Faille découverte dans les défibrillateurs Medtronic

[yoda1234]

Bonjour,

mais à quoi pensent donc ceux qui développent ces objets connectés vitaux ?
Une faille nécessitant peu de compétences (c'est bien sûr relatif) pour l'exploiter a été découverte dans les défibrillateurs cardio-vasculaires de marque Medtronic.

Des chercheurs de la société de sécurité Clever Security ont découvert que le protocole de télémétrie à fréquence radio Conexus (le moyen exclusif de Medtronic permettant aux écrans de se connecter sans fil à des dispositifs implantés) ne fournit aucun cryptage pour sécuriser les communications.
…
Pire encore, le protocole ne dispose d'aucun moyen d'authentification permettant aux périphériques légitimes de prouver qu'ils sont autorisés à prendre le contrôle des périphériques implantés. Cette absence d'authentification, associée à une multitude d'autres vulnérabilités, permet aux attaquants situés dans le rayon radio de réécrire complètement le micrologiciel du défibrillateur, ce qui est rarement le cas dans les exploits affectant les vulnérabilités des dispositifs médicaux.

L'avis a évalué la gravité à 9,3 sur un maximum de 10 points et a indiqué que son exploitation nécessitait peu de compétences. La notification indiquait ensuite que Medtronic avait mis en place des contrôles supplémentaires pour détecter les violations du protocole Conexus et y faire face, tout en continuant à développer des mesures supplémentaires qui seront déployées dès qu’ils auront reçu l’approbation réglementaire.

https://www.developpez.com/actu/2524...ez-un-patient/
-----

[mh34]

Et en termes simples ça signifie quoi?

[invite6f9dc52a]

Il me semble que (la plupart ?) des appareils électroniques implantés peuvent être piratés par "qui est à porté sans être un expert" car la sécurité de l'accès n'est pas vraiment ce qui se fait de mieux ou ce qu'on pourrait attendre ici).

[mh34]

je suis désolée hein...mais je n'arrive pas à comprendre qu'on s'étonne de découvrir des failles de sécurité. Vraiment je n'y arrive pas...

[A voir en vidéo sur Futura]

[JPL]

Je suis vaguement inquiet parce que j’ai un aspirateur robot connecté qui utilise le wifi et ma box. J’ignore totalement son degré de protection.

[pm42]

je suis désolée hein...mais je n'arrive pas à comprendre qu'on s'étonne de découvrir des failles de sécurité. Vraiment je n'y arrive pas...

Qu'on découvre des failles, c'est une chose. Là, c'est plus une absence de sécurité élémentaire et c'est plus choquant.
Disons que c'est en exagérant un peu l'équivalent de mettre un médicament sur le marché sans faire de tests cliniques. Et là, je suppose que cela te choquerait.

[mh34]

Disons que c'est en exagérant un peu l'équivalent de mettre un médicament sur le marché sans faire de tests cliniques. Et là, je suppose que cela te choquerait.

Si c'est à ce point effectivement. Je comprends. Merci de l'explication.

[polo974]

Je suis vaguement inquiet parce que j’ai un aspirateur robot connecté qui utilise le wifi et ma box. J’ignore totalement son degré de protection.

Configure ta box pour qu'il ne puisse pas accéder à tes autres appareils...

L'autre jour, il était question d'un boîtier "connecté" de contrôle de chargeur de voiture, ce dernier ouvrait une connexion ssh -R vers le serveur du fabriquant, soit en gros une porte grande ouverte sur le réseau personnel de l'utilisateur.

C'est d'ailleurs la même chose pour tous les bidules "connectés", ils peuvent tous très bien comporter ce genre d'intrusion (pour rester poli).