{"id":1451,"date":"2013-08-14T18:00:13","date_gmt":"2013-08-14T18:00:13","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=1451"},"modified":"2020-02-26T15:43:08","modified_gmt":"2020-02-26T15:43:08","slug":"pirater-les-humains","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/pirater-les-humains\/1451\/","title":{"rendered":"Pirater les humains"},"content":{"rendered":"

Vous pouvez d\u00e9sormais ajouter les pompes \u00e0 insuline et les pacemakers \u00e0 la liste toujours plus importante d\u2019appareils contenant des bugs et vuln\u00e9rables aux exploits.<\/a> C\u2019est vrai, ces petites choses en m\u00e9tal dans la poitrine de papy qui lancent des d\u00e9charges \u00e9lectriques dans son c\u0153ur afin de le faire battre correctement sont susceptibles d\u2019\u00eatre pirat\u00e9s \u00e0 distance et ce via un simple ordinateur portable. C\u2019est aussi le cas des pompes \u00e0 insuline qui ont remplac\u00e9 les seringues et les injections dans le quotidien d\u2019un grand nombre de diab\u00e9tiques cherchant \u00e0 r\u00e9guler le\u00a0 taux de sucre trop important\u00a0 de leur sang.<\/p>\n

\"humans_title_FR\"<\/a><\/p>\n

La mauvaise nouvelle c\u2019est que nombreux des millions d\u2019appareils m\u00e9dicaux implant\u00e9s sur des millions de personnes sont consid\u00e9r\u00e9s comme vuln\u00e9rables face aux attaques. La bonne nouvelle c\u2019est que je n\u2019ai jamais eu connaissance d\u2019une telle attaque jusqu\u2019\u00e0 maintenant. La dure r\u00e9alit\u00e9 concernant les cybercriminels c\u2019est que, contrairement \u00e0 la plupart des chercheurs r\u00e9put\u00e9s, ils ne piratent pas pour le plaisir, ils piratent pour en tirer des b\u00e9n\u00e9fices. Donc, jusqu\u2019\u00e0 ce qu\u2019on trouve une mani\u00e8re de faire de l\u2019argent r\u00e9el en empoisonnant une personne via son insuline ou en lui d\u00e9livrant de lourdes ondes \u00e9lectriques dans le c\u0153ur, je ne vois tout simplement pas de motivations \u00e0 ces attaques.<\/p>\n

Je l\u2019admet, c\u2019est un peu gros d\u2019imaginer des assassins-pirates s\u2019en prenant aux personnes disposant d\u2019appareils m\u00e9dicaux implant\u00e9s, et c\u2019est m\u00eame compl\u00e8tement loufoque. La fronti\u00e8re entre r\u00e9aliser de telles attaques, disposer des capacit\u00e9s m\u00e9dicales n\u00e9cessaires, conna\u00eetre les environnements impliqu\u00e9s et les syst\u00e8mes vuln\u00e9rables est tellement importante que presque personne ne peut exploiter un pacemaker ou une pompe \u00e0 insuline. Et m\u00eame s\u2019ils le pouvaient, pourquoi le feraient-ils\u00a0? Pour tuer\u00a0? Si vous pensez que quelqu\u2019un essaie de vous tuer, alors je peux vous assurer que les attaques d\u2019appareils m\u00e9dicaux implant\u00e9s sont le cadet de vos soucis.<\/p>\n

\"piratage_humain\"<\/a><\/p>\n

\u00a0<\/span><\/span><\/p>\n

N\u00e9anmoins, si un tel risque existait, il devrait \u00eatre pris au s\u00e9rieux. Malheureusement, Barnaby Jack, un des leaders dans la recherche sur l\u2019implantation d\u2019appareils m\u00e9dicaux, est mort le mois dernier, une semaine\u00a0 avant son intervention sur le sujet<\/a> \u00e0 la Conf\u00e9rence sur la s\u00e9curit\u00e9 Black Hat de Las Vegas<\/a>. Cependant, Jack, qui a travaill\u00e9 en tant que chercheur en s\u00e9curit\u00e9 pour l\u2019entreprise d\u2019applications de s\u00e9curit\u00e9 IOActive, a publi\u00e9 un tas de recherches sur le sujet fin 2012. Ces r\u00e9sultats \u00e9taient<\/a> pour le moins pessimistes.<\/p>\n

