La technologie de stimulation artificielle du muscle cardiaque par choc électrique est utilisée en médecine depuis un certain temps. Au fil du temps, les stimulateurs cardiaques, et il s'agit d'eux, deviennent de plus en plus parfaits. Auparavant, des modules câblés étaient utilisés pour le stimulateur cardiaque, mais maintenant ils sont principalement sans fil, l'interaction se fait par radiofréquences. Mais, en règle générale, plus le système est complexe, plus il est facile de le désactiver. Ce n'est pas toujours le cas, mais dans certains cas, la situation n'est que cela. Et cela s'applique également aux stimulateurs cardiaques. Ainsi, relativement récemment, des nouvelles ont commencé à apparaître sur le Web selon lesquelles les stimulateurs cardiaques, en particulier radiocommandés, étaient vulnérables aux intrus.
Les médecins ont déjà commencé à exprimer leurs préoccupations - après tout, si ce petit appareil peut être piraté, et même à distance, cela signifie la possibilité de tuer ou de blesser une personne, également à distance. Certes, certains experts ont commencé à dire qu'il était assez difficile de casser un stimulateur cardiaque et qu'il était impossible pour une personne moyenne d'avoir accès à un tel module. En fait, pour un utilisateur techniquement averti qui connaît bien les affaires électroniques et radio, il n'y a rien de compliqué. En fait, même si cela n'est pas nécessaire, vous pouvez simplement acheter un module de commande pour un modèle de stimulateur cardiaque spécifique sur eBay et représenter déjà un danger pour les utilisateurs d'un stimulateur cardiaque de ce modèle particulier.
Dans le cas habituel, les stimulateurs cardiaques
sont situés à côté du muscle pectoral, délivrant des signaux électriques au cœur. La tâche principale d'un stimulateur cardiaque est de maintenir ou d'imposer une fréquence cardiaque à un patient dont le cœur ne bat pas souvent, ou il existe une déconnexion électrophysiologique entre les oreillettes et les ventricules (bloc auriculo-ventriculaire).
L'un des problèmes est que les développeurs de tels appareils n'essaient même pas d'introduire des systèmes d'identification dans leurs stimulateurs cardiaques. Les experts
soutiennent que tout module de commande de programmateur de stimulateur cardiaque d'un fabricant particulier peut fonctionner avec n'importe quel appareil fabriqué par la même entreprise, dans la plupart des cas, il n'y a pas de liaison d'un module spécifique à un stimulateur cardiaque spécifique. C'est ce que disent les experts de WhitScope, une organisation travaillant dans le domaine de la cybersécurité. Il s'avère que les patients porteurs d'un stimulateur cardiaque ne sont pas protégés contre les intrus. Après tout, si un tel module de contrôle tombe entre les mains d'une personne qui décide de blesser une personne avec un stimulateur cardiaque, il est peu probable qu'il interfère.
Mais les entreprises qui fournissent ce type d'appareil au marché affirment que leur distribution est contrôlée. En fait, ce n'est
pas tout à fait vrai , car de nombreux modules de contrôle «gauche» sont vendus sur le même eBay, ce qui n'est guère pris en compte quelque part. Tout le monde peut les acheter, bien que ce ne soit pas un produit qui mérite d'être consulté. Des vulnérabilités de sécurité ont été découvertes par des chercheurs de WhiteScope après avoir acheté divers types d'appareils sur eBay à des prix variant de 15 $ à 3 000 $. Au total, plus de 8 000 vulnérabilités ont été détectées dans les modules de contrôle des pilotes de fréquence cardiaque de quatre fabricants différents. Dans deux cas, les experts ont trouvé des données sur les patients qui étaient stockées dans des appareils sous une forme ouverte. Comme on l'a découvert, les patients ont été traités dans l'un des célèbres hôpitaux des États-Unis.
Les auteurs de l'étude soutiennent que les développeurs de pilotes de fréquence cardiaque et d'équipements de contrôle devraient accorder plus d'attention à la sécurité de leurs appareils et, par conséquent, à la sécurité des utilisateurs de ces appareils. Leur vie et leur santé sont menacées en raison de la négligence des méthodes de protection les plus simples. De plus, le problème ne vient pas d'un seul fabricant; il a déjà été dit plus haut que de nombreux stimulateurs cardiaques divisés peuvent être considérés comme vulnérables.
La chose la plus intéressante est que les experts en sécurité de l'information ont
critiqué le manque de protection des stimulateurs cardiaques pour la première fois. Dès 2013, cette question a été soulevée simultanément par des chercheurs indépendants et la Food and Drug Administration. Problèmes de protection non seulement avec les stimulateurs cardiaques, mais aussi avec d'autres appareils, y compris les pompes à insuline, les cardiofréquencemètres, les appareils d'anesthésie, etc. Le fait est que de tels appareils contiennent pour la plupart des mots de passe câblés. Les attaquants qui connaissent ces mots de passe d'accès peuvent exploiter les vulnérabilités.
Jusqu'à présent, rien ne prouve que quiconque ait mené ce type d'attaque. Mais cela ne signifie pas qu'ils ne se tiendront pas à l'avenir. L'ancien vice-président américain Dick Cheney a
déclaré qu'il pensait que la menace était réelle. Un défibrillateur a été implanté à un moment donné pour prévenir les crises cardiaques. Les attaques contre des dispositifs médicaux de ce type, très probablement, ne fonctionneront pas à distance.
Pour l'interaction du module de commande et du même stimulateur cardiaque, une grande proximité est nécessaire - et il ne s'agit pas de mètres, mais au mieux de dizaines de centimètres. Les attaques à grande échelle utilisant des vulnérabilités dans des dispositifs médicaux semblent jusqu'à présent difficiles à mettre en œuvre. Mais cela ne signifie pas du tout que quelqu'un ne trouvera pas le moyen de transformer tout cela en réalité. Pour éviter que cela ne se produise, les fabricants doivent veiller à la sécurité de leurs produits.