Le fait que les fabricants de divers types d'appareils se concentrent sur la conception et la facilité d'utilisation, laissant les problèmes de sécurité de l'information par dessus bord, a été écrit à plusieurs reprises sur Habré. Cela s'applique aux entreprises qui produisent des smartphones, des gadgets IoT, et il s'est avéré que les développeurs de gadgets médicaux ne sont pas trop préoccupés par la protection de leurs appareils contre les interférences extérieures.
Et nous parlons d'appareils tels que les stimulateurs cardiaques et les défibrillateurs (pas ceux qui sont présentés dans la série sur les médecins, etc.). Ce sont des appareils miniatures qui sont implantés dans le corps humain de sorte que lorsque le cœur travaille avec des problèmes, il reçoit un signal électrique qui vous permet de «mettre en marche» le mode de fonctionnement normal du muscle cardiaque.
Si quelque chose arrive à un tel gadget, son propriétaire sera confronté à des problèmes inévitables, voire à la mort. Pire encore, les défibrillateurs deviennent de plus en plus «intelligents». Ceux de Medtronic étaient également vulnérables aux interférences externes.
Pour entretenir et vérifier le fonctionnement des appareils, des appareils spécialisés sont utilisés. Dans les hôpitaux, un modèle appelé CareLink Programmer est utilisé, à la maison - MyCareLink Monitor.
Et tout irait bien, mais, comme l'ont montré les chercheurs de Clever Security, le protocole de communication utilisé par ces appareils n'est pas sécurisé. Lors de la transmission de données, le cryptage n'est pas utilisé - pas du tout, les informations sont transmises, en fait, en clair. De plus, il n'y a aucune protection contre les connexions externes, qui peuvent être utilisées par les attaquants.
Ainsi, un cybercriminel peut se connecter au gadget et changer le mode de fonctionnement ou reflasher complètement à l'aide d'un logiciel personnalisé.
Les experts ont évalué la gravité du problème à 9,3 points sur une échelle de 10 points. La situation est vraiment très difficile, car il est impossible de changer quoi que ce soit dans le sens du renforcement de la sécurité des informations de l'appareil en mode en ligne. Et les attaquants pourraient bien utiliser le problème à leurs propres fins.
Jusqu'à présent, les chercheurs n'ont effectué qu'une attaque par preuve de concept, juste pour démontrer les capacités mentionnées dans l'étude. Certes, cela nécessite un accès physique à l'appareil de contrôle - MyCareLink ou CareLink. S'il y a accès, l'action la plus innocente peut être d'obtenir les données utilisateur stockées sur l'appareil. Si vous le souhaitez, vous pouvez reflasher l'appareil, comme mentionné ci-dessus.
Mais il y a une autre possibilité - les attaquants, s'ils ont l'expérience appropriée, peuvent créer un appareil personnalisé qui, étant à portée du défibrillateur, peut définir un mode de fonctionnement spécifique pour n'importe lequel des appareils fabriqués par Medtronic.
Bien sûr, les experts en cybersécurité ont publié des informations sur le problème dans le domaine public après avoir envoyé tout ce qui était nécessaire aux développeurs de dispositifs médicaux. Ils ont renforcé leurs systèmes en rendant l'accès à MyCareLink et CareLink plus difficile. Mais la connexion est restée non protégée - il n'y a pas de cryptage et d'authentification.
Soit dit en passant, les deux périphériques de contrôle exécutent une version personnalisée de Linux. Les mots de passe qui permettent un accès root à ces gadgets sont stockés sous forme de hachage MD5, qui peuvent être déchiffrés sans aucune difficulté. Selon les chercheurs, le mot de passe à 8 chiffres qui donne accès à ce système peut être piraté même en utilisant un ordinateur portable classique et la base de mots de passe / connexions du service RockYou, partagée il y a 10 ans.
Certes, pour qu'une attaque d'agresseurs réussisse, le défibrillateur doit être en état d'écoute de la "radio". Les gadgets entrent dans ce mode au moment où les médecins effectuent des travaux d'entretien spéciaux, ainsi que lors d'un test de défibrillateur utilisant Carelink.
Les problèmes avec les dispositifs médicaux ne s'arrêtent pas là, car seul le problème inhérent à un certain type de gadget de l'un des fabricants est illustré. Mais il existe de nombreux implants médicaux «intelligents», et personne ne peut garantir que d'autres gadgets sont plus sûrs que les systèmes fabriqués par Medtronic.