C’est une découverte qui a de quoi faire froid dans le dos : une faille de sécurité pourrait permettre à une personne malintentionnée et simplement équipée d’un ordinateur portable d’éteindre un pacemaker, ou d’en réécrire le micro-logiciel afin de délivrer une décharge électrique mortelle de 830 volts, dans un rayon allant d’une dizaine à une vingtaine de mètres.
Présentée lors de la conférence « Breakpoint Security » à Melbourne ayant eu lieu mercredi dernier, l’étude a créé un malaise certain chez les professionnels, en premier lieu en raison des potentielles conséquences dramatiques de l’exploitation de la faille, mais aussi en raison de l’homme à l’origine de la découverte, un très célèbre hacker.
« Electric Feel »
Pour reprogrammer un pacemaker, il fallait auparavant qu’un patricien passe sur le porteur du stimulateur une baguette de commande, réinitialisant ainsi le programme et permettant alors la mise à jour. Cette étape se fait désormais la plupart du temps à l’aide d’un programmateur sans fil, avec une portée d’une dizaine de mètres, via la bande de fréquence 400 MHz. Le problème vient de là : il serait possible, via une requête particulière vers l’émetteur, de récupérer le numéro de série et le numéro du modèle. Il devient alors aisé de reprogrammer le firmware de l’émetteur, et ainsi lui faire faire n’importe quoi.
Le hacker est même allé plus loin pour sensibiliser les fabricants : il a développé « Electric Feel », une application permettant de repérer les stimulateurs dans un rayon donné, puis délivrer des décharges mortelles ou tout simplement arrêter le stimulateur. Les serveurs des sociétés en question seraient également vulnérables et pourraient infecter un très grand nombre de stimulateurs à la fois, par le biais d’un ver ou d’un virus.
Un hacker expérimenté
Le hacker à l’origine de la découverte, Barnaby Jack, est loin d’en être à son coup d’essai : il est passé sur le devant de la scène une première fois en juillet 2010, lorsqu’il est parvenu à vider un distributeur de billets automatique en s’introduisant dans le système logiciel du distributeur, sur une scène d’un casino de Las Vegas.
Le distributeur de billets, transformé en véritable machine à sous se vidant de ses coupures, allait même jusqu’à afficher le mot « Jackpot ». Il s’est également illustré, plus récemment, en soulignant les nombreuses failles logicielles des pompes à insuline, dispositif programmé pour délivrer à une personne diabétique de l’insuline en continu.
Barnaby Jack a alors été débauché par la société américaine IOActive, un éditeur de solutions de sécurité. C’est pour le compte de cette dernière qu’il est intervenu à Melbourne sur le possible piratage des pacemakers.
Un stimulateur cardiaque permet de délivrer des impulsions électriques au cœur, l’accélérant par exemple si besoin. Le nombre d’implantations de ces stimulateurs augmente régulièrement depuis plus de dix ans. Plus de 50 000 patients bénéficient chaque année de l’implantation d’un stimulateur cardiaque en France. Le vieillissement de la population est l’un des facteurs du nombre grandissant de patients implantés sur l’ensemble du territoire.
Par Rahman Moonzur, journaliste scientifique