Une attaque peut s’avérer mortelle…

Un hack à ce niveau peut être redoutable…

Les stimulateurs cardiaques concernés, portés par 40 000 patients en France, sont susceptibles d’être pris sous le contôle d’un tiers avisé de la procédure de sécurité. Et il ne s’agirait pas des seuls stimulateurs cardiaques (pacemakers) de cette entreprise mais de tous ceux connectés par ondes HF (à la manière d’une Liaison Wifi ou Blutooth) – ou plutôt d’un codec (Codage-Décodage) démodulé (nécessaire au traitement des ondes analogiques) spécialisé pour les appareils cardiaques…

La Food and Drug Administration (FDA), chargée de la protection des patients aux Etats-Unis, a ordonné mardi 29 août 2017 un rappel particulier qui concerne les pacemakers de l’entreprise Abbott (ex -St. Jude Medical).

La FDA a enquêté à la suite d’informations selon lesquelles [ces pacemakers] comportaient des failles de sécurité informatique et elle a pu confirmer que ces failles, si elles sont exploitées permettent au hacker d’accéder à l’appareil en utilisant du matériel disponible dans le commerce. Cet accès permettrait d’intervenir sur les données du pacemaker en terme de commandes et ainsi de pouvoir modifier les fréquences de stimulations cardiaques qui imposeraient un rythme cardiaque non approprié ou un vidage de la batterie dans des temps non prévisibles.

En conséquence, et devant l’impossibilité d’effectuer à un rappel physique de ces appareils, les prothèses nécessitant une intervention chirurgicale cardiaque, la FDA recommande très fortement une mise à jour logicielle, qui ajoute des protections supplémentaires contre un éventuel piratage.

La mise à jour peut-être faite directement par le médecin, par télétransmission, en quelques minutes.

Aucun cas de piratage avéré n’a été répertorié.

Pacemaker de St Jude Medical

40 000 patients de troubles cardiaques sont concernés en France

Environ 500 000 patients seraient concernés aux Etats-Unis par cette mise à jour, qui corrige des failles présentes sur neuf modèles de pacemakers : Accent SR RF (TM), Accent MRI (TM),  Assurity(TM), Assurity MRI (TM) , Accent DR RF (TM) , Anthem RF (TM) , Allure RF (TM) , Allure Quadra RF (TM) , Quadra Allure MP RF (TM) . En France, un peu plus de 40 000 patients sont équipés de pacemakers de ces modèles.

La mise à jour sera effectuée en France « après approbation des autorités », a dit au Monde la société Abbott — soit l’obtention d’un « marquage CE », qui doit être délivré par un organisme européen habilité, vraisemblablement depuis la fin d’octobre 2017. L’entreprise rappelle qu’elle avait annoncé en janvier que des mises à jour de sécurité complémentaires seraient effectuées cette année.

Pour le docteur Olivier Piot, spécialiste du rythme cardiaque au centre de cardiologie du Nord, à Saint Denis, les questions de sécurité informatique sont assez nouvelles dans le secteur où « l’on se préoccupe avant tout de la sécurité du matériel. Dans le monde médical, la recherche est avant tout tournée pour corriger les défauts de fabrication, qui sont non volontaires ; l’idée qu’il puisse y avoir des personnes qui cherchent sciemment à nuire par l’intermédiaire d’un dispositif est relativement nouvelle. »

Développement des pacemakers connectés

Les pacemakers ont largement évolué ces dernières années, notamment grâce à l’ajout d’outils de télétransmission par radiofréquence. Or, ces canaux d’échange d’informations créent une porte d’entrée pour d’éventuels attaquants. Et les pacemakers embarquent désormais des outils informatiques complexes, qui apportent des failles de sécurité comme tout exercice de développement informatique car c’est dans l’interaction utilisateur et notamment lorsque le prescripteur ne perçoit pas le danger à la hauteur des failles de son matériel informatique que les risques s’élèvent.

Ces matériels évolués ont été un réel progrès, note M. Piot, encore faudrait-il que les hacks soient réellement et, non hypothétiquement, un acte qui soit inenvisageable…

Ce n’est pas la première fois que des produits conçus par Saint Jude Medical, avant son rachat par Abbott en avril 2016, font l’objet d’une mise à jour de sécurité importante. Mais rappelons le d’autres matériels peuvent avoir des failles aussi importantes si les process de sécurités ne sont pas intégrés à la médicalisation du procédé, les failles dans les pacemakers de cette entreprise avaient été rendues publiques l’an dernier par MedSec, une société spécialisée dans la sécurité du matériel médical. Saint Jude Medical avait alors porté plainte, et avait publié un premier correctif en janvier 2017. Il s’agirait donc de heurts commerciaux qui dévoileraient les dessous de la Sécurité chez Abbott, les concurrents direct d’Abbott pourraient se voir viser par les mêmes problèmes bientôt…

MedSec est aussi une société aux pratiques controversées : après avoir découvert l’existence des failles, elle avait communiqué l’information à une firme d’investisseurs, Muddy Waters Capital, qui avait alors spéculé à la baisse sur l’action de Saint Jude Medical. La présidente-directrice générale de MedSec, Justine Bone, avait publié un message disant qu’il s’agissait de « la seule manière de forcer St Jude Medical à agir ».

A l’avenir, les normes de sécurité devraient être renforcées pour ces appareils sensibles. Aux Etats-Unis, « plus avancés que nous sur cette problématique » selon le docteur Piot, la FDA s’apprête à intégrer une norme de cybersécurité obligatoire pour les matériels médicaux en plus d’un cahier des charges déjà établi. Une directive de cybersécurité existe depuis 2017 au niveau européen mais elle suit les directives techniques des Etats-Unis et serait inefficace en cas d’attaque dilligenté par une grande puissance…

Le Hack est devenu une forme de Lest transactionnel dans les accords financiers et ce problème technique des prothèses cardio-vasculaires de chez Abbott le révèle bien…


En savoir plus sur : http://www.lemonde.fr/pixels/article/2017/09/01/des-porteurs-de-pacemakers-piratables-incites-a-effectuer-une-mise-a-jour-logicielle_5179848_4408996.html#hvFHOw0mJ1Y6tvUt.99

décembre 22, 2018

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.