre d’annonces.

En gros, il suffit que la personne soit renseignée et intelligente pour tuer une personne ciblée équipée. Trop dur les conditions dites donc <img data-src=" />



&nbsp;

On peut tuer n’importe qui très facilement, pas besoin de pacemaker avec faille.

Il ne faut pas confondre&nbsp;films et réalité: en vrai, aucun tueur&nbsp;ne pirate le pace-maker d’un gars, il se contente de lui planter un couteau dans le coeur.&nbsp;


votre avatar

Sauf si ça doit passer pour un accident… (miam les assassinats politiques)

Ou qu’on veut prendre un maximum de précaution pour ne pas être retrouvé <img data-src=" />

&nbsp;

Et va retrouver un tueur qui agit via transmission sans fil sur un pacemaker… pas d’ADN, pas d’identifiants, rien (déjà qu’avec c’est tout sauf simple).

votre avatar

Mourir, est très facile, c’est rester en vie qui est plus dur.<img data-src=" />

votre avatar

Pour ceux qui veulent se forger une opinion sur le sujet, je les invite vivement à regarder le talk de Scott Hanselman, un speaker très influent de chez Microsoft qui a un diabete de type 1 qui l’oblige à porter un appareil de régulation en permanence :&nbsp;https://www.youtube.com/watch?v=USPI253okyg



Comme le dit Faith, la sécurité de ces appareils n’est pas un “vrai” problème, car l’exploitation de ces failles n’est pas réaliste. En revanche, avoir un appareil peu sécurisé peut énormément apporter au confort de l’utilisateur.

&nbsp;

votre avatar

Ca t’en sais rien, le gros avantage de l’attaque au pace maker c’est que ça ne laisse à peu près aucune trace. Un couteau tenu dans tes mains et des traces de sang en plus de ta présence physique, ça oui.

votre avatar







Norde a écrit :



Et va retrouver un tueur qui agit via transmission sans fil sur un pacemaker… pas d’ADN, pas d’identifiants, rien (déjà qu’avec c’est tout sauf simple).









Carpette a écrit :



Ca t’en sais rien, le gros avantage de l’attaque au pace maker c’est que ça ne laisse à peu près aucune trace. Un couteau tenu dans tes mains et des traces de sang en plus de ta présence physique, ça oui.





Vision naïve de la chose, à mon avis.

Dites moi comment vous feriez pour tuer une personne dont vous savez qu’il a un pacemaker ? Allez-vous réussir votre crime sans laisser aucune trace ?

Trouvez déjà le fabricant et le modèle du pacemaker de votre cible sans laisser de trace. Ensuite trouvez les détails de la faille et les moyens de l’exploiter sans laisser de trace. Enfin trouvez votre cible et approchez vous suffisamment de lui pour pirater son appareil…



Vous n’avez laissé aucune trace dans tout ce processus ? Bravo.

Moi j’attends de le croiser dans la rue, lui enfonce un couteau en céramique stérilisé dans le dos et le jette ensuite dans la Seine. Entre vous et moi, je sais qui aura tué sa cible le premier, et je pense savoir qui se fera attraper le premier…


votre avatar

Je ne savais pas que Windows fonctionnait aussi sur ce type d’appareil.

votre avatar

Encore une fois, tu n’en sais rien. Si la personne est un proche ayant accès à des documents, voulant récupérer de l’héritage par exemple, le scénario est certainement bien plus intéressant que de foutre un coup de schlass.



Bref si la technique le permet, ce sera utilisé un jour, n’ait pas de doute.

votre avatar

ha ceux qui ont un pacemaker Medtronicet une police d’assurance : faisez gaffe aux bénéficiaires de la police d’assurance ayant des compétences en informatique, on sait jamais&nbsp;<img data-src=" />

votre avatar







Carpette a écrit :



Si la personne est un proche ayant accès à des documents, voulant récupérer de l’héritage par exemple





Concrètement, explique-moi comment cette personne fait: Google “comment tuer quelqu’un en piratant son pace-maker ?”



Ca demande un niveau de compétence et de capacité de recherche hallucinante. Il y a des centaines de façons de faire plus simple en particulier pour une personne ayant des problèmes cardiaque et qui doit prendre quotidiennement plusieurs traitements dangereux.

Tu es dans le roman ou la série où tout se passe parfaitement: où le tueur a systématiquement la volonté, les connaissances,&nbsp; les compétences et le matériel pour mener à bien son oeuvre.

Dans la réalité, ce genre de scénario n’existe pas. (oui, oui, je sais que “je n’en sais rien”… facile…)


votre avatar







Faith a écrit :



Vision naïve de la chose, à mon avis.



Dites moi comment vous feriez pour tuer une personne dont vous savez

qu’il a un pacemaker ? Allez-vous réussir votre crime sans laisser

aucune trace ?

