+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    688
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 688
    Points : 15 239
    Points
    15 239

    Par défaut Des failles détectées dans les pacemakers de St Jude Medical pourraient être exploitées pour tuer des patients

    Des failles détectées dans les pacemakers de St Jude Medical pourraient être exploitées pour tuer des patients,
    un correctif est disponible

    Il y a quelques jours, l’agence américaine des produits alimentaires et médicamenteux (FDA) a émis une alerte à cause de plusieurs failles découvertes dans le système des stimulateurs cardiaques (pacemakers) et des défibrillateurs implantables ainsi que dans celui des appareils de surveillance à distance utilisés pour se connecter aux appareils implantés dans le corps des patients pour contrôler leur rythme cardiaque.

    Pour les personnes extérieures à l’environnement médical, il faut savoir que lorsque des personnes ont un rythme cardiaque anormal (trop lent ou trop rapide), il peut arriver qu’on leur implante dans le corps un appareil (pacemaker, défibrillateur automatique implantable…) pour réguler le rythme des battements du cœur ou encore pour délivrer des décharges électriques en cas d’arrêt du cœur.

    St Jude Medical est un centre médical qui fournit à ses patients un transmetteur baptisé Merlin@home qui est comme son nom l’indique, un dispositif de surveillance installé à la maison qui transmet et reçoit les signaux de fréquence radio utilisés pour se connecter à distance avec l’appareil implanté dans le corps du patient et lire les données de cet appareil implanté.

    Étant donné qu’il est possible de lire les données de l’appareil implanté, cette fonctionnalité est utilisée pour suivre à distance le patient afin de lui éviter de fréquents déplacements dans les locaux du médecin qui le suit. Pour cela, le patient peut se connecter au réseau de soins des patients Merlin.net et faire en sorte que les données lues par le transmetteur soient chargées directement sur ce réseau pour que le médecin ou cardiologue qui suit le patient puisse surveiller en permanence les fonctions de l’appareil implanté.

    Et c’est dans le système embarqué de ce transmetteur de St Jude Medical et celui des appareils pouvant être implantés dans le corps des patients que des failles ont été détectées. Selon la FDA, si ces vulnérabilités sont exploitées, elles pourraient permettre à une personne non autorisée d’avoir accès à la fréquence radio de l’appareil implanté dans le corps du patient après avoir modifié le transmetteur Merlin@home. Le transmetteur altéré pourrait ensuite être utilisé pour modifier les commandes de programmation de l’appareil implanté, ce qui pourrait avoir comme conséquence de décharger rapidement la batterie de l’appareil implanté ou encore de provoquer des chocs inopportuns qui pourraient entraîner la mort du patient.

    Ayant eu connaissance de ces failles, le centre hospitalier St Jude Medical a sorti un correctif qui sera appliqué automatiquement aux moniteurs Merlin@home. Il suffit pour les détenteurs de cet appareil de le laisser se connecter à internet pour que les failles rapportées soient corrigées.

    Source : St Jude Medical, FDA

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi

    Les logiciels de santé mis en cause dans des erreurs médicales, la menace de défaillance serait réelle dans de nombreux hôpitaux estime la CRCI
    Une faille dans une application médicale fait office de porte dérobée et permet à un pirate d'obtenir ou modifier les données critiques des patients
    Un équipement médical plante durant une opération sur le cœur à cause d'un scan antivirus qui s'est lancé en plein milieu de la procédure

    La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éprouvé Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    564
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 564
    Points : 1 271
    Points
    1 271

    Par défaut

    Qu'en penser ?
    ce n'est pas trop tôt mais il est bien tard. Le j'men foutisme ou naïveté sur la sécurité coûte bien cher par appât du gain ou faute de budget. Voire les deux.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  3. #3
    Membre expérimenté
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    février 2010
    Messages
    367
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 24
    Localisation : France

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : février 2010
    Messages : 367
    Points : 1 339
    Points
    1 339

    Par défaut

    Citation Envoyé par Olivier Famien Voir le message
    Il suffit pour les détenteurs de cet appareil de la laisser connecter à internet pour que les failles rapportées soient corrigées.
    C'est quoi cette solution?! Laisser le bouzin sur internet...

  4. #4
    En attente de confirmation mail
    Femme Profil pro
    pape n'aimant pas les censeurs
    Inscrit en
    janvier 2010
    Messages
    803
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Vatican

    Informations professionnelles :
    Activité : pape n'aimant pas les censeurs

    Informations forums :
    Inscription : janvier 2010
    Messages : 803
    Points : 1 353
    Points
    1 353

    Par défaut

    Citation Envoyé par marsupial Voir le message
    Qu'en penser ?
    ce n'est pas trop tôt mais il est bien tard. Le j'men foutisme ou naïveté sur la sécurité coûte bien cher par appât du gain ou faute de budget. Voire les deux.
    Ce n'est ni du "j'men foutisme", ni de la naïveté, ni un problème de budget, c'est pire: c'est du marketing!!!

    Il n'y a aucun besoin opérationnel de transformer un pacemaker en "objet connecté". C'est juste pour avoir un argument de plus face à la concurrence, il faut être "à la mode"!!! Malheureusement, leur métier c'est de fabriquer des "pacemakers" et ils devraient resté dans leur métier!!!

