[SANTÉ] Piratage de neurostimulateurs sans fil

     Les implants électriques mis en place dans le cerveau, appelés également neurostimulateurs, sont utilisés pour guérir des problèmes de santé neurologiques comme la maladie de Parkinson et la douleur chronique. Les interfaces sans fil sont essentielles au fonctionnement de ces implants médicaux parce qu’un câble USB ne peut pas être utilisé pour se connecter à la puce qui a été implantée dans le cerveau humain.

Néanmoins, une équipe de chercheurs en sécurité belge de la société KU Leuwen a découvert que les implants électriques cérébraux sont des dispositifs vulnérables de par leurs interfaces sans fil relativement peu sécurisées. Des attaquants pourraient ainsi intercepter des données médicales sensibles qui sont transmises entre l’implant et les dispositifs connectés. En piratant les neurostimulateurs, un attaquant peut causer des dommages irréversibles aux patients en les empêchant de parler ou de bouger.

Une étude publiée en 2015 par Gartner sur les implants médicaux avait montré que la plupart de ces appareils ne comportaient aucune protection et, s’ils en ont, elles étaient obsolètes. Idem en août 2016, où la possibilité de piratage d’un implant cérébral avait été exposée par des chercheurs d’Oxford. L’année dernière des chercheurs avaient trouvé plus de 8600 failles de sécurité sur des pacemakers. L’analyse démontrait une sécurité embryonnaire : Données non chiffrées, systèmes d’exploitation ultra-obsolètes, manque d’authentification, librairies vieillissantes, etc. Rarement une étude de sécurité a mis en évidence un niveau de sécurité aussi faible que celui des systèmes de pacemakers. La majeure partie de ces failles sont connues et proviennent de logiciels qui ne sont pas à jour.

Ce n’est pas la première fois que les pacemakers sont montrés du doigt. En 2012, le hacker Barnaby Jack avait déjà montré qu’on pouvait pirater des pacemakers pour les transformer en bombe électrique. Plus récemment, l’agence américaine des produits alimentaires et médicamenteux (FDA, Food and Drug Administration) s’était inquiétée des vulnérabilités de certains stimulateurs cardiaques. Elle avait lancé une enquête avec le DHS, le Département de la Sécurité intérieure aux États-Unis, afin d’évaluer le niveau de robustesse de plusieurs milliers de pacemakers connectés de la marque Abbott’s. Plus de 450 000 pacemakers avaient dû ainsi subir une mise à jour… On imagine le coût du patching de ces pacemakers… Si les mesures de sécurité restent classiques, changer régulièrement les mots de passe, ne pas divulguer sur Internet les numéros de série des implants et sensibiliser les publics concernés, l’idéal serait de chiffrer les échanges de données.

Sauf que ces petits appareils manquent de batterie et de mémoire pour implémenter une couche de sécurité efficiente. La situation ne devrait guère s’améliorer dans les prochaines années avec l’augmentation croissante de dispositifs connectés.