Nouvelles failles détectées dans des stimulateurs cardiaques

23 aout 2018
par V.Li.

Si les premiers hacks de pacemaker sont déjà apparus voici dix ans, le 9 août dernier à Las Vegas, dans le cadre de la conférence Black Hat sur la sécurité informatique, les chercheurs Billy Rios et Jonathan Butts, travaillant pour les sociétés WhiteScope et QED Secure Solutions, ont dévoilé que des failles subsistent. Ils ont montré ( voir vidéo) que malgré leurs mises en garde il était toujours possible de prendre le contrôle à distance de stimulateurs cardiaques (ou de pompes à insuline) de la marque Medtronic.

Ils en ont informé la société en janvier 2017. Concrètement, le programmeur CareLink 2090 qui sert aux médecins à contrôler les stimulateurs cardiaques lorsqu'ils sont implantés dans un corps n’est pas sécurisé. « Même si Medtronic a trouvé des solutions à certains des problèmes, elle n’a pas réagi assez vite en deux ans. Le risque reste très réel pour les patients porteurs d’un stimulateur cardiaque (CareLink 2090) » a déclaré Butts.

De son côté, la société, en mars dernier, a reconnu dans le « Minnesota Star Tribune » ne pas avoir le temps d’analyser toutes les conclusions des chercheurs.

Selon Billy Rios, les hackers pourraient « installer des mises à jour corrompues des logiciels pour prendre le contrôle des pacemakers ». Pour rappel, Il s’agit encore du système d'exploitation Windows XP. (Lire aussi Cyberattaque dans les hôpitaux du NHS : le virus exploite une faille de Windows)

De son côté, la porte-parole de Medtronic, Erika Winkels a rappelé que « tous les appareils comportent des risques ». Ces révélations sont documentées dans les avis du système de contrôle industriel du Department of Homeland Security, y compris l’avis sur « la vulnérabilité » de la pompe à insuline Medtronic

Dans un communiqué, la FDA a déclaré collaborer « avec les chercheurs en sécurité, l'industrie, ... pour assurer la sécurité et l'efficacité des dispositifs médicaux.»

L’agence a noté dans son Plan d’action de sécurité des dispositifs médicaux qu’elle envisage de créer un «CyberMed Safety Expert Analysis Board».

En Belgique, le Dr Georges Mairesse, Past-Président, de la BeHRA (Belgian Heart Rhythm Association) rappelle qu’ « un pacemaker doit être le moins connecté possible afin de le rendre le moins vulnérable. On sait que le hacking est théoriquement possible et nous y sommes très attentifs. Il s’agit d’un sujet qui est toujours abordé lors de nos Congrès et ce sera encore le cas en octobre prochain. » Il souligne qu’il est néanmoins « plus facile de hacker un Iphone qu’un pacemaker. »

Vous souhaitez commenter cet article ?

L'accès à la totalité des fonctionnalités est réservé aux professionnels de la santé.

Si vous êtes un professionnel de la santé vous devez vous connecter ou vous inscrire gratuitement sur notre site pour accéder à la totalité de notre contenu.
Si vous êtes journaliste ou si vous souhaitez nous informer écrivez-nous à redaction@rmnet.be.

Je me connecte

Je m'inscris