Faut-il craindre le piratage de pacemaker par des hackers ?

Dr Walid Amara

Auteurs et déclarations

22 novembre 2012

Faut-il craindre le piratage de pacemaker ou de défibrillateur par des hackers ?

Il est techniquement possible de pirater un stimulateur cardiaque, la démonstration vient d'être faite. Au-delà de la sécurité des porteurs de PM, c'est celle de tous les logiciels médicaux qui est en cause.
22 novembre 2012

Melbourne, Australie - « Il est possible de pirater un stimulateur cardiaque à distance » a indiqué Barnaby Jack, expert en sécurité informatique chez IO Active, une société spécialisée en sécurité informatique.

L'expérience, plutôt inquiétante, a été menée au congrès sur la sécurité informatique Breakpoint 2012. L'expert placé à une dizaine de mètres d'un stimulateur cardiaque (dont la marque n'a pas été révélée) aurait réussi à délivrer des décharges de 830 volts via le stimulateur (heureusement il ne s'agissait ici que d'un modèle et non d'un patient).

L'expert aurait récupéré les données confidentielles de porteurs de stimulateurs cardiaques et aurait réussi à implanter un logiciel corrompu destiné à perturber le fonctionnement normal du stimulateur cardiaque.

L'information, reprise dans la presse grand public a vite fait d'arriver dans la communauté cardiologique.

Info ou intox, on est en droit de s'interroger sur la sécurité des stimulateurs et défibrillateurs cardiaques, et celle de nos logiciels médicaux en général.

Les appareils communicants de plus en plus nombreux


De plus en plus, les prothèses sont interrogées par des télémétries sans fil ou leurs données sont transmises via la télécardiologie. C'est probablement l'une des problématiques à résoudre.

Ainsi, les PM ou DAI transmettent des données de la prothèse vers le transmetteur. A ce jour, la télécardiologie ne fonctionne que dans le sens de l'interrogation des prothèses sans possibilité de programmation, pour des raisons règlementaires.

Les ingénieurs spécialisés en télécardiologie vous diront toutefois qu'il est tout à fait possible de programmer un stimulateur à distance mais que cette fonction est bridée par les constructeurs.

Programmer une prothèse à distance pourrait avoir des conséquences redoutables (délivrance de chocs, stimulation asynchrone, modification des amplitudes de stimulation, etc…).

Enfin, une des questions qui reste en suspens est celle de la sécurisation des données des sites de télécardiologie. Les codes d'accès de ces sites changent tous les mois, mais cela n'est pas le cas pour tous et le degré de sécurisation de chaque site n'est probablement pas le même.

Faut-il installer des antivirus pour tous les appareils médicaux?


Faut-il installer des antivirus pour tous les appareils médicaux? C'est la question que l'on pourrait se poser à la lecture de cette information. Vous avez des antivirus dans vos ordinateurs, en faut-il dans les stimulateurs /défibrillateurs cardiaques, dans leurs programmateurs ou dans les transmetteurs de télémédecine ?

Au-delà des stimulateurs et défibrillateurs cardiaques, la question se pose pour tous les logiciels médicaux, que ce soit pour ceux des appareils médicaux, eux même, ou pour les logiciels utilisés par les hôpitaux, notamment concernant le dossier informatique du patient.

En tous cas, si cette information de piratage informatique n'était qu'une opération de communication des éditeurs de logiciels antivirus, on peut dire qu'elle est réussie car elle pointe du doigt quelques faiblesses ici et là.

Depuis quelques temps, en effet, les éditeurs de logiciels antivirus tels que Bitdefender de même que McAfee indiquent que tous les appareils médicaux utilisant des logiciels sont à risque de cyberattaque. Le risque de cyberattaque devient d'autant plus important que l'accès à ces données peut se faire de plus en plus par des Smartphones ou des tablettes qui, eux, ne sont pas sécurisés.

La règlementation devrait donc être plus stricte d'après la Government Accountability Office, la cour des comptes américaine. En France, aussi, on s'intéresse à la sécurisation via l'ANSSI, l'Agence Nationale de Sécurité des Systèmes d'Information qui plaide pour interdire l'utilisation des appareils personnels pour accéder aux données des entreprises.

Cette question dépasse donc le cadre des appareils médicaux mais concerne toutes les données sensibles des entreprises. Les données médicales sont sensibles car elles touchent à la vie de millions de personnes. 

La balle est maintenant dans le camp de tous les fabricants de PM ou DAI et des éditeurs de logiciels médicaux. Vérifier la sécurisation de toutes ces données est une urgence.

Commenter

3090D553-9492-4563-8681-AD288FA52ACE
Les commentaires peuvent être sujets à modération. Veuillez consulter les Conditions d'utilisation du forum.

Traitement....