Des défibrillateurs cardiaques implantés piratables à distance

Des chercheurs ont identifié des vulnérabilités dans le système de communication de défibrillateurs cardiaques produits par Medtronic. Des hackers pourraient en manipuler le fonctionnement à distance.

L'un des dispositifs employant le protocole de communication vulnérable.
L'un des dispositifs employant le protocole de communication vulnérable.

Le Département de la sécurité intérieure américain avertit que le protocole de télémétrie Conexus de Medtronic employé pour communiquer avec plusieurs de ses défibrillateurs cardiaques présente des vulnérabilités. Le système de communication radio sert à transférer des données entre les dispositifs et les unités de contrôle chez le médecin ou au domicile du patient.

Le protocole compte deux vulnérabilités importantes: il n’utilise pas de chiffrement - ce qui permet d’espionner les données - et, plus grave, il ne dispose d’aucun système d’autorisation et d’authentification. «Un hacker se situant dans un rayon proche, alors que la radio de l’appareil est active, peut injecter, rejouer, modifier et/ou intercepter les données. Le protocole de communication permet de lire et d’écrire des valeurs mémoire de l’appareil cardiaque implanté», explique l’office américain. En modifiant les paramètres et donc le comportement du dispositif, un hacker pourrait blesser, voire tuer le patient.

Impossible toutefois de pirater les défibrillateurs au hasard. Pour réussir une attaque, le hacker doit disposer d’un outil de communication radio adéquat, se trouver à proximité immédiate de l’appareil, et la radio doit être active - elle l’est seulement durant les transmissions.

Medtronic assure travailler à des mises à jour pour réduire ces vulnérabilités. Dans un bulletin de sécurité, le fabricant medtech recommande aux patients et aux médecins de continuer à utiliser les appareils: «Les avantages de la télésurveillance l'emportent sur le risque pratique que ces vulnérabilités puissent être exploitées. Ces avantages comprennent la détection plus précoce des arythmies, la réduction du nombre de visites à l'hôpital et l'amélioration des taux de survie.»

Tags
Webcode
DPF8_131714