Barnaby Jack
Barnaby Jack était un hacker et chercheur en sécurité néo-zélandais, célèbre pour avoir exposé des vulnérabilités critiques dans les distributeurs automatiques, les pompes à insuline et les stimulateurs cardiaques.
- Vie
- 1977 – 2013
- Né(e) le
- 22 novembre 1977
- Décédé(e) le
- 25 juillet 2013
- Nationalité
- Nouvelle-Zélande
Barnaby Jack (1977–2013) était un hacker, programmeur et expert en sécurité informatique néo-zélandais dont les recherches ont exposé de sérieuses vulnérabilités dans les dispositifs financiers et médicaux. Il est surtout connu pour sa démonstration de « jackpotting » sur distributeurs automatiques à Black Hat 2010 et pour avoir compromis sans fil des pompes à insuline et des stimulateurs cardiaques. Ses travaux ont directement influencé la réglementation de la FDA américaine sur les dispositifs médicaux sans fil.
Jeunesse
Barnaby Michael Douglas Jack est né le 22 novembre 1977 en Nouvelle-Zélande. Les détails de sa jeunesse et de sa formation ne sont pas largement documentés dans les sources publiques.
Carrière
Jack s'est forgé la réputation d'être l'un des chercheurs en sécurité les plus techniquement aboutis et les plus médiatisés de sa génération, avec une spécialisation sur les systèmes embarqués et la sécurité matérielle. Au moment de son décès, il occupait le poste de Director of Embedded Device Security chez IOActive, un cabinet professionnel de services de sécurité. Avant cette fonction, il avait travaillé chez McAfee Security, où il a mené certaines de ses recherches les plus marquantes sur les vulnérabilités des dispositifs médicaux.
Travaux notables
Jackpotting de distributeurs
Jack est sans doute le plus largement reconnu pour sa présentation à la conférence de sécurité Black Hat en 2010, lors de laquelle il a démontré une technique qu'il a baptisée « jackpotting » — consistant à faire distribuer du liquide par les distributeurs automatiques sans usage de carte bancaire ni retrait légitime depuis un compte. Il a démontré deux vecteurs d'attaque distincts : l'un nécessitant un accès physique à la machine, dans lequel une clé USB chargée d'un malware servait à prendre le contrôle non autorisé du mécanisme de distribution de billets, et un second entièrement à distance, exploitant des vulnérabilités dans les systèmes de gestion à distance des distributeurs, notamment l'usage de mots de passe par défaut et de ports TCP exposés. Dans les deux cas, un malware était injecté dans le système d'exploitation du distributeur, permettant à l'attaquant d'ordonner à la machine de distribuer des billets à la demande.
Vulnérabilités des pompes à insuline
En octobre 2011, alors qu'il travaillait pour McAfee Security, Jack a présenté ses recherches sur la sécurité sans fil des pompes à insuline lors de la conférence McAfee FOCUS 11 à Las Vegas. À l'aide d'une antenne à fort gain, il a démontré qu'il pouvait prendre le contrôle complet des pompes à insuline sans connaître au préalable leur numéro de série. Lors d'une démonstration en direct, il a fait délivrer à plusieurs reprises par une pompe sa dose maximale de 25 unités jusqu'à épuisement complet du réservoir de 300 unités — une quantité représentant de nombreuses fois une dose létale pour un patient type. Il a prolongé cette démonstration à la RSA Security Conference de San Francisco en février 2012, montrant que l'attaque pouvait être menée sans fil à une distance pouvant atteindre 90 mètres.
Vulnérabilités des stimulateurs cardiaques
Toujours en 2012, Jack a démontré qu'il était possible de délivrer un choc électrique potentiellement mortel au porteur d'un stimulateur cardiaque en exploitant des vulnérabilités sans fil du dispositif. Il a effectué une démonstration en direct de cette attaque lors de la conférence de sécurité BreakPoint à Melbourne. Il a ensuite développé un logiciel capable d'envoyer à distance un choc électrique à toute personne porteuse d'un stimulateur compatible dans un rayon de 50 pieds. Au moment de son décès, Jack préparait la présentation de nouveaux travaux sur les vulnérabilités des implants cardiaques pour la conférence Black Hat 2013 à Las Vegas.
Reconnaissance et influence
Les recherches de Jack ont eu un impact mesurable dans le monde réel. En 2012, son témoignage devant les autorités compétentes a contribué à la révision par la Food and Drug Administration américaine de sa réglementation relative aux dispositifs médicaux sans fil. Il était largement considéré par les professionnels du secteur comme une influence significative à la fois dans le domaine des dispositifs médicaux et dans celui de la sécurité financière. Trey Ford, general manager de Black Hat, a décrit la vie et l'œuvre de Jack comme « légendaires et irremplaçables » après son décès.
Décès
Jack a été retrouvé mort dans un appartement de San Francisco le 25 juillet 2013, découvert par sa compagne. Le rapport du coroner a conclu à une overdose impliquant de l'héroïne, de la cocaïne, du Benadryl et du Xanax. Il avait 35 ans. Sa présentation prévue à la conférence Black Hat 2013 n'a pas été remplacée par celle d'un autre intervenant, décision prise en hommage à ses contributions au domaine.
§Entrées associées
Andy Müller-Maguhn
1971 – présent · Allemagne
Bill Woodcock
Bill Woodcock est un ingénieur Internet pionnier, chercheur en sécurité et acteur des politiques publiques, surtout connu pour avoir inventé le routage anycast en 1989.
1971 – présent · États-Unis
Charlie Miller (security researcher)
Charlie Miller est un chercheur en sécurité américain réputé pour ses exploits pionniers visant les produits Apple, Android et les systèmes automobiles.
1971 – présent · États-Unis
Chen Ing-Hau
1975 – présent
Chris Krebs
Chris Krebs a été le premier directeur de la CISA avant d'être limogé par le président Trump pour avoir démenti les allégations de fraude lors de la présidentielle de 2020.
1977 – présent · États-Unis
David Heinemeier Hansson
Programmeur danois et le créateur du framework web Ruby on Rails et du wiki Instiki
1979 – présent