Sécurité

Un hacker Black Hat détaille une attaque sans fil mortelle contre des pompes à insuline

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Si tu pensais que débloquer des voitures par SMS était la définition de néfaste, détrompez-vous : lors de la conférence sur la sécurité Black Hat, le chercheur en sécurité Jerome Radcliffe a expliqué en détail comment notre utilisation de pompes à insuline SCADA, de stimulateurs cardiaques et de défibrillateurs implantés pouvait entraîner des attaques mortelles introuvables à 800 mètres de distance.

Radcliffe, qui est diabétique avec un sans fil, toujours attaché pompe à insuline, était légèrement inquiet que quelqu’un puisse pirater sa pompe, se mêler de ses paramètres et le tuer – et donc, à la manière d’un véritable hacker, il a passé les deux dernières années à essayer de le pirater lui-même. Malheureusement, il a eu beaucoup de succès. Il a réussi à intercepter les signaux de contrôle sans fil, à les inverser, à injecter de fausses données, puis à les renvoyer à la pompe. Il pourrait augmenter la quantité d’insuline injectée par la pompe, ou la réduire. Dans les deux cas, la pompe n’a montré aucun signe d’altération et n’a pas généré d’avertissement indiquant qu’il était probablement sur le point de mourir. « Je peux obtenir un contrôle à distance complet », a déclaré Radcliffe. « Si j’étais un hacker diabolique, je pourrais donner des ordres pour donner de l’insuline, sans l’autorité de personne d’autre. C’est effrayant. Et je peux manipuler les données pour que cela se produise de manière furtive.

Le problème avec ces appareils sans fil est que, plutôt insensé, ils ne sont pas conçus avec la sécurité à l’esprit. Comme pour les premiers réseaux informatiques, personne ne croit que quelqu’un pourrait même essayer pour pirater une pompe à insuline ou un stimulateur cardiaque sans fil, et ils sont donc laissés relativement non sécurisés. Quelques Systèmes SCADA utilisent le cryptage, comme les systèmes de contrôle sans fil utilisés par les installations gouvernementales, les aéroports et les centrales électriques, mais le cryptage ajoute de la complexité, de la consommation d’énergie et des coûts. Le fabricant de la pompe à insuline de Radcliffe devait évidemment choisir entre être bon marché et rapide à commercialiser, ou sûr. Inutile de dire que maintenant que Radcliffe a montré qu’il est plutôt facile de tuer un utilisateur de cette pompe à insuline, le fabricant va maintenant agir assez rapidement pour la sécuriser avant de perdre des milliards de dollars dans un procès.

Psssssst :  Intel, Qualcomm, Broadcom et Xilinx se déplacent tous pour couper Huawei

Malheureusement, la faiblesse des systèmes SCADA « non vitaux » est endémique. Il y a trois ans, un vulnérabilité similaire [PDF] a été trouvé dans les stimulateurs cardiaques sans fil – et selon Brad Smith, chercheur en sécurité et également infirmier diplômé, ces mêmes systèmes de contrôle sans fil peuvent également être trouvés dans d’autres dispositifs médicaux. La seule grâce salvatrice est qu’aucun pirate n’a encore rendu public le processus exact requis pour pirater un appareil médical moderne et utilisé activement – et en effet, le processus variera d’un appareil à l’autre – mais cela vous fait vous sentir un peu mal à l’aise que quelqu’un pourrait se garer devant un hôpital ou une maison de retraite et tuer avec une impunité sans fil et introuvable.

La seule solution, comme pour les réseaux informatiques filaires et sans fil, est de renforcer la sécurité. Un matériel propriétaire serait un bon début, et le cryptage pourrait également être utilisé – mais dans le cas d’appareils implantés qui doivent fonctionner pendant des mois ou des années sans changement de piles, l’augmentation de la consommation d’énergie des circuits complexes est hautement indésirable. En fin de compte, ces dispositifs de contrôle sans fil doivent simplement être construits en supposant que les pirates finiront par s’introduire. Dans le cas de la pompe à insuline, elle devrait contenir une vérification de l’intégrité au niveau du matériel. Il pourrait contenir un morceau de mémoire en lecture seule qui contient les quantités minimales et maximales d’insuline qui devraient jamais être injectées au patient.

Lire la suite sur Le blog de Scott Hanselman et VentureBeat

Psssssst :  Le dernier stratagème de démolition de la vie privée de Verizon : un supercookie impossible à bloquer qui permet à quiconque de vous suivre sur Internet

Bouton retour en haut de la page