Nouveautés + tendances
92

Hacking Cyborgs : failles de sécurité des implants cybernétiques

Kevin Hofer
25/6/2018
Traduction: traduction automatique

Les stimulateurs cardiaques, les pompes à insuline ou même les puces NFC implantées ne sont pas à l'abri d'une attaque de tiers. Cet état de fait expose leurs porteurs à un danger permanent. Quelles sont les principales vulnérabilités ?

Linus est à la gare de Siselen-Finsterhennen à 6h38 précises. Il est là cinq fois par semaine pour se rendre au travail, et ce depuis 35 ans sans interruption. Même lorsqu'il était malade, il allait toujours travailler. Non, ce n'est pas tout à fait vrai. L'année dernière, Linus, 58 ans, a dû se faire greffer un stimulateur cardiaque. Il s'est donc exceptionnellement absenté de son travail . Avec le retard obligatoire de trois minutes, Linus arrive à Bienne à 7h14. Comme chaque matin, la foule est dense à la gare. Soudain, il ressent un choc, s'effondre et ne se relève plus. Comme l'autopsie le montrera plus tard, c'est le pacemaker qui est la cause du décès. Celui-ci a été piraté et a provoqué un choc électrique qui a fait s'arrêter le cœur de Linus.

Cet exemple fictif et, il est vrai, extrême, montre à quel point les implants cybernétiques non sécurisés peuvent être dangereux. Ils mettent effectivement la vie en danger. Il est étonnant de voir à quel point peu de choses ont été faites jusqu'à présent. On entend régulièrement parler de lacunes dans la sécurité des stimulateurs cardiaques.

Le fait que les stimulateurs cardiaques puissent être piratés a été révélé au grand public en 2012. Le hacker Jack Barnaby a montré comment il pouvait, sans grand effort et à une distance d'environ 15 mètres, manipuler un stimulateur cardiaque pour qu'il délivre un choc de 830 volts. Un scénario comme celui de Linus est tout à fait envisageable.

Les fabricants de stimulateurs cardiaques ne semblent pas encore aussi avancés en matière de sécurité qu'en matière de développement médical. Mais jusqu'à présent, heureusement, aucun cas comme celui de Linus n'a été rendu public. Mais à mesure que la cyborgisation progresse, la sécurité devrait devenir une préoccupation plus importante pour les fabricants.

Cyborgs : des sujets vulnérables

Les cyborgs sont en train de gagner du terrain. Que ce soit par nécessité médicale ou par quête de perfection, nous, les humains, voulons améliorer nos corps. Et ce, le plus rapidement possible. Alors pourquoi attendre l'évolution si la technologie permet d'aller plus vite ? Ou comme le dit James Scott de l'"Institute for Critical Infrastructure Technology":

«La condition humaine est affligée d'un labyrinthe de déficiences, de fragilités et de limitations qui empêchent l'homme d'atteindre son plein potentiel. C'est pourquoi il est logique que nous nous trouvions à la prochaine étape de l'évolution humaine où l'homme limité se mêle aux possibilités infinies des technologies hyper-évolutives.»

Scott pense que dès 2025, la technologie cyborg sera plus avancée que dans Ghost in the Shell. Dans son essai "Hacking Cyborgs : By 2025, Non-Augmented Humans Will Be Obsolete. but There's Bad News...", il décrit les préoccupations de sécurité liées aux technologies cyborgs. Je me réfère ici au document de Scott.

Les technologies exemptes de sécurité

Les technologies cyborgs sont aujourd'hui monnaie courante. Elles ne sont peut-être pas encore à la portée de tous, comme vous l'imaginez peut-être dans les films de science-fiction. Mais avec les smartphones et les wearables, nous disposons déjà de ces technologies. Ce n'est qu'une question de temps avant qu'elles n'entrent dans la peau.

Quand l'homme deviendra-t-il un cyborg ? C'est le thème que j'aborde dans le texte ci-dessous.

  • Nouveautés + tendances

    Quand l'homme deviendra-t-il un cyborg ?

    par Kevin Hofer

Biohacker, Transhumaniste ou encore cyborg qui s'auto-greffe des technologies sont aujourd'hui une réalité. Ils sont convaincus que l'association de l'homme et de la machine est la prochaine étape de l'évolution. Certaines de ces technologies, comme le pacemaker mentionné au début de cet article, sont médicalement nécessaires. Mais d'autres, comme les puces NFC, ne le sont pas. Les préoccupations en matière de sécurité n'entrent généralement pas en ligne de compte pour les deux. La foi dans le progrès et la recherche du confort sont plus fortes.

Les dispositifs implantés sont composés de capteurs, de processeurs, d'émetteurs/récepteurs et de mémoires, selon le cas. Toutes les technologies ne disposent pas de tous ces composants. Les aimants, par exemple, sont des implants populaires qui ne disposent pas de processeur. Les implants sont souvent développés avec un budget limité et doivent être de petite taille pour la transplantation. Pour que les utilisateurs finaux puissent se permettre de les acheter, ils sont généralement si réduits qu'ils ne peuvent même pas fournir de cryptage.

Les algorithmes cryptographiques n'ont pas été conçus pour des dispositifs aussi petits que les implants. La durée de vie d'un stimulateur cardiaque pourrait être réduite de près de dix ans à quelques mois si le cryptage était intégré. De plus, les appareils devraient être plus grands, ce qui rendrait leur implantation plus difficile.

La simplicité avant la sécurité

En plus de ces limitations matérielles, le facteur humain joue également un rôle. À commencer par le fait que la technologie doit avant tout être pratique. Personne ne veut s'embarrasser de processus fastidieux. Un processus pénible peut être la sécurité. Qui veut se connecter à son pacemaker s'il ne fonctionne pas correctement et que cela doit être fait rapidement ?

