règle n°1 de la sécurité : lire le mode d’emploi

Et si la première règle de la sécurité était de lire le mode d’emploi ? Et si ne pas le faire pouvait vous coûter la vie ? C’est ce qui a failli arriver à Jay Radcliffe comme il le raconte dans cette vidéo lors de la BlackHat 2013.

Jay n’est pas un inconnu dans le milieu de la sécurité ayant déjà démontré en 2011 comment on pouvait modifier le débit d’une pompe à insuline pour déclencher un accident hyper ou hypo glycémique. Sujet qui le touche particulièrement puisqu’il est lui-même diabétique et porteur d’une pompe à insuline depuis de nombreuses années.

Il raconte comment il a subit un grave accident glycémique en mars 2013 qui aurait pu lui coûter la vie. Sûr de n’avoir fait aucune erreur de manipulation par rapport à un process longuement rôdé il a cherché ce qu’il avait modifié dans son comportement qui aurait pu expliquer l’accident. Le seul évènement notable a été le changement des piles la veille au soir. En effet les pompes à insuline comportent un boitier (extérieur) permettant de régler le débit de la pompe (implantée sous la peau) en fonction de la glycémie mesurée par le porteur.

Après vérification par Jay, il s’est aperçu qu’en effet le changement de piles revenait à faire un reset des données médicales de l’appareil ! En clair en changeant les piles, l’appareil perd toutes les données en mémoire et ne sait plus combien de doses d’insuline le patient a dans le corps ! Etonnant non ? Surtout quand on sait que la date (affichée à l’écran) est bien conservée. Si vous n’allez pas chercher dans le menu qui va bien, vous ne saurez pas que l’appareil s’est remis à 0 !

Vous pensez à un bug ? Jay Radcliffe également. Il a même ouvert un incident dans MAUDE. Non pas d’Harold là-dedans, il s’agit tout simplement d’une base de donnée de la FDA nommée MAnufacturer and User facility Device Experience. Cette base rassemble des informations sur les équipements médicaux, les problèmes de fonctionnement constatés voire de simples questions de consommateurs. Informations remontées par les constructeurs, importateurs, praticiens et contributeurs de bonne volonté.

Jay Radcliffe a bien été rappelé par le constructeur de sa pompe. 45 jours après ! Lequel constructeur lui a expliqué qu’il devait arrêter d’appeler cela un bug puisque c’était documenté en page 72 du manuel qui en comporte 400 !

Rassurez-vous, les tests menés par Jay sur d’autres modèles de pompes montrent que seul ce modèle enregistre les données médicales dans une mémoire volatile ! Interrogez-vous : aucun patch ne semble prévu pour corriger cela ! Car, comme dit le proverbe « it’s not a bug it’s a feature ».

Conclusion : lisez les modes d’emploi, cela peut vous aider à comprendre comment marche le jouet offert à Noël à vos enfants et vous éviter un grand moment de ridicule (expérience vécue) voire vous épargner de sérieux ennuis comme démontré par Jay Radcliffe.

Philippe

Crédit photo : copyright nomad soul - fotolia.com

Philippe Macia

Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.