USA : 465 000 stimulateurs cardiaques vulnérables à des cyberattaques rappelés par les autorités
Pour l'application de patchs de sécurité
Le 2017-08-31 04:26:33, par Patrick Ruiz, Chroniqueur Actualités
Le concept semble étrange, mais les stimulateurs cardiaques n’échappent pas à la mouvance actuelle du « tout connecté », ce qui, de facto, ouvre la porte à des cybermenaces en tous genres. Dans ce qui pourrait apparaître comme une première, l’Agence américaine des produits alimentaires et médicamenteux (FDA) vient d’émettre un avis à l’intention des possesseurs de stimulateurs cardiaques : retourner vers une formation hospitalière pour une mise à jour du firmware.
Dans le viseur des autorités américaines, les stimulateurs cardiaques de marque Abbott. Des rapports passés au crible par la FDA soulignent en effet l’existence de vulnérabilités qui donnent à un cybercriminel la possibilité de : réduire la durée de vie de la batterie de l’appareil implanté dans la poitrine du patient ou modifier le rythme des battements du cœur entre autres et le tout à distance.
Aucun cas de cyberattaque de ce type n’a été enregistré jusqu’ici, mais, dit-on, prévenir vaut mieux que guérir. Les autorités américaines annoncent donc la disponibilité de patchs de sécurité approuvés par elles le 23 août dernier pour anticiper sur d’éventuelles tentatives de personnes malveillantes. La mise à jour ne concerne que les patients ayant fait l’acquisition de leur stimulateur à une date antérieure au 28 août 2017. Dans les autres cas, l’appareil sera livré avec un firmware à jour.
Une mise à jour se fera en trois minutes. La FDA prévient cependant que l’opération n’est pas sans risques. « À chaque mise à jour de firmware, il y a un faible risque que l’opération tourne court », préviennent les autorités qui estiment qu’une perte totale de fonctionnalité de l’appareil (due à une mise à jour ratée) ne s’est produite que dans 0,003 % des cas enregistrés par la firme qui conçoit les dispositifs.
Cette mise à jour approuvée par la FDA semble avoir comme objectif principal d’empêcher à un cybercriminel d’avoir un « accès direct » au stimulateur cardiaque. Il faudrait en effet rappeler que la donne actuelle voudrait que, dans la plupart des cas, le programmateur utilisé par le médecin pour agir sur les paramètres du stimulateur lors d’une consultation accède à ce dernier sans authentification. La conséquence de cet état de choses est qu’un cybercriminel muni du même programmateur peut avoir accès à l’appareil implanté dans la poitrine du patient. Cette mise à jour du firmware vient renforcer la sécurité en ce qui concerne cet aspect particulier. Il est désormais prévu que tout accès au dispositif se fasse après que le dispositif de surveillance (Home Monitoring Device) l’a autorisé.
465 000 stimulateurs cardiaques sont disséminés sur l’ensemble du territoire des États-Unis, d’après des estimations de la FDA. Les patients et spécialistes sur le sol étasunien viennent de recevoir des instructions claires en ce qui concerne le processus de mise à jour. Pour ceux des patients qui ont acquis ce matériel hors des frontières des États-Unis, il faudra encore vérifier que des dispositions similaires sont prises dans le pays où ils se trouvent.
Source : FDA
Et vous ?
Voir aussi :
Dans le viseur des autorités américaines, les stimulateurs cardiaques de marque Abbott. Des rapports passés au crible par la FDA soulignent en effet l’existence de vulnérabilités qui donnent à un cybercriminel la possibilité de : réduire la durée de vie de la batterie de l’appareil implanté dans la poitrine du patient ou modifier le rythme des battements du cœur entre autres et le tout à distance.
Aucun cas de cyberattaque de ce type n’a été enregistré jusqu’ici, mais, dit-on, prévenir vaut mieux que guérir. Les autorités américaines annoncent donc la disponibilité de patchs de sécurité approuvés par elles le 23 août dernier pour anticiper sur d’éventuelles tentatives de personnes malveillantes. La mise à jour ne concerne que les patients ayant fait l’acquisition de leur stimulateur à une date antérieure au 28 août 2017. Dans les autres cas, l’appareil sera livré avec un firmware à jour.
Une mise à jour se fera en trois minutes. La FDA prévient cependant que l’opération n’est pas sans risques. « À chaque mise à jour de firmware, il y a un faible risque que l’opération tourne court », préviennent les autorités qui estiment qu’une perte totale de fonctionnalité de l’appareil (due à une mise à jour ratée) ne s’est produite que dans 0,003 % des cas enregistrés par la firme qui conçoit les dispositifs.
Cette mise à jour approuvée par la FDA semble avoir comme objectif principal d’empêcher à un cybercriminel d’avoir un « accès direct » au stimulateur cardiaque. Il faudrait en effet rappeler que la donne actuelle voudrait que, dans la plupart des cas, le programmateur utilisé par le médecin pour agir sur les paramètres du stimulateur lors d’une consultation accède à ce dernier sans authentification. La conséquence de cet état de choses est qu’un cybercriminel muni du même programmateur peut avoir accès à l’appareil implanté dans la poitrine du patient. Cette mise à jour du firmware vient renforcer la sécurité en ce qui concerne cet aspect particulier. Il est désormais prévu que tout accès au dispositif se fasse après que le dispositif de surveillance (Home Monitoring Device) l’a autorisé.
465 000 stimulateurs cardiaques sont disséminés sur l’ensemble du territoire des États-Unis, d’après des estimations de la FDA. Les patients et spécialistes sur le sol étasunien viennent de recevoir des instructions claires en ce qui concerne le processus de mise à jour. Pour ceux des patients qui ont acquis ce matériel hors des frontières des États-Unis, il faudra encore vérifier que des dispositions similaires sont prises dans le pays où ils se trouvent.
Source : FDA
Et vous ?
Voir aussi :
-
VolgaanMembre confirméSauf que là tu risques de tuer un patient, pas sûr que ça soit exactement le même type de stress
Sinon 0.003% d'échec, ça laisse quand même pas loin de 1400 pacemakers "brickés", donc autant de victimes potentielles... Les objets connectés, ça devient n'importe quoi, surtout quand la sécurité n'est clairement pas la priorité des fabricantsle 31/08/2017 à 11:32 -
Ryu2000Membre extrêmement actifÇa doit être exactement le même stress que tu ressens quand tu mets le bios de ta carte mère à jour.le 31/08/2017 à 11:26
-
Ryu2000Membre extrêmement actifOuais c'était ça la blague, mais à l'écrit c'est pas évident de la retranscrire.
C'est clair que ça va beaucoup trop loin...
Peut être que les fabricants ont poussé la sécurité à fond au moment de la conception, mais on fini toujours par trouver des failles.
Dans l’absolu même la NSA, le FBI et la CIA peuvent se faire hacker, alors qu'ils sont experts de la sécurité.le 31/08/2017 à 11:39 -
hotcryxMembre extrêmement actifle 31/08/2017 à 14:49
-
RedGuffMembre habitué"Jack Bauer, il nous faut le numéro de série du pacemaker du Président !"
le 31/08/2017 à 18:27