Barnaby Jack peut pirater votre pacemaker et faire exploser votre cœur

Une radio figurant un pacemaker dans la poitrine de quelqu'un. (Photo via)

La possibilité de se faire pirater le cœur par wifi et le sentir exploser sous une décharge de 830 volts pourrait vous faire réfléchir à deux fois avant de vous faire greffer un pacemaker. C'est aussi le genre de trucs qui n’arrive que dans les films bruyants avec Jason Statham, mais malheureusement, plus pour très longtemps.

Il y a quelques jours, l'Office américain de sécurité sanitaire [la FDA – Food and Drug Administration] a envoyé un rapport aux fabricants d'appareils médicaux pour les mettre en garde contre le piratage potentiel des systèmes informatiques de leurs appareils. Le rapport disait que des ces failles dans la sécurité pourraient permettre à des pirates informatiques d'accéder à des équipements vitaux reliés au cœur ou aux reins, les bidouiller, et potentiellement, tuer le patient. J'imagine que c'est le dernier truc qu'on veut savoir lorsqu’on a le cœur ou les reins dans un si mauvais état qu'on a besoin de technologies pour qu'ils continuent de fonctionner.

Barnaby Jack, le directeur de la sécurité des appareils médicaux implantés, et qui bosse pour la boîte de sécurité informatique IOActive, a mis au point un logiciel qui lui permet d'envoyer à distance une décharge électrique sur n'importe quel porteur de pacemaker dans un rayon de 15 mètres. Il a aussi inventé un système qui localise les pompes à insuline dans un rayon de 100 mètres, permet d'y entrer informatiquement sans le moindre numéro d'identification, et de trafiquer la quantité d'insuline délivrée – cette astuce permettant de produire des chocs hypoglycémiques chez le patient.

Les logiciels utilisés par les équipements hospitaliers rudimentaires sont aussi potentiellement en danger. Les appareils qui servent à mesurer la tension artérielle utilisent de vieux logiciels incroyablement vulnérables aux malwares. Ça veut dire que quiconque en aurait envie, pourrait trafiquer les logiciels, leur faire afficher de mauvais signes vitaux, tromper les médecins et les conduire à lancer des procédures médicales inutiles et incroyablement dangereuses.

OK, il ne s’agit pas du genre de trucs qui se produiront tous les jours, à moins qu'une petite équipe de trous du cul décident de s'intéresser au piratage d'appareils médicaux spécialisés et auquel cas, tuent des milliers de gens déjà malades juste pour s’amuser. Mais bon, je me suis dit qu'il fallait quand même que j'appelle Barnaby, histoire de calmer mon stress.

Barnaby Jack. (Photo fournie par Barnaby Jack lui-même)

VICE : Salut Barnaby. Pourquoi avez-vous décidé d'effectuer une ingénierie inversée du pacemaker ?
Barnaby Jack : J'étais intrigué par le fait que ces appareils d'une importance vitale communiquent sans le moindre câblage. J'ai décidé de jeter un œil aux pacemakers et aux défibrillateurs automatiques implantables (DAI) afin de voir si leurs communications étaient sécurisées et s'il était possible qu'un pirate prenne le contrôle de tels appareils.

Et vous avez découvert que c'était possible ?
En effet. Le logiciel que j'ai mis au point permet d'éteindre les pacemakers ou les DAIs à proximité, de lire ou d'écrire sur la mémoire de l'appareil, et dans le cas du DAI, autoriser de délivrer une décharge électrique de 830 volts. J'ai fait ça dans le but d'expliquer le mécanisme des pacemakers et de soulever les problèmes que j'y ai trouvés, dans l'espoir que les fabricants les sécurisent mieux.

À quel point est-il difficile de pirater ce genre d'appareils ?
Il faut s'y connaître, mais comme de plus en plus de chercheurs en sécurité travaillent sur ces appareils implantés, ces connaissances sont également de plus en plus répandues. J'ai mis environ six mois pour pratiquer l'ingénierie inversée, trouver les failles et mettre au point le logiciel qui serait en mesure d’exploiter ces failles.

Si, disons, un fonctionnaire du gouvernement utilisait un pacemaker, serait-il susceptible d'être assassiné par des pirates, comme dans cet épisode de Homeland ?
Je préférerais ne pas spéculer sur ce genre de scénario, mais de ce que je sais, il n'y a pas de différence entre les appareils implantables utilisés pour les fonctionnaires, les membres du gouvernement et le grand public.

OK. Et vous avez essayé de pirater d'autres types d'appareils médicaux ?
Oui. On a commencé notre teste en travaillant sur des pompes à insuline et on a trouvé que le modèle le plus populaire était extrêmement vulnérable.

Quelque chose peut être fait pour empêcher ça ?
On a prévenu le fabricant de la vulnérabilité de ses appareils et le problème devrait être résolu lors de la prochaine révision de la pompe. Quant à notre travail sur les implants, on essaie de pousser les fabricants à envisager des solutions.

Pensez-vous qu'à l'avenir, des appareils tels que des bras ou des jambes bioniques, pourraient également être piratés et bidouillés ?
Si on peut accéder à ces appareils à distance, il existera toujours un risque d'abus potentiel.

Alors, pourquoi ces appareils sont-ils conçus de telle façon qu'on puisse les bidouiller ?
Parce que l’idée que l'on puisse accéder, en cas d'urgence, à ces appareils par des méthodes rapides, est tout à fait recevable. Après tout, ces appareils sont implantés, et si on oubliait les identifiants, on serait obligés d’ouvrir le patient. C'est pourquoi on peut y accéder sans fil, pour que les médecins n'aient pas besoin de charcuter les patients à chaque fois qu'il faut faire un changement. Ce qui nous inquiète le plus, c'est la distance à laquelle ces appareils peuvent être reprogrammés.

Je me suis laissé dire que de nombreux hôpitaux utilisaient un logiciel obsolète qui pourrait potentiellement être infesté de malwares. Ceci implique un risque potentiel pour la santé des patients ?
Effectivement, une majorité d'hôpitaux utilisent un logiciel qui commence à dater, et tout le monde sait que les réseaux des hôpitaux sont truffés de malwares. Souvent, ces établissements ne mettent pas leur logiciel à jour, de peur d'avoir des ennuis avec la FDA et ses règlements. Je pense vraiment qu'il existe un risque sanitaire potentiel à ce niveau-là, surtout si ces malwares s'attaquent à des machines de première importance.

Merci beaucoup, Barnaby.

Plus d’histoires avec des armes ici :

TRACER AVEC LES PLUS GROS FLINGUES SUR LE MARCHÉ À L'EUROSATORY 2012 – Tout le monde a le droit de déconner avec des armes

RZA SAIT COMMENT FABRIQUER L'ARME LA PLUS PUISSANTE DU MONDE – Ça implique du mercure, du métal, du magnétisme, et apparemment, il explique la recette dans son film

DRONES D'OISEAUX – Une vidéo motherboard