[Canada] Une étude universitaire révèle les impacts réels d’une cyber attaque menée contre un stimulateur cardiaque

Dans une étude publiée le 26 avril 2019, un collectif d’étudiant-chercheurs en sécurité de l’Université de Montréal a étudié les vecteurs et les impacts d’une cyberattaque qui pourrait être mené contre un stimulateur cardiaque. Leur analyse s'est construite autour de 4 types d’impacts (état de santé, financier, qualité de vie du patient et sur sa vie privée) en formulant 14 types de scénarios d’attaques différents.

Deux types d’attaques sont mis en avant à travers l’étude :

  1. L'interaction directe, qui consiste en une communication sans fil (de type radio-fréquence) avec le stimulateur et un dispositif servant à réaliser ce type d’attaque. Les conclusions de l’étude sur ce mode d’interaction tendent à considérer qu’elle constitue un risque acceptable, dans la mesure où ce type d’attaque n’ont été réalisées à ce jour que dans un environnement de type laboratoire de recherche nécessitant d’être à proximité du dispositif ;
  2. L’interaction indirecte, lorsque le stimulateur connecté en réseau transmet ses informations sur un serveur partagé dans le cloud. L’étude révèle que, au-delà des vulnérabilités matérielles et logicielles du dispositif, c’est l’interconnexion croissante entre les différents appareils externes qui démultiplient les vecteurs d'attaques. C'est le cas notamment lorsque les praticiens sont en mesure d'accéder à ces données collectées depuis une application mobile ou qu'elles sont téléchargées sur un poste fixe pour analyse.

Par ailleurs, les scénarios de risques identifiés comme les plus critiques dans l'étude reposent sur la connaissance par les attaquants du fonctionnement matériel et logiciel du stimulateur et de ses vulnérabilités potentielles. Figurent ainsi en tête, loin devant la collecte de données à caractère personnel de santé :

  1. L’extraction des données du système de gestion du stimulateur à partir du serveur de réseau de déploiement du firmware de l’appareil, par l'envoi d'une requête http arbitraire au serveur réseau de déploiement du logiciel de l'appareil ;
  2. La lecture/l'extraction des fichiers système du moniteur servant à surveiller l'état cardiaque de la personne, en accédant au port USB du périphérique ;
  3. L'injection d'une porte dérobée (malware) au sein du moniteur, par l'exécution d'une attaque de type homme-du-milieu lors d’une mise à jour du firmware de l’appareil;
  4. L'extraction des données système contenue dans le système de gestion du stimulateur, en accédant à l'appareil par l'intermédiaire d'une demande de mise à jour ;
  5. L’injection d'un programme qui exécute du code arbitraire dans le système de gestion du stimulateur, par l'usage d'un port USB, produisant délibérément des résultats erronés. 

Enfin, les résultats montrent que si les attaques sur ces dispositifs affectent les patients, ces derniers ne constituent en réalité pas toujours la cible première. Dans de nombreux cas d'études, les cibles se sont en effet révélées être les fabricants eux-mêmes (vol de propriété intellectuel) ou les praticiens (dans le but d'exercer des pressions en responsabilité civile).

Recommandations
+

Dans leur étude, les étudiants-chercheurs recommandent aux praticiens et établissements de santé clients mettant à disposition des patients ce type de dispositif :

  • De disposer d'une connaissance poussée sur le logiciel et l'architecture de leur équipement et de la façon de le déployer ;
  • De disposer d'une visibilité sur le manière dont le logiciel fonctionne, dans la mesure du possible par un accès au code source des logiciels ;
  • D'exiger ces informations lors de la sélection des prestataires avec lesquels ils décident de travailler.