\"barnaby_jack\"<\/a><\/p>\n

\u00c0 la Conf\u00e9rence Breakpoint qui a eu lieu en Australie l\u2019ann\u00e9e derni\u00e8re, Jack a d\u00e9montr\u00e9 qu\u2019il pouvait envoyer un signal \u00e0 distance depuis un ordinateur portable jusqu\u2019\u00e0 un pacemaker en faisant en sorte que l\u2019appareil d\u00e9livre une d\u00e9charge potentiellement fatale et ce depuis l\u2019int\u00e9rieur du corps du patient. L\u2019attaque \u00e9taient possible gr\u00e2ce \u00e0 une erreur de programmation qui permettait aux chercheurs d\u2019envoyer un ordre sp\u00e9cial au pacemaker et ce dernier r\u00e9pondait en livrant son mod\u00e8le et son num\u00e9ro de s\u00e9rie. Une fois qu\u2019il avait d\u00e9termin\u00e9 le type d\u2019appareil avec lequel il fonctionnait, il \u00e9tait capable de d\u00e9livrer une d\u00e9charge de 830 volts \u2013 et donc, potentiellement fatale \u2013 au corps dans lequel le pacemaker \u00e9tait implant\u00e9. De plus, Jack \u00a0a d\u00e9montr\u00e9 qu\u2019il est possible de programmer des pacemakers\u00a0 pour r\u00e9pandre des codes malveillants \u00e0 d\u2019autres appareils similaires du m\u00eame vendeur. Par chance, ce sc\u00e9nario serait surement envisageable \u00e0 Hollywood, mais en ce qui concerne les criminels ou les terroristes dans la vie r\u00e9elle, il est plus efficace d\u2019utiliser des bombes ou des armes.<\/p>\n

Ce n\u2019\u00e9tait pas le premier coup de poker de Jack. Il a compl\u00e8tement boulevers\u00e9 l\u2019industrie de la s\u00e9curit\u00e9 l\u2019ann\u00e9e pr\u00e9c\u00e9dente \u00e0 la conf\u00e9rence Hacker Halted \u00e0 Miami, en Floride, lorsqu\u2019il a d\u00e9montr\u00e9 qu\u2019il pouvait r\u00e9ussir le piratage d\u2019une pompe \u00e0 insuline en l\u2019obligeant \u00e0 d\u00e9livrer une dose fatale d\u2019insuline \u00e0 300 m\u00e8tres de distance.<\/p>\n

Jack a modifi\u00e9 \u00e0 distance les antennes de l\u2019une de ces pompes et a trafiqu\u00e9 le logiciel qui le contr\u00f4le. Une pr\u00e9c\u00e9dente intervention de J\u00e9r\u00f4me Radcliffe \u00e0 la Black Hat de 2011 avait d\u00e9montr\u00e9 que la manipulation d\u2019une pompe \u00e0 insuline \u00e9tait possible si un pirate pouvait retrouver le num\u00e9ro de s\u00e9rie de l\u2019appareil de la pompe implant\u00e9e en question. Les recherches de Jack sont pass\u00e9es au niveau sup\u00e9rieur. Il a r\u00e9ussi \u00e0 compromettre toutes les vuln\u00e9rabilit\u00e9s des appareils sans conna\u00eetre le num\u00e9ro d\u2019identification de l\u2019appareil.<\/p>\n

Jack \u00e9tait seulement un chercheur parmi beaucoup d\u2019autres et les pacemakers et les pompes \u00e0 insuline sont seulement le sommet de l\u2019iceberg.\u00a0 Parmi ceux-ci,\u00a0 on compte un nombre incroyablement \u00e9lev\u00e9 d\u2019appareils m\u00e9dicaux potentiellement vuln\u00e9rables, qu\u2019il s\u2019agisse d\u2019appareils implant\u00e9s ou externes.\u00a0 Et comme s\u2019ils n\u2019\u00e9taient d\u00e9j\u00e0 pas assez dans la lumi\u00e8re, le sujet de la s\u00e9curit\u00e9 des appareils m\u00e9dicaux va recevoir beaucoup d\u2019attention dans les ann\u00e9es et les mois \u00e0 venir, et nous \u00e9crirons sur ce sujet d\u00e8s lors que des recherches int\u00e9ressantes seront pr\u00e9sent\u00e9es.<\/p>\n

Un des probl\u00e8mes avec la s\u00e9curit\u00e9 des appareils m\u00e9dicaux est qu\u2019ils sont radicalement diff\u00e9rents des ordinateurs standards.\u00a0 Une pompe \u00e0 insuline communique avec les m\u00e9decins pour d\u00e9terminer le taux d\u2019insuline \u00e0 diffuser. De m\u00eame pour les pacemakers\u00a0: ils d\u00e9livrent une d\u00e9charge \u00e9lectrique au c\u0153ur pour qu\u2019il continue \u00e0 battre normalement, et il communique parfois avec quelque chose situ\u00e9 en dehors du corps pour d\u00e9terminer\u00a0 de quelle intensit\u00e9 elle doit \u00eatre.<\/p>\n

