MONDE

Les défibrillateurs implantables de Medtronic sont vulnérables au piratage

23 mars 2019 Dr.Mo7oG Aucun commentaire danger, hack, hackers, HACKING, implant, medtronic, patients, piratage, thehackernews, vulnérabilité

Le Département de la sécurité intérieure des États-Unis a publié jeudi un avis avertissant les gens de graves vulnérabilités dans plus d’une douzaine de défibrillateurs cardiaques qui pourraient permettre aux attaquants de les détourner complètement à distance, mettant potentiellement la vie de millions de patients en danger.

hacking medtronic implantable defibrillators

Le défibrillateur cardioverteur est un petit dispositif implanté chirurgicalement (dans la poitrine du patient) qui donne au cœur du patient un choc électrique (souvent appelé contre-choc) pour rétablir un rythme cardiaque normal.

Bien que l’appareil ait été conçu pour prévenir la mort subite, plusieurs défibrillateurs cardiaques implantés par Medtronic, l’une des plus grandes sociétés mondiales de dispositifs médicaux, ont été trouvés vulnérables à deux vulnérabilités graves.
Découvertes par des chercheurs de la société de sécurité Clever Security, ces vulnérabilités pourraient permettre à des acteurs de la menace ayant des connaissances sur les dispositifs médicaux d’intercepter et d’affecter potentiellement la fonctionnalité de ces dispositifs vitaux.

« L’exploitation réussie de ces vulnérabilités peut permettre à un attaquant ayant un accès adjacent à courte portée à l’un des produits affectés d’interférer, de générer, de modifier ou d’intercepter la communication radiofréquence (RF) du système de télémétrie exclusif Conexus de Medtronic, ce qui pourrait avoir un impact sur la fonctionnalité du produit et/ou permettre l’accès aux données sensibles transmises « , prévient le DHS dans son avis publié.
Les vulnérabilités résident dans le protocole de télémétrie par radiofréquence Conexus – un système de communication sans fil utilisé par certains défibrillateurs de Medtronic et leurs unités de contrôle pour se connecter sans fil aux dispositifs implantés par ondes radio.

Défaut 1 : Manque d’authentification dans les défibrillateurs implantables de Medtronic

Selon un avis[PDF] publié par Medtronic, ces défauts affectent plus de 20 produits, dont 16 sont des défibrillateurs implantables et les autres sont les moniteurs et programmateurs de chevet des défibrillateurs.

La faille la plus critique des deux est CVE-2019-6538 qui se produit parce que le protocole de télémétrie de Conexus n’inclut aucun contrôle pour la falsification des données, ni aucune forme d’authentification ou d’autorisation.

L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant se trouvant dans la portée radio de l’appareil affecté et de l’équipement radio droit d’intercepter, d’usurper ou de modifier la transmission de données entre l’appareil et son contrôleur, ce qui pourrait potentiellement nuire ou même tuer le patient.

« Ce protocole de communication permet de lire et d’écrire les valeurs de mémoire sur les dispositifs cardiaques implantés affectés ; par conséquent, un attaquant pourrait exploiter ce protocole de communication pour modifier la mémoire du dispositif cardiaque implanté « , explique le DHS.
Défaut 2 : Absence de chiffrement dans les défibrillateurs implantables de Medtronic

Le protocole de télémétrie Conexus ne fournit pas non plus de cryptage pour sécuriser les communications télémétriques, ce qui permet aux attaquants à portée de main d’écouter la communication. Ce numéro a été attribué à CVE-2019-6540.

Toutefois, Medtronic a déclaré que les vulnérabilités seraient difficiles à exploiter et qu’il serait difficile de nuire aux patients puisqu’elles exigent que les conditions suivantes soient remplies :

Une personne non autorisée devrait se trouver à une distance pouvant atteindre 6 mètres (20 pieds) de l’appareil visé ou du programmateur de la clinique.
La télémétrie Conexus doit être activée par un professionnel de la santé qui se trouve dans la même pièce que le patient.
En dehors de l’hôpital, les temps d’activation des dispositifs sont limités, qui varient d’un patient à l’autre et sont difficiles à prévoir par un utilisateur non autorisé.
Le géant de la technologie médicale assure également à ses utilisateurs qu’à ce jour, » ni une cyberattaque ni un préjudice aux patients n’ont été observés ou associés à ces vulnérabilités « .

Medtronic a également fait remarquer que sa gamme de stimulateurs cardiaques implantés, y compris ceux dotés de la fonctionnalité sans fil Bluetooth, ainsi que ses moniteurs CareLink Express et ses programmateurs CareLink Encore (modèle 29901) utilisés par certains hôpitaux et cliniques ne sont pas vulnérables à ces deux défauts.

Medtronic a déjà appliqué des contrôles supplémentaires pour surveiller et réagir à l’abus du protocole Conexus par les dispositifs cardiaques implantés affectés et travaille actuellement à une solution pour corriger les vulnérabilités signalées.

Le correctif de sécurité sera bientôt disponible et, dans l’intervalle, Medtronic a exhorté » les patients et les médecins à continuer d’utiliser ces dispositifs comme prescrit et prévu « .

Traduit par Dr.Mo7oG

Source : THEHACKERNEWS

Partager :

Vous pourrez aussi aimer

Covid-19: les Japonais pourraient risquer la prison s’ils ne respectaient pas les règles

Provocation de Meliana Trump envers Macron : Elle arrive au G7 habillée en jaune (vidéo)

Une maladie mortelle incurable se propage dans le monde entier et touche près d’un million de personnes

Laisser un commentaire Annuler la réponse