    PS: Chaque jour qui passe apporte son nouveau lot de news annonçant que tel ou tel système a été piraté sur le net. Vouloir connecter un système qui est responsable du maintien en vie d'une personne sur le net, c'est juste criminel car il est tout simplement impossible d'assurer la sécurité absolu d'un objet connecté !!!

  5. #5
    Membre éprouvé Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    564
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 564
    Points : 1 271
    Points
    1 271

    Par défaut

    J'ose espérer qu'ils ont prévu une LS sécurisée pour chaque update. Et j'espère que tous les fabricants de pacemaker communiqueront leurs specifications avant d'autres drames.
    Mais je préfère la procédure chargement du patch sur une bécane en mode "tire et oubli", comprendre à usage unique.

    vu la news je me méfie surtout lorsqu'on sait de quoi ils sont capables avec un politique à leur tête.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  6. #6
    Membre averti
    Femme Profil pro
    CTO
    Inscrit en
    août 2012
    Messages
    129
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : CTO
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : août 2012
    Messages : 129
    Points : 425
    Points
    425

    Par défaut

    Le question que je me pose c'est surtout: Pourquoi on peut interagir depuis internet avec le pacemaker ? Que le pacemaker puisse envoyer des données ok, pourquoi pas... Mais pourquoi n'est-ce pas une connexion à sens unique ? Justement pour éviter ce genre de faille...

  7. #7
    Expert confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    juin 2012
    Messages
    1 694
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : juin 2012
    Messages : 1 694
    Points : 4 327
    Points
    4 327

    Par défaut

    Citation Envoyé par TheLastShot Voir le message
    Le question que je me pose c'est surtout: Pourquoi on peut interagir depuis internet avec le pacemaker ? Que le pacemaker puisse envoyer des données ok, pourquoi pas... Mais pourquoi n'est-ce pas une connexion à sens unique ? Justement pour éviter ce genre de faille...
    Toujours la même raison :
    "Si on trouve un bug plus tard on pourra le corriger automatiquement sans rappeler tous les pacemakers" -> on évite de dégrader l'image de marque en rappelant des objets défectueux / ça coute moins cher.

    Une connexion à sens unique ? En théorie ça marche, en pratique tu auras très certainement une connexion bidirectionnelle : un système d'identification pour ne pas envoyer les données à n'importe qui / acknowledgement des messages etc...
    Et... ça peut être exploité, même sans être connecté à Internet (quelle idée de connecter un pacemaker à Internet...), un voisin ou un inconnu à coté de toi dans la rue pourra communiquer avec le pacemaker.

    La seule chose safe, c'est une communication filaire ou sans fils très faible portée (< 1 mètre). Mais c'est moins pratique, c'est sur.

  8. #8
    Membre régulier

    Homme Profil pro
    Développeur .Net et Web, Ingénieur en Analyse et Conception de SII
    Inscrit en
    octobre 2014
    Messages
    68
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Congo-Kinshasa

    Informations professionnelles :
    Activité : Développeur .Net et Web, Ingénieur en Analyse et Conception de SII
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : octobre 2014
    Messages : 68
    Points : 113
    Points
    113
    Billets dans le blog
    2

    Par défaut Des updates sur Internet??

    je pense de ma part que les mises à jour sur internet ne soient pas une meilleurs solutions. Car sur le Net la sécurité n'est pas toujours garenties; il y'a d'autres manières de corriger les bugs sans transiter sur le Net...
    Fely Kanku Developpeur .Net et analyste programmeur

  9. #9
    Membre éprouvé
    Profil pro
    Inscrit en
    février 2013
    Messages
    383
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2013
    Messages : 383
    Points : 975
    Points
    975

    Par défaut

    Physician est un faux ami qui doit être traduit par médecin. Un physicien a d'autre chose à foutre que de régler des pacemakers.

  10. #10
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS
    Inscrit en
    avril 2013
    Messages
    1 473
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 473
    Points : 4 922
    Points
    4 922
    Billets dans le blog
    6

    Par défaut

    Il serait bien que la mode des outils médicaux connectés soit plus raisonnée ou alors leur imposer des test avant vente draconiens et hyper poussés
    merci de me mettre des quand mes messages sont pertinent, et pour les pas contents voici mon service client pour eux

    [Projet en cours] Strategy(nom provisoire) - Advance wars like
    cordova-plugin-file-hash Plugin cordova servant à obtenir le hash d'un fichier

  11. #11
    Membre régulier
    Inscrit en
    novembre 2006
    Messages
    105
    Détails du profil
    Informations forums :
    Inscription : novembre 2006
    Messages : 105
    Points : 75
    Points
    75

    Par défaut

    Et si le SI de l'entreprise est piraté et que le patch est modifié par des pirates avec un patch virusé....
    OUI je suis parano mais quand tu vois ce qui arrive avec les Ransonware... tu peux imaginer qu'à l'avenir que ce genre de soft arrivent pour prendre en otage numériquement des malades.

Discussions similaires

  1. Réponses: 6
    Dernier message: 20/02/2016, 23h33
  2. Réponses: 8
    Dernier message: 18/09/2014, 15h59
  3. Réponses: 2
    Dernier message: 22/04/2010, 09h34
  4. Réponses: 3
    Dernier message: 09/03/2009, 09h22
  5. Gestion des message windows dans les threads
    Par billyboy dans le forum Windows
    Réponses: 5
    Dernier message: 06/10/2003, 17h25

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo