Alors que le scandale fait rage vis-à-vis des objets connectés au vu de leurs vulnérabilités informatiques, la tournure des événements semble s’aggraver encore plus avec la découverte de deux chercheurs, Billy Rios et Jonathan Butts, de la compagnie de sécurité Witescope. Les pacemakers sont eux-aussi des victimes potentielles du cyber-piratage. Un danger que courent non seulement de simples citoyens mais aussi des responsables d’entreprise, des élus ou des politiques… Pour démontrer ce fait, les chercheurs ont mis à jour plus de 8.600 failles dans le code informatique de sept stimulateurs cardiaques de quatre marques différentes. Notamment en ce qui concerne le fabricant américain Abott dont 465.000 pacemakers sont actuellement utilisés aux États-Unis.
Défaut de sécurité à la conception des produits
« Ce n’est pas uniquement l’appareil lui-même qui court un risque mais tout ce à quoi le périphérique est connecté. Dans le cas des pacemakers, des humains courent un risque majeur qui est soit lié à un potentiel de piratage soit dû au risque que fait encourir la mise à jour du stimulateur », met en garde Christophe Badot, directeur France chez Varonis, un éditeur de logiciels de cybersécurité. En cause, les chercheurs dénoncent le fait que la plupart de ces fabricants ne se sont pas prémunis contre le risque de piratage informatique lors de la fabrication de leurs stimulateurs cardiaques. Commune aux fabricants d’objets connectés, cette négligence pourrait coûter très cher…
A quel niveau se trouvent les failles ?
Selon les chercheurs, ces vulnérabilités se trouveraient principalement au niveau des procédures d’identification des pacemakers, lesquelles permettent notamment de modifier les paramètres des stimulateurs cardiaques. Particulièrement vulnérables, ces dispositifs d’authentification sont des proies faciles pour le cyberpirate qui peut en prendre le contrôle aisément. Pour expliquer ce fait, l’étude dénonce l’archaïsme des logiciels sur lesquels tournent les pacemakers. La plupart fonctionnant encore sur Windows XP ou des systèmes d’exploitation encore plus anciens. Pourtant, une simple mise à jour des logiciels utilisés pourrait changer la donne.
La nécessité du fuzzing
Autre fait plus grave, les chercheurs dénoncent l’absence de chiffrement des données afin de protéger les mots de passe et les identifiants. Une lacune sévère qui cette fois-ci se règle beaucoup plus difficilement : c’est en amont, durant la fabrication d’un objet connecté que doivent être effectués les tests afin de repérer les failles et les combler. Une phase nécessaire communément appelée “fuzzing”. « Sécuriser l’Internet des objets n’est pas un problème qui sera résolu du jour au lendemain, poursuit Christophe Badot. Si la mise à jour des appareils d’ancienne génération sera compliquée, voire impossible, il n’en reste pas moins que les fabricants ont une responsabilité évidente et se doivent d’intégrer la meilleure sécurité possible dès la conception de leurs produits et services. Surtout si ceux-ci sont amenés à être connectés. »
Ségolène Kahn
Commentez