Quand les fabricants de pacemaker ne prennent pas assez à cœur la sécurité...

Washington, le samedi 3 juin 2017 - Il y a quelques semaines, la cyber attaque dont ont été victimes des dizaines d'hôpitaux du NHS a rappelé combien l'obsolescence des logiciels utilisés par certains établissements favorisait leur vulnérabilité face aux pirates informatiques. Les institutions médicales ne sont pas les seules à compter de manière imprudente sur des programmes dépassés : de nombreux dispositifs médicaux connectés reposent également sur des programmes dont la sécurité est plus que faillible. Ainsi les programmateurs de nombreux pacemakers fonctionnent encore avec Windows XP, d’anciennes versions de Monta Vista ou encore OS/2 . Une tare dommageable pour la protection des dispositifs et surtout des patients qui les portent.

Un pacemaker en deux clics sur E-bay

Cette révélation est celle d'un groupe de chercheurs en sécurité réunis au sein de l’association américaine White Scope qui a publié cette semaine un long rapport fruit d’une enquête sur la sécurité des stimulateurs cardiaques. Première constatation : ils n’ont guère rencontré de difficultés pour se procurer les dispositifs médicaux, qu’ils ont notamment pu acquérir sur E-bay, contrairement aux certifications de plusieurs fabricants quant à l’obligation d’être professionnel de santé pour pouvoir commander un pacemaker. Outre cet accès sans filtre, sept produits fabriqués par quatre constructeurs ont révélé plusieurs milliers de failles de sécurité. Ces dernières concernent notamment les systèmes de surveillance à domicile, les stockages de données et les programmateurs permettant au médecin d’effectuer divers réglages. Les problèmes les plus marquants retrouvés étaient l’absence d’authentification, l’existence de données non chiffrées, et l’obsolescence des systèmes.

Conséquences : le risque d’accès à des informations confidentielles, voire de piratage à distance des pacemakers est bien réel et accessible à des hackers même peu expérimentés. Il ne s’agit pourtant pas de la première alerte : à plusieurs reprises ces dernières années des experts en sécurité ont mis en évidence, expérience à l’appui, la vulnérabilité des dispositifs médicaux. La Food and Drug Administration a elle-même lancé différentes mises en garde.

Ces dernières paraissent comme ignorées des constructeurs. Concernant les pacemakers, ils mettent en avant les difficultés : 80 % des fabricants évoquent la complexe sécurisation. Ainsi, aujourd’hui, seuls 17 % des firmes se sont engagées dans un véritable processus de sécurisation.

Léa Crébat

Copyright © http://www.jim.fr

Réagir

Vos réactions

Soyez le premier à réagir !

Les réactions aux articles sont réservées aux professionnels de santé inscrits
Elles ne seront publiées sur le site qu’après modération par la rédaction (avec un délai de quelques heures à 48 heures). Sauf exception, les réactions sont publiées avec la signature de leur auteur.

Réagir à cet article