Une vulnérabilité découverte sur les pompes à insuline MiniMed 508 et celles de la gamme Paradigm

Un groupe de chercheurs en sécurité indépendant a découvert une nouvelle vulnérabilité importante dans les pompes à insuline Medtronics MiniMed 508 et celles de la gamme Paradigm.

L'exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant ayant un accès physique à l'une des pompes impactées d'intercepter, de modifier ou d'interférer avec les communications sans fil émises pour contrôler l'appareil. Cela pourrait permettre ainsi aux attaquants de lire les données sensibles, de modifier les paramètres de la pompe ou de contrôler à distance l'administration d'insuline.

Cette vulnérabilité n'est donc pas exploitable à distance mais nécessite une connaissance élevée du fonctionnement du périphérique pour pouvoir l'exploiter.

Détails techniques :

CVE-2019-10964 [CVSS v3 7.1] : Les pompes à insuline impactées sont conçues pour communiquer par fréquence radio avec d'autres appareils, tels que les glucomètres, les transmetteurs de capteurs de glucose au moyen d'un récepteur radio connectée en USB, nommé CareLink USB.

L'appareil permet également le téléchargement de données sur la glycémie et de les communiquer avec un professionnel de santé. La vulnérabilité réside ainsi dans le fait que le protocole de communication sans fil n'implémente pas correctement l'authentification de l'émetteur. En effet, les signaux n'étant pas uniquement lisibles par un seul périphérique authentifié ils demeurent, lorsqu'ils sont captés, modifiables comme s'il s'agissait de l'émetteur légitime.

Medtronic ne serait pas en mesure de mettre à jour ces pompes à insuline pour remédier à cette vulnérabilité. D'après le département de la Sécurité Intérieure des Etats-Unis, une notification devrait être faite par l'éditeur aux patients et établissements contenant une série d'instructions pour faire face à la situation.

Informations
+

Risques

  • Atteinte à la confidentialité des données.

Criticité

  • Score CVSS : 7.10 (Score de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation connu n'a été diffusé.

Composants & versions vulnérables

  • Pompes MiniMed 508 – Toutes les versions sont concernées
  • Pompes MiniMed Paradigm 511 – Toutes les versions sont concernées
  • Pompes MiniMed Paradigm 512/712  – Toutes les versions sont concernées
  • Pompes MiniMed Paradigm 712E – Toutes les versions sont concernées
  • Pompes MiniMed Paradigm 515/715 – Toutes les versions sont concernées
  • Pompes MiniMed Paradigm 522/722 – Toutes les versions sont concernées
  • Pompes MiniMed Paradigm 522K/722K – Toutes les versions sont concernées
  • Pompes MiniMed Paradigm 523/723 – Version du logiciel 2.4A ou inférieure
  • Pompes MiniMed Paradigm 523K/723K – Version du logiciel 2.4A ou inférieure
  • Pompes MiniMed Paradigm Veo 554/754 – Version du logiciel 2.6A ou inférieure
  • Pompes MiniMed Paradigm Veo 554CM and 754CM – Version du logiciel 2.7A ou inférieure

CVE

  • CVE-2019-10964

Recommandations
+

Mise en place de correctif de sécurité

  • Aucun correctif n'a été proposé pour cette vulnérabilité.

Solution de contournement

  • Medtronic recommande par ailleurs aux établissements de santé et aux patients de prendre les précautions de cybersécurité indiquées ci-dessous: 
    • Maintenir un contrôle physique serré de la pompe et des dispositifs raccordés à la pompe ;
    • Ne pas partager le numéro de série de la pompe ;
    • Suivre les notifications et alertes faites sur les usages de la pompe ;
    • Ne pas connecter d'appareils ou de logiciels tiers non référencés par Medtronic ;
    • Déconnecter les périphériques USB CareLink des ordinateurs lorsqu'ils ne sont pas utilisés pour télécharger des données de la pompe.