La CISA (Cybersecurity and Infrastructure Security Agency), du département américain de la Sécurité intérieure, vient de publier une alerte anxiogène : des défibrillateurs implantables sont vulnérables à plusieurs failles de sécurité.
Selon le bulletin, les modèles connectés Medtronic seraient susceptibles d’être attaqués par des pirates ayant suffisamment de connaissances techniques et se trouvant près des personnes concernées. Selon le Star Tribune, 750 000 de ces appareils seraient concernés.
Les risques potentiels sont évidemment grands, puisque le ou les pirates auraient la main sur le fonctionnement du défibrillateur, pouvant dérégler l’appareil et donc entrainer un vrai danger pour le patient.
D'après Ars Technica, ces vulnérabilités ne sont pas nouvelles. Elles auraient été signalées en janvier 2018 à Medtronic par des chercheurs de Clever Security.
Les problèmes remontés étaient sérieux : pas de chiffrement, pas d’authentification et différentes failles permettant de capter sans problème les informations circulant entre le défibrillateur connecté et les appareils conçus pour en exploiter les données. En plus d’une action directe, il est donc simple de dérober des données médicales.
Medtronic ne s’était pas exprimée l’année dernière, mais le bulletin d’alerte de la CISA, accompagné d’une note de sévérité de 9,3 sur 10, a forcé l’entreprise à communiquer.
Selon le porte-parole Ryan Mathre, le risque est très faible et aucune exploitation de ces failles n’a été notée à ce jour. En outre, il faudrait selon l'entreprise des connaissances techniques particulièrement aiguisées pour détourner un défibrillateur de son rôle.
Pour chaque patient, un pirate devrait connaître le modèle précis implanté, quels changements pourraient réellement entraîner des conséquences, sur quels paramètres agir, les commandes télémétriques pour le faire, si tant est que le modèle permette ce genre de manipulation.
En accord avec la FDA (Food and Drugs Administration), Medtronic recommande donc que les patients et médecins continuent d’utiliser les appareils normalement. La société précisé toutefois qu’elle développe actuellement des mises à jour.
Commentaires (42)
#1
Les problèmes remontés étaient sérieux : pas de chiffrement, pas
d’authentification et différentes failles permettant de capter sans
problème les informations circulant entre le pacemaker connecté et les
appareils conçus pour en exploiter les données.
En 2019, comment on peut encore mettre sur le marché des produits ne chiffrant pas une communication sans fil ?
Selon le porte-parole Ryan Mathre, le risque est très faible et aucune
exploitation n’a été de ces failles n’a été notée à ce jour. En outre,
il faudrait selon l’entreprise des connaissances techniques
particulièrement aiguisées pour détourner un pacemaker de son rôle.
“On est invincible tant qu’on est pas attaqué”. Et c’est bien connu, les pirates ne sont pas des gens (très) doués.
Qu’ils aillent manger leurs morts.
#2
Homeland Saison 2 ou 3 je ne sais plus.
#3
Je vois les ramsomwares arriver d’ici.
Paye 1 BC ou sinon on arrête ton pacemaker.
#4
Ryan Mathre futur candidat à la mairie de Paris ?
" />
Tant de mauvaise foi avec un truc risquant d’entrainer une mort prématurée.
Edit : ajout dans le post.
#5
De Mesmaeker Medtronic ?
#6
Ce que j’aime c’est quand même la lecture entre les lignes dans ce genre d’annonces.
" />
En gros, il suffit que la personne soit renseignée et intelligente pour tuer une personne ciblée équipée. Trop dur les conditions dites donc
#7
Sont fatigants, tous ces jeunes avec leur bidules connectés è_é
" />
#8
On n’a rien sécurisé. On s’en fou tant qu’il n’y a pas de mort.
J’aime bien le : il faut connaitre exactement les paramètres pour que cela comporte un risque.
Ma réflexion : est-ce que j’ai besoin de savoir comment marche une machine pour la saturer d’information jusqu’à la faire planter ? Les attaques ddos sont de loin les plus facile au dernière nouvelle.
Et vu l’appareil, juste un PC plus puissant suffira à le mettre à genoux. Donc n’importe quelle PC en fait.
Et si le Pacemaker est à genoux, qu’est-ce qu’il se passe ? Hum….
#9
#10
#11
Sauf si ça doit passer pour un accident… (miam les assassinats politiques)
" />
Ou qu’on veut prendre un maximum de précaution pour ne pas être retrouvé
Et va retrouver un tueur qui agit via transmission sans fil sur un pacemaker… pas d’ADN, pas d’identifiants, rien (déjà qu’avec c’est tout sauf simple).
#12
Mourir, est très facile, c’est rester en vie qui est plus dur.
" />
#13
Pour ceux qui veulent se forger une opinion sur le sujet, je les invite vivement à regarder le talk de Scott Hanselman, un speaker très influent de chez Microsoft qui a un diabete de type 1 qui l’oblige à porter un appareil de régulation en permanence : https://www.youtube.com/watch?v=USPI253okyg
Comme le dit Faith, la sécurité de ces appareils n’est pas un “vrai” problème, car l’exploitation de ces failles n’est pas réaliste. En revanche, avoir un appareil peu sécurisé peut énormément apporter au confort de l’utilisateur.
