AccueilActualités informatiqueStimulateurs cardiaques : des failles de sécurité informatique dans les implants cardiologiques

Stimulateurs cardiaques : des failles de sécurité informatique dans les implants cardiologiques

Lors d’une analyse sur le terrain d’appareils essentiels pour l’utilisation de stimulateurs cardiaques, de défibrillateurs cardiaques implantables et de moniteurs cardiaques pour le diagnostic, les chercheurs en sécurité informatique Endres Puschner et Christoph Saatjohann ont découvert plusieurs failles de sécurité, parfois graves, et les ont présentées lors de la réunion virtuelle de hackers rC3 (remote Chaos Communication Congress). Ils ont réussi à installer le jeu de tir à la première personne Doom sur un dispositif de programmation pour le réglage de tels implants. En accédant ainsi aux appareils, ils auraient pu reprogrammer les instruments de maintien en vie et provoquer par exemple des chocs électriques directement sur le cœur.

Les appareils de cardiologie implantables modernes communiquent avec un serveur dorsal sur Internet via des techniques de radiofréquence et des passerelles situées à proximité. Ces composants forment un écosystème de matériel et de protocoles propriétaires qui traitent des données médicales sensibles, souvent vitales pour la santé des patients. Le risque de menaces d’attaques informatiques est donc élevé.

Les implants cardiologiques sont des mini-ordinateurs génériques qui, insérés dans le corps humain, fonctionnent comme défibrillateur, stimulateur cardiaque ou moniteur cardiaque.

(Image : rC3 media.ccc.de, licence CC by 4.0 )

Les petits implants eux-mêmes n’ont généralement pas de connexion informatique directe avec l’extérieur. Ils peuvent toutefois être ajustés au préalable à l’aide d’appareils spéciaux destinés aux cliniques. Les scientifiques ont réussi à acheter un tel dispositif de Boston Scientific (BSC) d’occasion sur un site de vente aux enchères en ligne pour environ 2000 dollars US. En outre, les défibrillateurs disposent d’une interface pour la communication en champ proche par induction haute fréquence ou RFID normale. Le cœur des implants est un micro-ordinateur.

Sommaire

Les moniteurs cardiaques domestiques correspondants, qui lisent les données des implants, se connectent par GSM ou UMTS au serveur du fabricant et à un ordinateur chez le médecin, qui peut ainsi surveiller durablement les fonctions cardiaques à distance et procéder à une analyse médicale. Le duo de chercheurs a inspecté ici des appareils de Biotronik et de Medtronic. Tous les composants ont des cycles de vie assez longs, de sorte que les points faibles qui passent sous le radar restent souvent longtemps ouverts, a expliqué Puschner. Il est donc important que les fabricants informent les patients. Les patients concernés ne peuvent que difficilement éviter l’utilisation de ces appareils. Il n’est pas conseillé d’y renoncer par peur des failles de sécurité.

L’appareil de programmation de BSC, dans lequel fonctionne un processeur Pentium d’Intel de 2004, n’a pas opposé beaucoup de résistance. Le système Linux qui y était installé permettait un accès root direct – donc avec les pleins droits d’administration – aux disques durs. Le noyau Linux datait de 2002, le reste des logiciels de 2011. Les experts estiment donc que diverses failles, non analysées en détail mais facilement exploitables, sont susceptibles de se cacher ici.

Après la mise en marche, l’interface graphique du gestionnaire de fenêtres Twm apparaît. Grâce à elle, les chercheurs ont pu lancer le programme de terminal xTerm en mode administrateur. L’accès aux paramètres d’une fonction de verrouillage régional ou à un mécanisme de mise à jour via une clé USB était protégé par un adaptateur de sécurité. Les experts ont toutefois pu reproduire ce dongle et démarrer ainsi le système d’exploitation libre FreeDos à partir de la clé USB et jouer par exemple à Doom. C’est ce qu’ils ont fait lors d’une démonstration en direct mardi au rC3.

Dans le cas du moniteur cardiaque de Biotronik, les scientifiques ont réussi à capter le trafic réseau non crypté grâce à un spoofing GSM et à lire les données d’accès. Ils sont tombés sur ces données en parallèle, après avoir réussi une rétro-ingénierie du micrologiciel du microcontrôleur avec le programme Ghidra de la NSA. Ils ont également découvert que le domaine cm3-homemonitoring.de jouait un rôle décisif dans le processus d’authentification. Or, ce dernier est également utilisé pour d’autres services web, ce qui présente des risques supplémentaires.

L’appareil comparable de Medtronic était construit de manière similaire, mais rien ne fonctionnait avec l’usurpation. La carte SIM Mobile-2-Mobile opérant dans un domaine cloisonné s’est avérée payante en termes de sécurité, a expliqué Puschner. Pour l’Embedded Linux utilisé et les systèmes de fichiers cryptés, les experts ont trouvé le mot de passe via l’interface UART (Universal Asynchronous Receiver Transmitter) ainsi que via le composant mémoire EEPROM. Ils ont ainsi pu lire le firmware, afficher l’image d’un cœur brisé sur l’écran et lire les adresses des serveurs backend.

L’infrastructure correspondante en arrière-plan, à laquelle sont reliés, outre les fabricants, les hôpitaux et les médecins, était chez Medtronic assez bien protégée contre les abus. Ici, les chercheurs n’atterrissaient jamais que sur une page web vide. Les interfaces web pour l’accès aux cliniques étaient en principe accessibles via Internet. L’équipe n’a toutefois pas cherché à détecter des exploits exploitables. Elle n’a pas non plus testé de formes d’attaque spéciales pour ne pas perturber les systèmes par l’envoi de données arbitraires.

Les vulnérabilités découvertes, dont certaines ont déjà fait l’objet d’alertes de sécurité, pourraient porter préjudice aux patients si, par exemple, les données thérapeutiques étaient manipulées, a souligné M. Puschner. Des mises à jour et une maintenance régulières des logiciels, une cryptographie à la pointe de la technologie et des protocoles ouverts pourraient contrecarrer ce phénomène. Toutes les entreprises ont été informées des problèmes il y a au moins six mois. Elles auraient pris les demandes au sérieux. Les appareils vulnérables ne sont plus utilisés ou sont retirés rapidement de la circulation, du moins le firmware de tous a été renouvelé.

Afin de mettre les fabricants sur la sellette, les scientifiques ont également envoyé, au nom des patients initiés, des demandes de renseignements sur les valeurs de mesure enregistrées sur la base du règlement général sur la protection des données (RGPD). Dans le délai prévu de quatre semaines, il ne s’est pas passé grand-chose. Il s’est également avéré qu’un moniteur cardiaque Biotronik n’était pas du tout connecté. Medtronic a expliqué que cela relevait de la responsabilité de la clinique. Selon Saatjohann, seule BSC a fourni, après une deuxième demande, toutes les données pertinentes dans un gros fichier zip dans des formats lisibles par machine. Même après plus de trois ans d’application du RGPD, les entreprises et les hôpitaux ne sont pas vraiment préparés à de telles demandes d’informations.

Plus d'articles