Trouvez déjà le fabricant et le modèle du

pacemaker de votre cible sans laisser de trace. Ensuite trouvez les

détails de la faille et les moyens de l’exploiter sans laisser de trace.

Enfin trouvez votre cible et approchez vous suffisamment de lui pour

pirater son appareil…





C’est pas comme si on était à l’ère du big data <img data-src=" />

(et ce n’est pas les fuites de données médicales qui manquent)









Faith a écrit :



Moi j’attends de le croiser dans la rue, lui enfonce un couteau en céramique stérilisé dans le dos et le jette ensuite dans la Seine. Entre vous et moi, je sais qui aura tué sa cible le premier, et je pense savoir qui se fera attraper le premier…





En céramique et stérilisé ?

Pour échapper aux portiques de détection et pour ne pas refiler une infection à la victime <img data-src=" /> ?



Mieux vaut une paire de gants, un couteau de cuisine en acier (sauf si tu désire vraiment assassiner quelqu’un à l’aéroport, ce qui est une très mauvaise idée).

Et un bon nettoyage à la javel (couteau, victime, toi, lieu du crime … : cela dénature l’ADN et pour l’instant on ne sait pas se démerder avec de l’ADN dans cet état. Là oui niveau traces ça sera compliqué.

C’est quand même loin d’être trivial.



Reste le problème des multiples erreurs possibles, des éventuels témoins et du mobile qui pourrait permettre de remonter à toi.





Moi je pense plus à des assassinats “professionnels” via pacemaker qu’à des vengeances personnelles.









&nbsp;


votre avatar

Personne n’irait faire une recherche sur internet “comment faire disparaître un corps” peu de temps après l’heure de la mort estimé.

votre avatar







Carpette a écrit :



Encore une fois, tu n’en sais rien. Si la personne est un proche ayant accès à des documents, voulant récupérer de l’héritage par exemple, le scénario est certainement bien plus intéressant que de foutre un coup de schlass.



Bref si la technique le permet, ce sera utilisé un jour, n’ait pas de doute.





C’est vrai que c’est quand même bien se compliquer la vie, surtout que ça ne tient pas, si le pacemaker a été piraté, cela va aussi se détecter lors de l’enquête (il s’est arrêté à telle heure, a reçu tel instruction dans les logs etc.), ça le fait moyen pour un accident.



Donc faudrait aussi le pirater pour supprimer les logs, les traces du piratage et intégrer des logs “bidon” faisant croire à un arrêt naturel…et si arrêt naturel, pourquoi le pacemaker n’a pas fonctionné ? Il faut donc faire croire à une défaillance du Pacemaker, et tout ça si c’est du bluetooh a une distance inférieur à 10-15m de la victime. Bon courage !



Tu as plus vite fait de le balancer par une fenêtre façon “il est tombé” qui pour le coup, pourrait être arrivé par accident.


votre avatar

Non, c’est effectivement difficile pour le premier qui le fera, et puis un jour sur le net, un mec mettra en ligne un POC pour s’amuser et là ce sera fini. Attaquer le wifi était assez fastidieux il y a 15 ans et regarde tous les outils et tuto qui se sont développés aujd.

votre avatar

Encore faut-il trouver pk le PM s’est arrêté. Les états ont déjà un mal fou à trouver l’origine d’attaques diverses et variées alors un pauvre pacemaker avec un fichier de log, à mon avis on va rire.



Après je dis pas que c’est la méthode la plus simple, je dis qu’elle offre ses avantages et qu’elle sera utilisée un jour ou l’autre.

votre avatar







Carpette a écrit :



Encore faut-il trouver pk le PM s’est arrêté. Les états ont déjà un mal fou à trouver l’origine d’attaques diverses et variées alors un pauvre pacemaker avec un fichier de log, à mon avis on va rire.



Après je dis pas que c’est la méthode la plus simple, je dis qu’elle offre ses avantages et qu’elle sera utilisée un jour ou l’autre.





On s’en fou ici de prouver “qui”, on veut juste prouver “comment” (mort naturel ou assassinat).



Si l’objectif est juste de “tuer” (politique, personne gênantes etc.), prend un flingue ça va plus vite.

&nbsp;

Si l’objectif est de “faire croire à un accident”, ça va être très très compliqué avec un pacemaker : Effacer les traces, faire croire à un Pacemaker défaillant, d’autant que rien ne dit que le gars va mourir sans un pacemaker fonctionnel, il peut juste s’évanouir/être mal à l’aise en tachycardie (qu’aurait corrigé le PM si il fonctionnait), partir aux urgences et ressortir avec un nouveau.

&nbsp;

Donc il faudrait “provoquer” la mort avec les instructions du PM, j’imagine en forçant des “choc éléctriques”, tu imagines le gars dans la rue qui va recevoir plusieurs chocs électriques au cœur les témoins de cette mort pour le coup ultra bizarre ?


votre avatar

Tout dépend de ce que fait le piratage. Je pars du principe qu’un piratage tue à plus ou moins court terme.



