Un léger vent de panique souffle dans les départements de cardiologie des hôpitaux américains, car ils doivent se préparer à recevoir la visite de presque un demi-million de patients pour… une mise à jour logicielle. La puissante US Food and Drugs Administration (FDA) vient en effet d’annoncer le rappel de 465.000 pacemakers déjà implémentés, en raison d’une faille de sécurité.
Cette vulnérabilité permettrait à un attaquant qui se trouve à proximité d’envoyer des commandes par radiofréquence pour, par exemple, vider la batterie ou modifier la fréquence cardiaque. Une personne malveillante pourrait donc provoquer à distance un arrêt cardiaque.
Les pacemakers impactés proviennent tous du fournisseur St Jude Medical (qui fait désormais partie du groupe Abbott). Selon l’ICS-CERT, la faille réside au niveau de l’algorithme d’authentification qui peut être contourné. A ce jour, aucune attaque réelle n’a été répertoriée. Selon la FDA, elle peut se faire en utilisant des équipements informatiques « disponibles dans le commerce ». Toutefois, elle ne serait pas à la portée de n’importe qui, car l’ICS-CERT estime qu’il faut avoir « beaucoup de compétences techniques » pour la réaliser. A priori, on n’est donc à l’abri d’une vague de meurtres dans les familles des scriptkiddies.
Pour patcher leurs pacemakers, les patients n’ont pas beaucoup le choix : il faut aller voir un spécialiste à l’hôpital qui téléchargera sur l’appareil un nouveau firmware. Jusqu’à présent, les patients pouvaient mettre à jour leur appareil depuis chez eux, en se connectant sur un site Web du fournisseur (Merlin.net). Mais ce n’est pas possible dans ce cas. Cette mise à jour prend environ trois minutes et permettra également de colmater une autre faille de sécurité qui, sur certains modèles, donnait accès à des données personnelles non chiffrées.
St Jude Medical est également présent en France. Nous avons contacté la filiale pour savoir si un rappel similaire est prévu dans l’Hexagone, mais nous n’avons pas eu de réponse pour l’instant. Le cas échéant, nous mettrons à jour cet article. Selon la BBC, 280 000 pacemakers seraient également concernés à travers le monde.
Mise à jour le 2 septembre: La société St Jude Medical nous indique que cette mise à jour sera également déployée dans les autres pays où elle est présenter. « Cette mise à jour a récemment été approuvée par la FDA (Food and Drug administration) et nous prévoyons de la rendre disponible dans le reste du monde une fois qu’elle aura été approuvée par les autorités locales. La FDA et Abbott recommandent aux patients de s’entretenir de cette mise à jour logicielle avec leur médecin traitant lors de leur prochaine visite», nous explique St Jude Medical dans un email.
Plongée en bourse
Pour les patients, tout ceci est évidemment très désagréable. Pour le fournisseur, c’est une catastrophe financière. Dès le 25 août, certains analystes financiers avaient eu vent de cette affaire et estimé qu’Abbott risquait de perdre la moitié de son chiffre d’affaire pendant les deux prochaines années. L’action en bourse s’est écroulée en conséquence.
Ce n’est pas première fois que les pacemakers sont pointés du doigt sur le plan de la sécurité informatique. En mai dernier, les chercheurs en sécurité de WhiteScope avaient trouvé plus de 8 600 failles de sécurité dans les produits de quatre fabricants. Les raisons sont diverses : communications non chiffrées, systèmes d’exploitation ultra-obsolètes, manque d’authentification, librairies vieillissantes, etc. Bref, il ne serait pas étonnant que la FDA ordonne d’autres rappels prochainement.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.