Ce sont généralement les automobiles, parfois les ordinateurs ou les smartphones qui sont rappelés pour des problématiques techniques. Aujourd’hui, ce sont près d’un demi-million de stimulateurs cardiaques qui font l’objet d’un rappel, car ils sont sous la menace du hacking !
Nous avions évoqué le sujet voici quelques mois, dans la famille des objets connectés, les stimulateurs cardiaques, les pompes à insuline, les dispositifs médicaux et les équipements numériques des hôpitaux et des patients regorgent de failles de sécurité qui rendent ces objets vulnérables aux attaques et mettent les patients en danger de vie et de mort.
Des chercheurs de Whitescope ont révélé qu’un stimulateur cardiaque peut enfermer jusqu’à 8.000 vulnérabilités ! C’est ainsi que plus de 80% des dispositifs numériques de santé seraient difficile à sécuriser… (lire « Plus de 8.000 vulnérabilités dans un pacemaker ! »)
L’information prend aujourd’hui une nouvelle tournure avec l’intervention de la Food and Drug Administration (FDA), l’Agence américaine des produits alimentaires et médicamenteux, qui a envoyé un avis de vulnérabilité au piratage portant sur un demi-million de stimulateurs cardiaques implantés sur des patients. Implanté dans la poitrine des malades atteints d’insuffisance cardiaque, le pacemaker plongent via des fils dans le cœur pour forcer et maintenir électriquement le rythme des contractions pour un pompage sain du sang.
465.000 pacemakers à mettre à jour
465.000 pacemakers à fréquence radio anciennement St. Jude Medical et aujourd'hui commercialisés par la société Abbott sont concernés. Le rappel vise la mise à jour du micro-programme pour corriger des défauts de programmation de l’équipement et limiter les risques de hacking. Une opération sans intervention chirurgicale, par onde radio, qui ne prend que 3 minutes. Pendant ce temps, l'appareil fonctionne en mode de sauvegarde, soit une stimulation à 67 battements par minute, et les fonctions essentielles de maintien de la vie restent disponibles. La FDA a indiqué qu’aucun rapport connu de patient n'a porté sur des dommages causés par les vulnérabilités de la cybersécurité sur les pacemakers rappelés.
Rappelons qu’en 2013, l’ancien vice-président américain Dick Cheney avait révélé avoir procédé à une évaluation de son propre simulateur cardiaque, alors que le scénario d’une attaque sans fil pour pirater le pacemaker d'un président circulait à Hollywood. Une intrigue reprise depuis dans la série Homeland, et qui vient rappeler que les dispositifs médicaux connectés représentent une menace, car comme la majorité des objets connectés et de l’IoT, ils ont été conçus sans que la sécurité soit prise en compte…
Dans le cas des pacemakers incriminés, la correction portera sur l’autorisation que devra fournir tout équipement qui cherchera à communiquer avec le stimulateur.
La FDA met en garde
La FDA confirme la menace qui pèse sur les dispositifs médicaux connectés : « De nombreux dispositifs médicaux - y compris les stimulateurs cardiaques implantables de St. Jude Medical - contiennent des systèmes informatiques intégrés configurables qui peuvent être vulnérables aux intrusions et aux exploits de la cybersécurité. A mesure que les dispositifs médicaux sont de plus en plus interconnectés via Internet, les réseaux hospitaliers, les autres dispositifs médicaux et les smartphones, il existe un risque accru d'exploitation des vulnérabilités de la cybersécurité, dont certaines pourraient affecter la manière dont un dispositif médical fonctionne ».
L’avis de la FDA sur son site fda.gov.
Image d’entête 530308749 @ iStock macrovector