Publicité en cours de chargement...

Publicité en cours de chargement...

Malaise vagal chez un fabricant de stimulateurs cardiaques

26 mars 2019 - 10:23,
Tribune - Par Charles Blanc-Rolin
Tout le monde a encore en tête la démonstration du regretté chercheur néo-zélandais Barnaby Jack, qui avait démontré en 2012, lors de la conférence Breackpoint de Melbourne, qu’il était possible de prendre le contrôle d’un stimulateur cardiaque à distance et de lui faire délivrer plusieurs décharges de 830 volts.

heart_attack

Jeudi 21 mars, l’ICS CERT aux États-Unis, en charge de publier des avis et alertes sur les équipements industriels, objets connectés et dispositifs médicaux, a lancé une alerte concernant l’intégralité des modèles parmi 19 gammes de défibrillateurs automatiques implantables du constructeur Medtronic [1].

Deux vulnérabilités ont été découvertes dans le protocole de communication radio fréquence, permettant aux stimulateurs de communiquer avec leur programmateur ou encore leur station de supervision. Les deux vulnérabilités, peuvent être exploitées avec un émetteur / récepteur radio fréquences comme le HackRF [2] par exemple et un logiciel de SDR tel que GNU Radio Companion par exemple [3]. Autant dire qu’il n’y a pas besoin du budget de la NSA pour mettre en œuvre ce type d’attaque.

La première vulnérabilité, la CVE-2019-6540, pour laquelle une note CVSS 3.0 de 6,5 / 10 a été attribuée, permet à un attaquant de lire les données échangées entre le DM et sa station de supervision ou son programmateur. Les données de santé du patient porteur sont diffusées sans aucun chiffrement et peuvent donc être interceptées par n’importe qui se trouvant à proximité et disposant d’un récepteur RF que l’on trouve pour une poignée d’Euros sur de nombreux sites marchands.

La seconde vulnérabilité, la CVE-2019-6538 a quant à elle obtenu un score CVSS 3.0 de 9,3 / 10. C’est là que l’on voit bien la limite du mécanisme d’évaluation CVSS en ce qui concerne les dispositifs médicaux, car l’exploitation de cette vulnérabilité peut permettre à un attaquant d’envoyer une décharge létale au porteur du défibrillateur. Il est possible, lorsque la communication radio fréquences est activée sur le dispositif, de lire, mais aussi et surtout d’écrire des valeurs en mémoire sur les dispositifs affectés.

Il est à noter que cette attaque, sans amplificateur ne peut être réalisée que sur une courte distance (moins de dix mètres). Il est important de noter également que la fonction communicante  du stimulateur n’est pas active en permanence. Elle peut être activée manuellement en agitant une baguette magnétique à proximité du dispositif ou planifiée pour s’activer sur certains créneaux  horaires bien précis.

Même si ces vulnérabilités ne permettront pas à des terroristes de se balader dans la rue et de tuer toutes les personnes porteuses des stimulateurs cardiaques affectés, cela ne veut pas dire qu’une attaque ciblée visant à assassiner une personne ne peut pas être menée.

Sinon la « security by design » dans les dispositifs médicaux, c’est pour quand ?


[1] https://ics-cert.us-cert.gov/advisories/ICSMA-19-080-01

[2] https://greatscottgadgets.com/hackrf/one/

[3] https://www.gnuradio.org/

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Changer de solution SIH : méthode, engagement et vision d’usage pour réussir le déploiement

Changer de solution SIH : méthode, engagement et vision d’usage pour réussir le déploiement

16 juin 2025 - 22:32,

Tribune

-
Amélie BOURCIER

Changer de DPI, de SIRH ou d’outil logistique n’est plus un simple projet technique. Dans un contexte hospitalier sous tension, réussir le changement et le déploiement d’une solution SIH impose une approche rigoureuse, coconstruite et profondément orientée utilisateurs. Objectiver les choix, sécuris...

Illustration Urgences hospitalières : des outils numériques du Québec qui font la différence

Urgences hospitalières : des outils numériques du Québec qui font la différence

16 juin 2025 - 13:48,

Communiqué

- LGI Solutions Santé,

Face à la saturation des urgences hospitalières en France, des solutions concrètes existent. Dans un webinaire organisé par l’entreprise québécoise LGI Solutions Santé, vous découvrirez trois outils numériques conçus pour améliorer la coordination des services, alléger la charge du personnel soignan...

Illustration Chimiothérapies :  êtes-vous prêt pour la pharmacie du futur ?

Chimiothérapies : êtes-vous prêt pour la pharmacie du futur ?

16 juin 2025 - 13:31,

Communiqué

- Computer Engineering

Avec des fonctionnalités largement dématérialisées, et des extensions optionnelles très innovantes en termes de réalité augmentée ou de mobilité, l’application Chimio® 6.0 de Computer Engineering ouvre la voie de l’avenir pour les équipes d’oncologie.

Illustration MEDTECH_IA 2025 – IA, santé et innovation | Mercredi 18 juin – Domaine de Verchant à Castelnau-le-Lez (Métropole de Montpellier)

MEDTECH_IA 2025 – IA, santé et innovation | Mercredi 18 juin – Domaine de Verchant à Castelnau-le-Lez (Métropole de Montpellier)

12 juin 2025 - 17:56,

Communiqué

- MEDTECH_IA

L'intelligence artificielle révolutionne le secteur de la santé, ouvrant des perspectives inédites pour l'innovation et la performance. Mais comment passer de la promesse à la réalité ? Comment redéfinir le parcours de soins ? Medtech_IA, rendez-vous incontournable de la transformation numérique du ...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.