Article initialement publié le 19 juillet 2019.
À voir aussi sur Konbini
Il y a deux ans, Billy Rios et Jonathan Butts, deux chercheurs de l’entreprise de cybersécurité QED, découvraient une vulnérabilité terrible dans deux modèles de pompes à insuline produits par la compagnie américaine Medtronic. En exploitant cette faille, un tiers pouvait prendre possession d’une de ces pompes à distance pour l’éteindre, voire administrer au patient une dose potentiellement létale, explique Wired. En août 2018, la faille émeut la communauté hacker à la conférence Black Hat de Las Vegas. Elle concerne alors près de 4 000 appareils aux États-Unis.
Suite à cette présentation, l’Administration des aliments et des médicaments et le Département de la sécurité intérieure alertent les propriétaires pouvant être affectés. Medtronic le fait aussi, sans pour autant rappeler les appareils ou proposer un remboursement. Après des mois de négociations avec Medtronic pour combler cette faille, la situation reste au point mort.
Les deux chercheurs décident alors de prendre des mesures plus drastiques. Pour accélérer le remplacement global de tous les produits défectueux, qui a – enfin – eu lieu fin juin, les deux chercheurs ont décidé de démontrer concrètement l’étendue de la menace : ils mettent au point une application, sous Android, qui simule un piratage desdites pompes. En clair, une application capable de tuer.
“Nous avons créé une télécommande universelle fonctionnant sur chacune de ces pompes à insuline dans le monde, explique Rios. Je ne sais pas pourquoi Medtronic attend que des chercheurs créent une appli qui pourrait tuer ou blesser quelqu’un avant de prendre ça sérieusement. Rien n’a changé entre notre conférence et il y a trois semaines.“
Les communications ne sont pas chiffrées
La plupart des patients diabétiques s’administrent eux-mêmes leur dose d’insuline. Dans le cas des pompes de Medtronic, le principe est que l’utilisateur utilise une télécommande pour faire fonctionner la pompe. Et, comme Rios et Butts l’ont découvert, il est relativement aisé de déterminer la radiofréquence avec laquelle la télécommande entre en contact avec la pompe. De plus, ces informations émises ne sont en aucun cas chiffrées.
Pour viser une pompe en particulier, il est nécessaire de connaître le numéro de série de celle-ci – l’équivalent d’un numéro de téléphone. Mais, pour passer outre cette protection, les chercheurs ont donc rajouté une fonctionnalité qui balaye automatiquement tous les numéros de série possibles jusqu’à ce que l’application trouve le bon (une approche dite de force brute, ou bruteforce).
Rios avance que le groupe de chercheurs a fait la démonstration de son application mi-juin. Une semaine plus tard, Medtronic annonçait le rappel “volontaire” de leurs pompes. Si les deux chercheurs sont heureux que des mesures aient pu être prises, ils regrettent néanmoins d’avoir eu à mettre l’entreprise face au mur pour que des changements aient lieu.