Décès d’un pirate de systèmes embarqués

Barnaby Jack, un ‘hacker’ de systèmes embarqués, a été retrouvé mort à San Francisco, une semaine avant la présentation relative au piratage de pacemakers qu’il devait tenir lors de la conférence BlackHat.

Barnaby Jack, 35 ans, s’était taillé une fameuse réputation en tant que pirate ‘white hat’ (de bonne foi) de systèmes embarqués. C’est ainsi qu’en 2010, il était parvenu à faire ‘cracher’ de manière ininterrompue un distributeur automatique de billets de banque. Il accordait aussi une grande attention aux faiblesses sécuritaires de l’équipement médical, comme en témoigna son enquête sur les problèmes de piratage de pompes à insuline en 2011 (au sein d’une équipe chez McAfee). Lors de la conférence des pirates BlackHat 2013 organisée à Las Vega, il devait effectuer une présentation dont le sujet était ‘Implantable medical devices: hacking humans’. Dans l’annonce de sa présentation, Barnaby Jack indiquait que la Food & Drugs Administration (FDA), le contrôleur médical américain, permet depuis 2006 d’équiper les appareils médicaux de possibilités de connexion sans fil. Durant sa présentation, Barnaby devait expliquer les résultats de son enquête chez IOActive, ainsi que la façon dont il avait pu glaner des informations avec une station médicale largement disponible. Chez IOActive, Barnaby Jack était le ‘director of embedded device security’. Le pirate a été retrouvé sans vie dans un appartement du quartier Nob Hill de San Francisco. Selon la police, il s’agirait d’une mort naturelle. Une autopsie a cependant été demandée, afin de connaître la cause exacte du décès.

Le piratage médical, ce n’est pas nouveau

Le travail de Barnaby Jack braque une fois de plus les spots sur les éventuels dangers du piratage de l’équipement médical, y compris des appareils implantables. Cette préoccupation n’est pas nouvelle et avait déjà été plusieurs fois évoquée depuis l’informatisation de cet équipement. C’est ainsi qu’en 2006 déjà, plus de la moitié des appareils médicaux contenaient du software embarqué, pouvait-on lire dans la revue Forbes en 2012, ce qui avait généré entre 2002 et 2010 déjà plus de 537 ‘recalls’ (rappels de systèmes). En 2003, la FDA avait contraint le producteur de pompes à insuline Medtronic de rappeler une carte spécifique en raison d’une saisie de données potentiellement erronée par les utilisateurs finaux (avec de possibles surdosages comme conséquence, ayant entraîné la mort de deux personnes). En 2011, Barnaby Jack démontra comment il avait pu, avec un appareil valant à peine 20 dollars sur base du kit Arduino bien connu, donner à 10 mètres de distance instruction à une pompe à insuline d’injecter tout son contenu en une seule fois.

Avec son travail récent, il en était revenu au secteur des pacemakers et des défibrillateurs implantables, à propos duquel on avait en 2008 déjà publié un article concernant des attaques sans fil possibles (contre le Medtronic Maximo DR VVE-DDDR modèle 7278 ICD). Le problème, c’est qu’à l’époque, une certaine quantité d’appareils était nécessaire, ainsi que l’apport d’équipes de deux universités. Depuis lors, Barnaby Jack avait trouvé une méthode pour interférer un pacemaker à un peu moins de 20 mètres de distance. En général, l’on insiste pour que les organismes de contrôle, comme la FDA, poursuivent et intensifient leurs efforts en vue de sécuriser les appareils médicaux. C’est d’autant plus indispensable que le nombre de capteurs sans fil pour applications médicales augmente particulièrement vite, alors que l’on utilise aussi toujours plus souvent des connexions via l’internet public.

Les organisateurs de BlackHat ont décidé que la présentation de Barnaby Jack ne serait pas reprise par quelqu’un d’autre et que l’heure ainsi libérée serait consacrée à la mémoire de ce pirate.