Données non chiffrées, systèmes d’exploitation ultra-obsolètes, manque d’authentification, librairies vieillissantes, etc. Rarement une étude de sécurité a mis en évidence un niveau de sécurité aussi minable que celui des systèmes de pacemakers. Après avoir analysés les produits de quatre fabricants différents, les chercheurs en sécurité de la société WhiteScope ont trouvé pas moins de… 8600 failles de sécurité dans ces appareils médicaux. Ce chiffre ne se limite pas aux défibrillateurs même, mais englobe aussi les composants et logiciels tiers qui permettant d’assurer leur bon fonctionnement, comme les programmeurs et les appareils de télésurveillance. « Nous pensons que cette statistique montre que l’écosystème des pacemakers a de sérieux défis à relever concernant la mise à jour de leurs systèmes », souligne les chercheurs.
En effet, la majeure partie de ces failles sont connues et proviennent de logiciels qui ne sont pas à jour. Les composants appelés « programmeurs » – qui permettent aux médecins de configurer à distance les défibrillateurs implantés – sont particulièrement inquiétants de ce point de vue. Certains tournent sous Windows XP, d’autres utilisent même OS/2 et DOS, qui datent des années 1980. Les bonnes pratiques sont largement ignorées. Ainsi, il n’est pas rare de trouver sur un programmeur des données de patients non chiffrées. Les programmeurs démarrent tous sans demander un quelconque identifiant. De la même manière, ces logiciels se connectent au défibrillateur sans aucune authentification.
Mais c’est loin d’être tout. Les chercheurs sont également tombés sur des firmwares qui n’étaient pas signés, des mots de passe et des identifiants codés en dur dans le code, des connexions USB librement accessibles, etc. Bref, c’est un catalogue de tout ce qu’il ne faut pas faire dans le domaine des objets connectés. Ce n’est pas la première fois que les pacemakers sont montrés du doigt. En 2012, le hacker Barnaby Jack avait déjà montré qu’on pouvait pirater des pacemakers pour les transformer en bombe électrique. Plus récemment, l’agence américaine des produits alimentaires et médicamenteux (FDA, Food and Drug Administration) s’était inquiétée des vulnérabilités de certains stimulateurs cardiaques. Elle n’avait pas tort.
Source: WhiteScope
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
