WhiteScope a demandé à ses chercheurs en sécurité de mener une étude poussée et approfondie portant sur les principaux pacemakers disponibles sur le marché. Ils ont trouvé environ 8600 failles de sécurité sur ces appareils médicaux. Malaise.
Pour mener leur enquête, les chercheurs ont passé au crible les produits des principaux fabricants du marché. Leur bilan se passe de tout commentaire. Les failles de sécurité relevées sont nombreuses et elles se comptent ainsi par plusieurs milliers.
Afin d’offrir le tour d’horizon le plus complet possible, l’équipe d’experts a porté ses efforts sur les produits, certes, mais également sur leurs composants et sur les logiciels tiers nécessaires à leur fonctionnement.
8600 failles découvertes
La pêche a été extrêmement fructueuse. Durant leur étude, les chercheurs ont découvert un nombre conséquent de failles de sécurité. Certaines ont trait à des librairies vieillissantes, d’autres aux systèmes embarqués ou même au chiffrement des données.
Les programmeurs, notamment, posent de nombreux problèmes.
Ces composants ont un rôle important. Ils permettent en effet aux médecins de prendre le contrôle à distance des défibrillateurs implantés dans leurs patients afin de les configurer. Contrairement à ce que l’on pourrait croire, ces derniers ne sont pas suffisamment sécurisés et la plupart d’entre eux fonctionnent ainsi sous Windows XP ou même DOS.
Pire, les données stockées dans ces programmes ne sont pas toujours chiffrées. Il devient alors possible pour une personne mal intentionnée d’accéder aux dossiers des patients sans avoir besoin d’une clé.
Les pacemakers ne sont pas sécurisés
En poussant plus loin leurs investigations, les experts de WhiteScope ont réalisé que la plupart des firmwares embarqués sur les pacemakers n’étaient pas signés, ni même vérifiés. Ils ont aussi trouvé des mots de passe codés en dur dans le code source de ces programmes.
Grâce à toutes ces failles, il devient donc très facile de prendre le contrôle à distance de n’importe quel pacemaker et de changer leur configuration, avec toutes les conséquences que cela peut avoir pour les patients.
La situation est donc très problématique. Le plus stupéfiant, avec cette étude, c’est que les pouvoirs publics ont tiré la sonnette d’alarme dès les années 2000. L’US Department of Health and Human Services et la FDA en avaient remis une couche en 2014 en publiant un guide complet consacré aux bonnes pratiques à mettre en place.
Il semblerait donc que les fabricants de pacemakers soient restés sourds à l’appel de ces organismes.