Damien Coulomb | 25.03.2019

MedtronicLe Quotidien du Médecin Crédit Photo : PHANIEZoom

Les dispositifs médicaux de désynchronisation cardiaque distribués par la firme Medtronic sont vulnérables à des actes de piratages, selon une mise en garde du centre d’intégration national de cybercriminalité et de communications (NCCIC), rattaché au département américain de la sécurité intérieure. L’agence gouvernementale n’hésite pas à évoquer une « faille sévère », qui concerne 16 modèles, soit 750 000 défibrillateurs déjà implantés aux États-Unis.

Accès à courte distance

Selon des tests menés par des chercheurs de l’université catholique de Louvain et de l’université de Birmingham, commissionnés par le NCCIC, des failles de sécurité « pourraient permettre à des agresseurs disposant d’un moyen d’accès à courte distance, de générer, modifier ou intercepter les communications par radiofréquence du protocole de télémétrie Conexu, propriétaire de la firme Medtronic ».

Ce protocole est destiné à collecter quotidiennement les données cliniques du patient, et à les télétransmettre au fabricant. Détourné par des pirates informatiques, il permettrait à ces derniers de capter des données sensibles, voire d’altérer le fonctionnement du dispositif.

En dehors de la phase de mise en route et de programmation du dispositif, aucune authentification n’est nécessaire pour accéder aux données transmises par un pacemaker utilisant Conexu. En interceptant et modifiant de telles données, qui ne sont par ailleurs pas cryptées, des pirates peuvent induire une réponse inappropriée du dispositif en retour. Le document du NCCIC indique que la firme Medtronic, interpellée par le département de la sécurité intérieure, a prévu d’implémenter une mise à jour logicielle destinée à corriger cette faille de sécurité.

Vulnérabilité récurrente

Ce n’est pas la première fois que des dispositifs implantables sont pointés du doigt pour de problèmes de sécurité. En janvier 2017, une faille de sécurité avait été découverte dans le transmetteur Merlin@home relayant les données des pacemakers commercialisés par St Jude Medical.

Merlin@home ne doit normalement pas transmettre des commandes aux défibrillateurs. Il s’est non seulement avéré qu’il en était capable, mais les chercheurs ont également découvert que le verrou de sécurité du pacemaker bloquant les commandes non autorisées pouvait être contourné.

En 2011, la vulnérabilité de pompes à insuline Medtronic avait également été dévoilée. Le conseil d’électrophysiologie du collège américain de cardiologie (ACC) avait alors alerté contre les risques de piratage des défibrillateurs cardiaques implantables dans un article publié dans le « Journal of the American collège of Cardiology ».

Source : Lequotidiendumedecin.fr