\"pacemaker\"<\/a><\/p>\n

Si ces appareils peuvent communiquer avec des sources situ\u00e9es \u00e0 l\u2019ext\u00e9rieur du corps, cela signifie qu\u2019ils le font \u00e0 distance, ce qui pose des probl\u00e8mes de s\u00e9curit\u00e9 \u00e9vidents comme l\u2019ont d\u00e9montr\u00e9 les chercheurs comme Jack. Il semble que la prochaine \u00e9tape serait de s\u2019assurer que ces appareils communiquent sur des canaux chiffr\u00e9s et d\u2019\u00e9ventuellement installer une forme d\u2019authentification, en limitant l\u2019acc\u00e8s aux appareils. Cela peut s\u2019av\u00e9rer tr\u00e8s \u00e9prouvant en raison du nombre \u00e9lev\u00e9 de restrictions impos\u00e9es naturellement par ces appareils. Installer des mots de passe pourrait emp\u00eacher les docteurs d\u2019autres pays \u00e0 sauver vos vies pendant vos vacances. Le chiffrement pourrait rapidement vider la batterie d\u2019un petit appareil implant\u00e9. Ces \u00e9preuves sont nouvelles et n\u2019ont pas encore de r\u00e9ponse.<\/p>\n

S\u2019il est bien une chose dont je suis s\u00fbr, c\u2019est que les m\u00e9decins et certains des chercheurs en s\u00e9curit\u00e9 font partie des personnes les plus intelligentes au monde. Mais il n\u2019y pas que cela, les m\u00e9decins sont tr\u00e8s fiers de sauver des vies. Les chercheurs en s\u00e9curit\u00e9 eux-m\u00eames font parfois de l\u2019exc\u00e8s de z\u00e8le au moment de prot\u00e9ger les donn\u00e9es et les syst\u00e8mes.<\/p>\n

Il n\u2019y a pas grand chose que vous puissiez faire\u00a0 pour vous prot\u00e9ger dans ce cas. Personne ne d\u00e9veloppe de produits de s\u00e9curit\u00e9 pour ce genre de probl\u00e8me et je doute s\u00e9rieusement qu\u2019il y ait quoique ce soit qui aide les utilisateurs \u00e0 contr\u00f4ler leur s\u00e9curit\u00e9. Je suppose que si vous souffrez de diab\u00e8te vous pouvez retourner \u00e0 l\u2019ancienne m\u00e9thode de gestion de votre taux d\u2019insuline, soit par des injections. Avec un peu de chance, vous n\u2019aurez jamais \u00e0 porter d\u2019appareil\u00a0: le meilleur que vous puissiez faire est de garder un \u0153il sur les fabricants et les docteurs et esp\u00e9rer qu\u2019ils pr\u00eatent attention \u00e0 de telles recherches, ce qu\u2019ils font certainement.<\/p>\n

Cela pourrait sembler imprudent de publier des informations aussi sensibles de la sorte, mais vraiment, le travail de Jack et d\u2019autres travaux similaires sont susceptibles de\u00a0 pousser les fabricants d\u2019appareils m\u00e9dicaux \u00e0 commencer \u00e0 fabriquer\u00a0 et \u00e0 maintenir des \u00e9quipements s\u00e9curis\u00e9s. Ce sont des docteurs et des ing\u00e9nieurs apr\u00e8s tout. Ils apprennent de leurs erreurs. Lorsqu\u2019un chercheur leurs montrent un bug dans leurs produits, ce bug ne se reproduira s\u00fbrement plus.<\/p>\n

L\u2019essentiel \u00e0 retenir est que les appareils m\u00e9dicaux implant\u00e9s sauvent des millions de vies chaque ann\u00e9e et le nombre de personnes qui sont morts suite \u00e0 un piratage d\u2019appareil m\u00e9dical est proche de z\u00e9ro.<\/p>\n","protected":false},"excerpt":{"rendered":"

Vous pouvez d\u00e9sormais ajouter les pompes \u00e0 insuline et les pacemakers \u00e0 la liste toujours plus importante d\u2019appareils contenant des bugs et vuln\u00e9rables aux exploits. C\u2019est vrai, ces petites choses<\/p>\n","protected":false},"author":42,"featured_media":1456,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[387,124],"class_list":{"0":"post-1451","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-appareils-medicaux","9":"tag-piratage"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/pirater-les-humains\/1451\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/appareils-medicaux\/","name":"appareils m\u00e9dicaux"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/1451","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=1451"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/1451\/revisions"}],"predecessor-version":[{"id":13974,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/1451\/revisions\/13974"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/1456"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=1451"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=1451"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=1451"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}