Publicité en cours de chargement...
8600 vulnérabilités dans des pacemakers : record à battre !
Wannacry sur une console de monitoring du système d’injection pour IRM Medrad de Bayer
L’importante vulnérabilité des dispositifs médicaux revient sur le tapis avec deux récents rapports d’analyses réalisées par WhiteScope et Ponemon Institute.
Des pacemakers extrêmement vulnérables, ce n’est pas une grande première, beaucoup se souviendront encore longtemps de la démonstration du regretté expert néo-zélandais Barnaby Jack qui avait réussi lors d’une conférence pendant le Breackpoint de Melbourne en 2012 à prendre le contrôle d’un pacemaker et lui faire délivrer plusieurs décharges de 830 volts, après avoir déjà vaincu des distributeurs de billets et des pompes à insuline.
Dans le rapport extrêmement détaillé WhiteScope, les chercheurs Billy Rios et Jonathan Butts ont recensé plus de 8600 vulnérabilités dans les systèmes de 7 pacemakers de 4 fabricants différents !
Ils ont passé au peigne fin les différents éléments de l’architecture commune de ces systèmes de stimulateurs cardiaques, à savoir :
- un dispositif médical implanté
- un dispositif de surveillance à domicile
- un stockage de données en mode « cloud » accessible au médecin
- un programmateur permettant au médecin d’effecteur les différents réglages
Pas de prise en compte de la sécurité lors de la conception = un concept à revoir !
Si le terme « security by design » [1] est en vogue aujourd’hui, on peut dire que la conception de ces DM est totalement étrangère à ce principe.
En effet, ce rapport démontre bien que la sécurité n’a pas fait partie du cahier des charges.
Au-delà du fait de s’appuyer sur des systèmes obsolètes et plus supportés, comme Windows XP, des vieilles versions de MontaVista ou encore OS/2. Selon ces deux experts, tout programmateur est capable de reprogrammer n’importe quel pacemaker d’un même fabricant sans aucune authentification. Pas de demande d’authentification au médecin pour utiliser le programmateur et pas de demande d’authentification au programmateur pour se connecter au stimulateur cardiaque. S’il existait une « certification CSPN » pour les dispositifs médicaux, ces constructeurs n’auraient pas la moindre chance…
On ne peut également par dire que ces dispositifs soient « privacy by design » [2] car le numéro de sécurité sociale du patient ainsi que ses antécédents médicaux sont stockés sur des cartes Flash sans aucune solution de chiffrement par le programmateur.
Pour conclure, en cas de perte ou de vol du programmateur, il serait possible de récupérer très facilement les données de santé du patient, ou encore de reprogrammer son pacemaker pour n’importe qui, et donc potentiellement, de mettre sa vie en danger.
De plus les deux chercheurs soulignent le fait qu’ils aient pu se procurer facilement sur eBay des programmateurs sans avoir à justifier d’un statut de praticien de santé.
Selon le rapport publié par Ponemon Institute, 80% des fabricants américains de pacemakers déclarent que ces dispositifs sont « difficiles à sécuriser ». Le motif invoqué est que les ressources disponibles sur ces plateformes sont réduites et ne permettent pas d’implémenter efficacement des mesures de sécurité.
A ce jour, seuls 17% des fabricants ont engagé un processus de sécurisation de leurs dispositifs.
Pour quand le rançongiciel qui vous dira « Vous avez 3 jours pour payer une rançon de 15 bitcoins, sinon j‘arrête votre pacemaker » ?
[1] on pourrait parler de la prise en compte de la sécurité dès la conception, mais de nombreux commerciaux préfèreront vous dire : « Nous, on est full security by design », même si bien souvent, ils n’ont pas la moindre idée de ce que cela peut bien vouloir dire et surtout, ils s’en fichent royalement, ils n’auront fait que vous donner la formule magique qu’ils pensent que vous attendez, avec peut-être même en prime, une solution miracle de protection « anti dark web »… dans ce cas fuyez !!!
[2] deuxième terme de snobisme à la mode, largement utilisé pour indiquer la prise en charge du respect de la confidentialité des données lors de la conception.
Avez-vous apprécié ce contenu ?
A lire également.

Dernier billet philosohico-cyber avant la plage
21 juil. 2025 - 10:00,
Tribune
-À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !
30 juin 2025 - 20:50,
Communiqué
- APSSISL’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.