Photo: Medtronic
Le Ministère de la Sécurité intérieure, de la Cybersécurité et de la Sécurité de l’Infrastructure de l’Agence a émis un avertissement que certains Medtronic défibrillateurs implantés contiennent des vulnérabilités qui leur permettrait exploitées par des attaquants qui avaient le droit de connaissances des appareils et de la proximité d’une personne possédant un. Le Star Tribune a rapporté jeudi que le plus grand nombre de 750 000 dispositifs pourraient être vulnérables.
Les défibrillateurs implantés sont de petits appareils qui permettent d’éviter des conséquences potentiellement mortelles de problèmes cardiaques en administrant des chocs électriques pour traiter les battements de coeur irréguliers. L’agence a déclaré jeudi que si les exploités, les vulnérabilités dans certains Medtronic, permettant à un pirate d’intercepter et pourraient avoir un impact sur la fonctionnalité de certains modèles de défibrillateurs et les dispositifs de surveillance.
Selon Ars Technica, les vulnérabilités ont été signalées à Medtronic en janvier de l’année dernière par des chercheurs d’une société de sécurité de Sécurité Intelligente, qui fait un certain nombre de résultats alarmants:
Une preuve-de-concept attaque développé par les chercheurs ont été en mesure de prendre le contrôle des dispositifs implantés de manière inédite dans la plupart des exploits affectant les dispositifs médicaux de sauvetage. Avec un accès physique à un MyCareLink ou CareLink de la console, les chercheurs ont pu apporter des modifications pour tirer noms des patients, le médecin les noms et les numéros de téléphone de l’appareil et de le rendre non autorisée et potentiellement mortels des changements aux chocs les appareils livrés. Encore plus étonnante, l’attaque a été en mesure de lire et réécrire le firmware utilisé pour faire fonctionner l’implant.
DHS répertorié plus d’une douzaine de Medtronic cardiaque dispositifs affectés par les failles—y compris les défibrillateurs automatiques implantables et de la thérapie de resynchronisation cardiaque défibrillateurs, mais la compagnie a dit qu’ils n’affectent pas les autres Medtronic dispositifs tels que les stimulateurs cardiaques.
Medtronic a dit dans une déclaration à Gizmodo qu’il est actuellement à la recherche inhabituelles ou d’une activité non autorisée relatives à la vulnérabilité, mais qu’il n’a trouvé aucun incident de succès de l’exploitation de failles jusqu’à ce point. La société a ajouté ça fonctionne sur les correctifs de sécurité pour les défauts, le premier qui la dit devrait arriver plus tard cette année.
Malgré l’consultatif fédéral, la société vice-président des affaires médicales Robert Kowal a dit au Star Tribune que la vulnérabilité “serait très difficile à exploiter pour créer de mal.” Le DHS a également noté qu’un attaquant doit avoir “courte portée” d’accéder à l’un de ces Medtronic dispositifs pour retirer un exploit, une distance Kowal a dit le papier s’élèverait à environ 20 pieds.
Dans une déclaration par courriel une porte-parole de Medtronic dit que tous les deux et la Food and Drug Administration “recommandent que les patients et les médecins continuent à utiliser la technologie et les appareils prescrits et destinée, comme cela fournit le moyen le plus efficace pour gérer les patients les dispositifs et les maladies cardiaques.”
Selon Medtronic, les patients doivent également utiliser un défibrillateur dispositifs de surveillance fournis par Medtronic ou leur médecin. La société a également conseillé aux gens de maintenir un bon contrôle” sur leurs écrans et d’éviter les reliant à des appareils non approuvés.
[EDS via Star Tribune, Ars Technica]
Partager Cette Histoire