Pacemakers : attention aux pirates du coeur
Un ancien hacker, devenu expert en sécurité informatique, a démontré il y a quelques jours que l'on pouvait pirater le système d'un pacemaker à une distance de quelques mètres. Un choc et une expérience effrayante pour sensibiliser les fabricants aux problèmes de sécurité.
La nouvelle fait penser à un scénario de science-fiction. Barnaby Jack, un expert en sécurité informatique chez IO Active, a réussi, à distance, à prendre le contrôle à distance d'un pacemaker grâce à un système de communications sans-fil.
Les pacemakers, ces petits stimulateurs cardiaques, fonctionnent sur pile, et sont implantés directement près du cœur. Ils maintiennent le patient en vie en envoyant une impulsion électrique au cœur qui provoque une contraction. Chaque pacemaker est réglé en fonction de chaque patient.
L'expérience de piratage de pacemaker a été menée pendant une conférence d’informaticien (sur un stimulateur non implanté...). Barnaby Jack s’est tout simplement introduit, depuis son PC portable, dans le système informatique pacemaker en utilisant le numéro de série et du modèle.
Avec ces informations il a pu modifier le logiciel et reprogrammer l'appareil en installant un virus. D'un clic, il a provoqué ainsi une décharge de 830 volts dans le stimulateur cardiaque, une intensité potentiellement mortelle. Pire encore, on peut imaginer que ce virus informatique pourrait se propager si le porteur se retrouvait proche d'un autre porteur…
Comment cela est-il possible ?
Avec le progrès technologique, la taille des pacemakers a beaucoup diminué. Mais surtout, les laboratoires ont mis au point des émetteurs sans fil qui permettent de collecter des données et reprogrammer le pacemaker implanté en fonction de l'activité cardiaque.
"Si cette attaque concerne un modèle particulier, les stimulateurs possédant une connectivité sans fil sont potentiellement vulnérables à ce type d'attaque", explique Mathieu Cunche, maître de conférences à l'INSA de Lyon et chercheur à l'Institut National de Recherche Informatique et Automatique (INRIA). "A partir du moment où ils sont équipés de ces systèmes de communication, n'importe quel bon informaticien mal intentionné peut se connecter à une distance de quelques dizaines de mètres. Il suffit d'avoir un ordinateur et un matériel de radio qui peut imiter l'émetteur de contrôle ".
Chaque stimulateur cardiaque électrique contient un identifiant et un mot de passe, mais ceux utilisés sont les numéros de série et le modèle des appareils. Des données faciles à obtenir : l'expert australien a aussi découvert une fonctionnalité des pacemakers qui permet de forcer tous les pacemakers à portée du lecteur et de s'emparer de leurs numéros de modèle et de série.
Piratage de pacemaker : quelles solutions ?
Pour Mathieu, il n'existe pas de vraies solutions pour les modèles actuellement en vente : "Il faudrait remplacer les identifiants par mécanismes d'identification ou d'authentification plus complexes. Mais en cas d'urgence médicale, si un médecin doit intervenir très vite sur le pacemaker, comment fait-il s'il n'a pas ces identifiants ? Cela devient dangereux ".
Selon lui, pour éviter ces problèmes de virus, il faudrait changer le système de communication. "Les fabricants pourraient utiliser d'autres ondes, comme les ultrasons, qui nécessitent un contact beaucoup plus direct pour que la communication se fasse. Il faut placer l'émetteur au plus près du patient, contre sa peau, pour que les ondes passent". Dans ce cas, le piratage à distance devient alors impossible.
"J'espère que les fabricants vont sérieusement se pencher sur la question car une partie des systèmes vendus actuellement ne semblent pas avoir un niveau acceptable de sécurité ", conclut Mathieu Cunche.
Entre 2006 et 2011, près de 4,6 millions de stimulateurs et défibrillateurs auraient été vendus dans le monde.
En savoir plus
Sur Allodocteurs.fr :
Et aussi :
- Big Browser - Le Monde.fr
- "Coeur à prendre – Un hacker parvient à pirater un pacemaker", 24 octobre 2012.