#14
Ca t’en sais rien, le gros avantage de l’attaque au pace maker c’est que ça ne laisse à peu près aucune trace. Un couteau tenu dans tes mains et des traces de sang en plus de ta présence physique, ça oui.
#15
#16
Je ne savais pas que Windows fonctionnait aussi sur ce type d’appareil.
#17
Encore une fois, tu n’en sais rien. Si la personne est un proche ayant accès à des documents, voulant récupérer de l’héritage par exemple, le scénario est certainement bien plus intéressant que de foutre un coup de schlass.
Bref si la technique le permet, ce sera utilisé un jour, n’ait pas de doute.
#18
ha ceux qui ont un pacemaker Medtronicet une police d’assurance : faisez gaffe aux bénéficiaires de la police d’assurance ayant des compétences en informatique, on sait jamais 
" />
#19
#20
#21
Personne n’irait faire une recherche sur internet “comment faire disparaître un corps” peu de temps après l’heure de la mort estimé.
#22
#23
Non, c’est effectivement difficile pour le premier qui le fera, et puis un jour sur le net, un mec mettra en ligne un POC pour s’amuser et là ce sera fini. Attaquer le wifi était assez fastidieux il y a 15 ans et regarde tous les outils et tuto qui se sont développés aujd.
#24
Encore faut-il trouver pk le PM s’est arrêté. Les états ont déjà un mal fou à trouver l’origine d’attaques diverses et variées alors un pauvre pacemaker avec un fichier de log, à mon avis on va rire.
Après je dis pas que c’est la méthode la plus simple, je dis qu’elle offre ses avantages et qu’elle sera utilisée un jour ou l’autre.
#25
#26
Tout dépend de ce que fait le piratage. Je pars du principe qu’un piratage tue à plus ou moins court terme.
Si justement, le qui est fondamental dans ma remarque. Les tueurs en général effacent leurs traces. Tu proposes un nouveau moyen de tuer qui laisse peu de trace, ça va en intéresser, forcément, les mafias par exemple.
Alors après certes tu peux tuer de bien des manières, mon message initialement pointe le fait qu’on a un nouveau moyen pour le faire sans laisser bcp d’indices qui remontent jusqu’à toi.
#27
Toi tu n’a jamais entendu parler de la NSA ou de l’unité 8200
" />
#28
J’ai ri pour le jeu de mots.
" />
" />
#29
J’attendais ce moment depuis longtemps (et ce n’est pas de l’impatience, plutôt de l’inquiétude évidemment). C’était évident.
Et au vu des réponses de la société en question, j’en déduis que c’est une société de merde totalement dépourvue de bon sens et qui refuse de prendre ses responsabilités, et qui refuse de se former sur des technologies dont elle fait pourtant usage.
#30
En fait ça à l’air assez simple d’obtenir une “mort naturelle” :
#31
#32
Un four à micro-ondes reconfiguré devrait suffire pourtant. Pourquoi s’embêter à pirater..
#33
Bah il suffit de faire un upgrade de la personne.
On patch bien des logiciels, il suffit de faire la même chose pour les humain :)
Moi perso, je suis en de tester la version 0.5.2 beta de moi même.
#34
Moi je serais flic j’arrêterais directement de rechercher un coupable si la victime a été tué a distance ou avec un couteau standard sans trace d’ADN, surtout si il s’agit d’une personne dont l’héritage conséquent profiterait a quelqu’un.
" />)
(c’est une blague hein
#35
Ce n’est pas parce qu’un peace maker s’arrête que le patient va immédiatement mourir… Tout dépend du trouble du rythme qui nécessite le dispositif.
A mon sens cette news fait plus “buzz” que “réaliste” dans le scénario catastrophe.
Au pire l’appareil peut se changer (c’est surtout les électrodes qui sont délicates à brancher sur le coeur).
#36
Le titre a été changé (j’ai signalé une erreur), il ne s’agissait pas de pace maker mais de défibrillateurs.
Un coup de défibrillateur à un cœur qui fonctionne correctement, je crois que c’est à éviter.
#37
Les mecs qui font plus confiance à la boîte privée qui vend le device qu’au département américain de la Sécurité intérieure
" />
Et qui pensent qu’une chose facilement piratable ne sera pas forcément piraté
Oh les gars il y a des gens qui hackent des tamagotchi: si c’est un truc est hackable, il sera hacké
Ah et pour parler du fond: lol
#38
#39
Hacker un pacemaker fait de toi un hackeur de pacemaker pas plus.
" />
C’est le fait d’entraîner la mort qui fait de toi un meurtrier.
Je ne crois pas que l’équipe qui a trouvé la faille l’a fait avec un pacemaker implanté sur une personne vivante par exemple.
#40
#41
T’as oublié le smiley.
" />
" />
Personne
#42
Pour 3 connards, le monde entier est chiffré et en train de chauffer la planète.
Economies vous dites ?