Publicité en cours de chargement...
Malaise vagal chez un fabricant de stimulateurs cardiaques
Jeudi 21 mars, l’ICS CERT aux États-Unis, en charge de publier des avis et alertes sur les équipements industriels, objets connectés et dispositifs médicaux, a lancé une alerte concernant l’intégralité des modèles parmi 19 gammes de défibrillateurs automatiques implantables du constructeur Medtronic [1].
Deux vulnérabilités ont été découvertes dans le protocole de communication radio fréquence, permettant aux stimulateurs de communiquer avec leur programmateur ou encore leur station de supervision. Les deux vulnérabilités, peuvent être exploitées avec un émetteur / récepteur radio fréquences comme le HackRF [2] par exemple et un logiciel de SDR tel que GNU Radio Companion par exemple [3]. Autant dire qu’il n’y a pas besoin du budget de la NSA pour mettre en œuvre ce type d’attaque.
La première vulnérabilité, la CVE-2019-6540, pour laquelle une note CVSS 3.0 de 6,5 / 10 a été attribuée, permet à un attaquant de lire les données échangées entre le DM et sa station de supervision ou son programmateur. Les données de santé du patient porteur sont diffusées sans aucun chiffrement et peuvent donc être interceptées par n’importe qui se trouvant à proximité et disposant d’un récepteur RF que l’on trouve pour une poignée d’Euros sur de nombreux sites marchands.
La seconde vulnérabilité, la CVE-2019-6538 a quant à elle obtenu un score CVSS 3.0 de 9,3 / 10. C’est là que l’on voit bien la limite du mécanisme d’évaluation CVSS en ce qui concerne les dispositifs médicaux, car l’exploitation de cette vulnérabilité peut permettre à un attaquant d’envoyer une décharge létale au porteur du défibrillateur. Il est possible, lorsque la communication radio fréquences est activée sur le dispositif, de lire, mais aussi et surtout d’écrire des valeurs en mémoire sur les dispositifs affectés.
Il est à noter que cette attaque, sans amplificateur ne peut être réalisée que sur une courte distance (moins de dix mètres). Il est important de noter également que la fonction communicante du stimulateur n’est pas active en permanence. Elle peut être activée manuellement en agitant une baguette magnétique à proximité du dispositif ou planifiée pour s’activer sur certains créneaux horaires bien précis.
Même si ces vulnérabilités ne permettront pas à des terroristes de se balader dans la rue et de tuer toutes les personnes porteuses des stimulateurs cardiaques affectés, cela ne veut pas dire qu’une attaque ciblée visant à assassiner une personne ne peut pas être menée.
Sinon la « security by design » dans les dispositifs médicaux, c’est pour quand ?
[1] https://ics-cert.us-cert.gov/advisories/ICSMA-19-080-01
Avez-vous apprécié ce contenu ?
A lire également.

Pilotage des blocs opératoires : l’Anap dévoile une plateforme numérique intégrée pour améliorer la performance et la gouvernance
08 juil. 2025 - 00:26,
Actualité
- DSIHL’Agence nationale de la performance sanitaire et médico-sociale (Anap) franchit un nouveau cap dans le soutien aux établissements de santé avec le lancement d’une plateforme numérique unique dédiée à l’optimisation des blocs opératoires. Ce nouvel outil regroupe 22 ressources opérationnelles destin...

Le Groupe Softway Medical accueille Bpifrance à son capital
30 juin 2025 - 21:20,
Communiqué
- Le Groupe Softway MedicalLe Groupe Softway Medical, un leader européen des systèmes d’information en santé, à la fois éditeur, hébergeur et intégrateur pour les établissements de santé publics et privés en France, au Canada et à travers l’Europe, annonce aujourd’hui l’arrivée de Bpifrance, la Banque publique d’investissemen...

Dedalus France : une nouvelle étape dans la trajectoire de transformation
24 juin 2025 - 07:50,
Actualité
- DSIHDedalus France annonce le départ de Frédéric Vaillant, Directeur Général Délégué, au 30 juin 2025, après plus de 25 ans d’engagement. Fondateur de Medasys, acteur central des grandes étapes de structuration de l’entreprise, il a contribué à façonner Dedalus France comme acteur majeur du numérique en...

« Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025
23 juin 2025 - 21:23,
Actualité
- DSIH, Mehdi LebranchuLe 18 juin dernier, au Salon HLTH Europe d’Amsterdam, la conférence « Data Opt-in-imism: Why trust is key to the success of EHDS » a réuni des voix institutionnelles du nord de l’Europe autour d’une question déterminante pour l’avenir du partage de données de santé : la confiance. Prévu pour 2029, l...