Washington, le samedi 6 avril 2019 - « Il y a quelque chose qui me chiffonne », dirait l’inspecteur Columbo nouvelle génération en tirant sur sa cigarette électronique, avant de rejoindre sa voiture sans conducteur. Dans les épisodes 3.0. de la série policière qui a bercé l’enfance des plus de 50 ans, le crime parfait aurait pour victime le porteur d’un appareil de resynchronisation cardiaque, qui après plusieurs années sans aucun trouble aurait soudainement été rattrapé par sa pathologie. Pas de fatalité dans cette disparition d’un riche homme d’affaire californien, mais un véritable crime. Le scénario n’est pas une fiction : le service de cybersécurité américain (CISA) estime aujourd’hui que les failles de certains synchronisateurs cardiaques rendent possible un piratage potentiellement mortel pour leurs porteurs.
Elémentaire, mon cher Watson !
Dans la ligne de mire du CISA : 16 références de du géant des stimulateurs cardiaques, Medtronic, qui concernent 750 000 personnes aux Etats-Unis. Une « faille sévère » a été mise en évidence qui pourrait permettre à un hacker habile de modifier les données et le fonctionnement du dispositif. Si la manipulation n’est pas nécessairement si aisée, le dysfonctionnement est simple : à l’exception de la mise en marche et de la programmation, aucune phase d’identification n’est imposée pour entrer dans le système. En outre, les données si facilement accessibles ne sont pas cryptées. Des expériences conduites par des chercheurs de l’université de Birmingham et de l’université de Louvain ont conclu que les failles identifiées « pourraient permettre à des agresseurs disposant d'un moyen d'accès à courte distance, de générer, modifier ou intercepter les communications par radiofréquence du protocole de télémétrie Conexu, propriétaire de la firme Medtronic ». Très vite, Medtronic a affirmé que des corrections allaient être apportées pour remédier à ce défaut majeur.
Cette alerte pourrait cependant une nouvelle fois altérer la
confiance des patients alors que les mises en garde se sont
répétées ces dernières années concernant différents dispositifs
médicaux. Déjà en 2012, Barnaby Jack, pirate informatique devenu le
dirigeant d’une entreprise spécialisée dans la cyber sécurité avait
démontré comment il était possible à partir d’un simple ordinateur
portable de pirater un pacemaker à quelques mètres de
distance.
Léa Crébat
