du 22 mars 2019
Date

Choisir une autre édition

Des défibrillateurs Medtronic comportent plusieurs failles de sécurité

La CISA (Cybersecurity and Infrastructure Security Agency), du département américain de la Sécurité intérieure, vient de publier une alerte anxiogène : des défibrillateurs implantables sont vulnérables à plusieurs failles de sécurité.

Selon le bulletin, les modèles connectés Medtronic seraient susceptibles d’être attaqués par des pirates ayant suffisamment de connaissances techniques et se trouvant près des personnes concernées. Selon le Star Tribune, 750 000 de ces appareils seraient concernés.

Les risques potentiels sont évidemment grands, puisque le ou les pirates auraient la main sur le fonctionnement du défibrillateur, pouvant dérégler l’appareil et donc entrainer un vrai danger pour le patient.

D'après Ars Technica, ces vulnérabilités ne sont pas nouvelles. Elles auraient été signalées en janvier 2018 à Medtronic par des chercheurs de Clever Security.

Les problèmes remontés étaient sérieux : pas de chiffrement, pas d’authentification et différentes failles permettant de capter sans problème les informations circulant entre le défibrillateur connecté et les appareils conçus pour en exploiter les données. En plus d’une action directe, il est donc simple de dérober des données médicales.

Medtronic ne s’était pas exprimée l’année dernière, mais le bulletin d’alerte de la CISA, accompagné d’une note de sévérité de 9,3 sur 10, a forcé l’entreprise à communiquer.

Selon le porte-parole Ryan Mathre, le risque est très faible et aucune exploitation de ces failles n’a été notée à ce jour. En outre, il faudrait selon l'entreprise des connaissances techniques particulièrement aiguisées pour détourner un défibrillateur de son rôle.

Pour chaque patient, un pirate devrait connaître le modèle précis implanté, quels changements pourraient réellement entraîner des conséquences, sur quels paramètres agir, les commandes télémétriques pour le faire, si tant est que le modèle permette ce genre de manipulation.

En accord avec la FDA (Food and Drugs Administration), Medtronic recommande donc que les patients et médecins continuent d’utiliser les appareils normalement. La société précisé toutefois qu’elle développe actuellement des mises à jour.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Sur les réseaux sociaux et Reddit, les messages d'utilisateurs aussi surpris que mécontents se répandent comme une traînée de poudre.

De nombreux smartphones sont concernés, allant du Honor 10 au Huawei P30 Pro. Les clients touchés semblent tous utiliser l'application de fonds d'écran de paysages préinstallée. Il suffit donc de ne plus s'en servir pour faire disparaître les publicités.

Interrogé par Engadget, Huawei n'avait aucune explication à donner, si ce n'est qu'il enquêtait sur la question et qu'il donnerait de plus amples informations ultérieurement. Une réponse pour le moins étrange.

Une mauvaise nouvelle de plus pour les clients du fabricant chinois, après le placement sur liste noire aux États-Unis.

Copié dans le presse-papier !

Alors que le téléphone pliable devait sortir fin avril, Samsung a repoussé son lancement à la dernière minute. En cause, des retours des premiers tests pas vraiment reluisants au niveau de l'écran et de la charnière. Des rumeurs évoquaient deux changements, mais rien d'officiel jusqu'à présent.

Fin mai, faute de nouvelles concrètes, Best Buy annulait l'ensemble des précommandes. L'opérateur AT&T emboîte le pas à la chaîne de boutiques et prévient ses clients par email en ajoutant qu'ils devraient recevoir un bon de 100 dollars, comme le rapporte Tom's Guide.

Copié dans le presse-papier !

Cinq mois après avoir atteint 2,3 millions de clients, la néobanque en ajoute 1,2 million de plus en l'espace de cinq mois. Il lui avait fallu six mois pour passer de 1 à 2,3 millions.

La société affirme que « plus de 10 000 clients ouvrent un compte N26 chaque jour et le volume mensuel de transactions s’élève à plus de 2 milliards d’euros ». Elle ajoute que son «  lancement aux États-Unis est imminent ».

Copié dans le presse-papier !

La société s'est retrouvée à la une de nombreux médias ces dernières semaines grâce à sa version low cost du Thermomix de Vorwerk. La raison ? Elle est désormais disponible en France, allant jusqu'à créer des bousculades en magasin face au manque de stock.

Mais aucun des nombreux tests n'avait relevé un élément pourtant visible de l'extérieur : un micro est intégré en complément d'un petit haut-parleur. Une « découverte » qui a ému sur les réseaux sociaux hier, faisant réagir la marque.

Les micros se sont fait une place croissante dans nos appareils du quotidien, des PC aux smartphones en passant par les enceintes et autres objets connectés. Problème : sa présence n'était pas mentionnée dans la fiche technique.

Si l'on devait retenir un enseignement de cette « affaire », c'est que LIDL est meilleur pour organiser les buzz que pour gérer sa communication de crise. Il suffit de voir les différentes positions, parfois contradictoires, publiées chez BFM ou Les Numériques.

Finalement, un communiqué de presse a été diffusé, relayé par Numerama. On y apprend que le micro est là pour de futures fonctionnalités comme la commande vocale. Aucune date n'a été donnée.

Espérons au passage que les mises à jour de sécurité basiques seront effectuées. Comme de nombreux appareils à bas prix avec une interface tactile, il ne s'agit que d'une simple tablette sous une vieille version d'Android (6.0).

Espérons que cette présence constante des micros dans nos vies incite certains à se poser des questions, alors que des usages détournés et abusifs, qui ne sont pas que du fait de pirates malintentionnés, sont parfois mis en lumière.

On pourrait en effet imaginer une obligation légale de mentionner la présence d'un micro ou d'intégrer un interrupteur coupant physiquement son fonctionnement dans les objets connectés. Un mécanisme dont le robot de LIDL est malheureusement dépourvu.

Copié dans le presse-papier !

La brèche a été découverte par Guardio fin mai et identifiée sous la référence CVE-2019-12592, comme le rapporte The Hacker News. Elle permettait d'exécuter du code et ainsi récupérer des données sur l'ensemble des sites visités par l'utilisateur. Il suffisait pour cela de l'amener sur un site spécialement conçu pour exploiter cette brèche.

Guardio a prévenu fin mai Evernote qui a confirmé et corrigé le problème en deux jours, tout en ajoutant une mention de la société à son « Panthéon de la sécurité ».

Assurez-vous donc d'avoir la dernière version de l'extension. Il s'agit actuellement de la 7.11.1.