La commodité inclut également la facilité de transfert. Les dispositifs implantés doivent communiquer avec le monde extérieur d'une manière ou d'une autre. Cela fonctionne généralement avec Bluetooth, NFC ou WLAN. Cela facilite l'accès, mais les connexions sont rarement sécurisées.

Les stimulateurs cardiaques modernes sont souvent équipés de Bluetooth, ce sont des appareils IoT accessibles localement ou à distance... La norme Bluetooth est optimale pour les technologies implantées, car elle est techniquement simple et consomme peu d'énergie lors de la connexion. Cependant, Bluetooth, tout comme les stimulateurs cardiaques, a été conçu sans la sécurité à l'esprit. Bluetooth n'est pas un protocole de transmission sécurisé. Il a été développé dans les années 1990 pour une utilisation bureautique. L'idée sous-jacente était la suivante : Les appareils doivent être connectés rapidement et facilement sans câble. Mais les stimulateurs cardiaques ne sont pas les seuls implants médicaux à présenter des failles de sécurité.

Les pompes à insuline peuvent être manipulées pour délivrer une dose mortelle. Et ce, grâce à une transmission sans fil à distance, sans que les personnes concernées ne le remarquent. Les préoccupations en matière de sécurité devraient être encore plus importantes pour les neuroprothèses. Il peut s'agir d'implants qui assurent la communication directe de cerveau à cerveau. Le médium de la parole serait ainsi superflu. De la musique d'avenir, c'est certain, mais il faut tout de même redoubler de prudence dans ce domaine.

Les implants neuronaux tels que ceux décrits n'existent pas encore pour le marché de masse. Leur développement en est encore à ses débuts. Il est donc d'autant plus important que les questions de sécurité soient prises en compte dans leur développement. Nous n'aimons pas que des personnes non invitées écoutent nos conversations. Ce serait encore plus extrême dans le cas d'une discussion intime de cerveau à cerveau.

Mais il n'y a pas que les implants médicalement nécessaires qui sont vulnérables.

La vulnérabilité du NFC

Une puce NFC est un simple implant qui n'est pas nécessaire sur le plan médical. Outre leur utilisation dans le domaine privé, elles sont également utilisées dans le domaine professionnel. Les employés peuvent par exemple les utiliser pour payer ou se connecter à des appareils informatiques. Ce dernier point en particulier présente un risque de sécurité important. Si quelqu'un se procure les données contenues dans les puces, il peut les instrumentaliser à ses propres fins. De plus, les entreprises peuvent s'en servir pour suivre le comportement de leurs membres du personnel.

Les puces NFC étant relativement faciles à implanter, elles sont devenues très populaires auprès des biohackers ces dernières années. Il en sera probablement ainsi pendant un certain temps encore. La NFC est une sorte de RFID. Contrairement aux autres dispositifs RFID, la NFC fonctionne sur une fréquence fixe de 13,56 MHz. Avec le NFC, la distance d'émission est plus courte et se situe entre quatre et dix centimètres.

Les dispositifs RFID sont passifs et ne sont pas alimentés, ils ne sont activés que lorsqu'un lecteur se trouve à proximité. La NFC peut envoyer des données, mais pas en recevoir. Pour l'instant, les puces ne peuvent pas encore stocker de grandes quantités de données. Mais comme l'intérêt pour cette technologie est grand, cela va changer à l'avenir.

Les puces NFC sont aujourd'hui présentes dans toutes sortes d'appareils. Cela va des téléphones portables aux cartes de débit avec puce intégrée. L'échange de données se fait parfois par cryptage d'un processeur spécialement dédié. Mais de nombreuses puces implantées ne disposent pas d'un tel cryptage. Bien que les données indiquent que la transmission ne peut se faire que sur une courte distance, on connaît des cas de transmissions réussies sur environ trois quarts de mètre.

Les implants NFC ne sont pas sûrs. Contrairement aux puces des téléphones portables, ils ne peuvent pas non plus être désactivés facilement. Des attaquants potentiels pourraient instrumentaliser les implants en transférant des logiciels malveillants sur les lecteurs.

La cyborgisation ne peut pas être arrêtée, mais nous décidons de la forme que nous voulons lui donner

. Comme le montrent les exemples ci-dessus, les technologies cyborgs ont adopté des normes qui ne sont pas sûres. Les risques les plus importants se situent au niveau de la transmission. Cela est dû d'une part à la commodité et d'autre part aux possibilités limitées en raison de la taille des implants. En théorie, tous les implants cybernétiques sont vulnérables. Dans le cas de ceux qui sont médicaux, les porteurs peuvent être menacés dans leur vie ou leur intégrité physique. La protection des données joue en revanche un rôle plus important pour les implants non médicaux.

Selon Scott, les droits civils et la vie privée des fabricants d'implants doivent être repensés. Au cours des dix prochaines années, les implants cybernétiques vont révolutionner notre monde. La "sécurité dès la conception", c'est-à-dire le fait de s'assurer dès le départ que le matériel et les logiciels sont aussi exempts de vulnérabilités que possible, est une obligation absolue. Sinon, c'est l'évolution humaine potentielle qui est menacée par la technologie .

Cet article plaît à 9 personne(s)

User Avatar
User Avatar
Kevin Hofer
Senior Editor
kevin.hofer@digitecgalaxus.ch

La technologie et la société me fascinent. Combiner les deux et les regarder sous différents angles est ma passion.

Smartphone
Suivez les thèmes et restez informé dans les domaines qui vous intéressent.
Informatique
Suivez les thèmes et restez informé dans les domaines qui vous intéressent.

2 commentaires

Avatar
later