Jack Barnaby est expert en sécurité. Il vient de rejoindre IO Active, société spécialisée dans le domaine. Son titre : directeur de la sécurité des appareils embarqués. Et pour marquer le coup, Jack Barnaby s’est attaqué au plus embarqué des appareils, le pacemaker.
A titre expérimental, uniquement, et à des fins de preuve de concept, Jack Barnaby a effectué un peu de reverse engineering sur le transmetteur d’un pacemaker. Il a ainsi pu non seulement réécrire le firmware de ces appareils mais aussi (et surtout) déclencher des chocs électriques mortels de 830 volts, le tout à une distance d’un peu plus de neuf mètres depuis un simple ordinateur portable.
« Avec un voltage maxima de 830 volts, ce n’est pas difficile de comprendre pourquoi cela peut être mortel. Non seulement il est possible d’arrêter le cœur, mais vous pouvez aussi faire en sorte de recharger l’appareil et provoquer un choc électrique en boucle », explique l’expert en sécurité.
Fonction secrète et absence de sécurité
C’est en tout cas ce que montre une vidéo, que l’expert n’a pas voulu rendre publique pour éviter de dévoiler la marque du pacemaker, apprend-on grâce au magazine australien dédié à la sécurité SC Magazine.
Car les pacemakers contiennent selon lui une « fonction secrète » qui peut être utilisée pour activer tous les pacemakers à proximité. Grâce à cette fonction, le pacemaker retourne son numéro de modèle et de série. Et « avec ces informations, nous en savons assez pour nous authentifier sur n’importe quel appareil à portée », déclare le « hacker ».
A partir de là, il est possible d’appliquer un firmware corrompu sur un pacemaker, qui contaminera ensuite les pacemakers qui passent à portée. Avec en définitive le potentiel pour produire « un meurtre de masse ».
Démontrer le pire
Jack Barnaby a fait cette découverte alors qu’il développait une plate-forme d’administration pour des appareils médicaux. Il s’est alors rendu compte que d’un simple clic, il pouvait activer le choc électrique et lire/écrire le micrologiciel tout en consultant les données du patient.
Evidemment, l’objectif de Jack Barnaby n’est pas de terrasser une armée de « déficients cardiaques », juste d’alerter les fabricants. « Parfois il vous faut démontrer l’étendue du côté obscur », déclarait-il au SC Magazine.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