Si justement, le qui est fondamental dans ma remarque. Les tueurs en général effacent leurs traces. Tu proposes un nouveau moyen de tuer qui laisse peu de trace, ça va en intéresser, forcément, les mafias par exemple.

&nbsp;

Alors après certes tu peux tuer de bien des manières, mon message initialement pointe le fait qu’on a un nouveau moyen pour le faire sans laisser bcp d’indices qui remontent jusqu’à toi.

votre avatar

Toi tu n’a jamais entendu parler de la NSA ou de l’unité 8200 <img data-src=" />

votre avatar

J’ai ri pour le jeu de mots. <img data-src=" /><img data-src=" />

votre avatar

J’attendais ce moment depuis longtemps (et ce n’est pas de l’impatience, plutôt de l’inquiétude évidemment). C’était évident.



Et au vu des réponses de la société en question, j’en déduis que c’est une société de merde totalement dépourvue de bon sens et qui refuse de prendre ses responsabilités, et qui refuse de se former sur des technologies dont elle fait pourtant usage.

votre avatar

En fait ça à l’air assez simple d’obtenir une “mort naturelle” :




  • étape 1 : écouter la com Bluetooth et retrouver la marque de l’appareil à partir du nom (souvent celui par défaut)

  • étape 2 : exécuter les commandes voulues via une appli smartphone développé auparavant (assez simple). Pour les failles, plusieurs pistes : achat sur le deep web, s’entrainer chez soi avec un pacemaker perso…

  • étape 3 : s’éloigner et profiter de l’héritage : pas d’authentification, donc pas de logs –&gt; l’attaquant peut les effacer au besoin

votre avatar







boko99 a écrit :



En fait ça à l’air assez simple d’obtenir une “mort naturelle” :





Il y a plus simple:




  • étape 1 : commettre un meurtre parfait

  • étape 2 : profiter de l’héritage.

    &nbsp;


votre avatar

Un four à micro-ondes reconfiguré devrait suffire pourtant. Pourquoi s’embêter à pirater..

votre avatar

Bah il suffit de faire un upgrade de la personne.



On patch bien des logiciels, il suffit de faire la même chose pour les humain :)



Moi perso, je suis en de tester la version 0.5.2 beta de moi même.

votre avatar

Moi je serais flic j’arrêterais directement de rechercher un coupable si la victime a été tué a distance ou avec un couteau standard sans trace d’ADN, surtout si il s’agit d’une personne dont l’héritage conséquent profiterait a quelqu’un.



(c’est une blague hein <img data-src=" />)

votre avatar

Ce n’est pas parce qu’un peace maker s’arrête que le patient va immédiatement mourir… Tout dépend du trouble du rythme qui nécessite le dispositif.

&nbsp;

A mon sens cette news fait plus “buzz” que “réaliste” dans le scénario catastrophe.



Au pire l’appareil peut se changer (c’est surtout les électrodes qui sont délicates à brancher sur le coeur).

votre avatar

Le titre a été changé (j’ai signalé une erreur), il ne s’agissait pas de pace maker mais de défibrillateurs.



Un coup de défibrillateur à un cœur qui fonctionne correctement, je crois que c’est à éviter.

votre avatar

Les mecs qui font plus confiance à la boîte privée qui vend le device qu’au département américain de la Sécurité intérieure <img data-src=" />

Et qui pensent qu’une chose facilement piratable ne sera pas forcément piraté

Oh les gars il y a des gens qui hackent des tamagotchi: si c’est un truc est hackable, il sera hacké



Ah et pour parler du fond: lol

votre avatar







jackjack2 a écrit :



Oh les gars il y a des gens qui hackent des tamagotchi: si c’est un truc est hackable, il sera hacké





Hacker un Tamagochi fait de toi un geek, hacker un pacemaker fait de toi un meurtrier…

Ca fait toute la différence.


votre avatar

Hacker un pacemaker fait de toi un hackeur de pacemaker pas plus.

C’est le fait d’entraîner la mort qui fait de toi un meurtrier.

&nbsp;

Je ne crois pas que l’équipe qui a trouvé la faille l’a fait avec un pacemaker implanté sur une personne vivante par exemple.<img data-src=" />

votre avatar







j34n-r0x0r a écrit :



Hacker un pacemaker fait de toi un hackeur de pacemaker pas plus.

C’est le fait d’entraîner la mort qui fait de toi un meurtrier.



&nbsp;

Si c’est hacker pour le plaisir de hacker, alors ça ne pose aucun problème, il n’est donc même pas la peine d’en parler.


votre avatar

T’as oublié le smiley.

Personne <img data-src=" /><img data-src=" />

votre avatar

Pour 3 connards, le monde entier est chiffré et en train de chauffer la planète.

Economies vous dites ?

Des défibrillateurs Medtronic comportent plusieurs failles de sécurité

Fermer