USA : 465 000 stimulateurs cardiaques vulnérables à des cyberattaques rappelés par les autorités
Pour l’application de patchs de sécurité
Le concept semble étrange, mais les stimulateurs cardiaques n’échappent pas à la mouvance actuelle du « tout connecté », ce qui, de facto, ouvre la porte à des cybermenaces en tous genres. Dans ce qui pourrait apparaître comme une première, l’Agence américaine des produits alimentaires et médicamenteux (FDA) vient d’émettre un avis à l’intention des possesseurs de stimulateurs cardiaques : retourner vers une formation hospitalière pour une mise à jour du firmware.
Dans le viseur des autorités américaines, les stimulateurs cardiaques de marque Abbott. Des rapports passés au crible par la FDA soulignent en effet l’existence de vulnérabilités qui donnent à un cybercriminel la possibilité de : réduire la durée de vie de la batterie de l’appareil implanté dans la poitrine du patient ou modifier le rythme des battements du cœur entre autres et le tout à distance.
Aucun cas de cyberattaque de ce type n’a été enregistré jusqu’ici, mais, dit-on, prévenir vaut mieux que guérir. Les autorités américaines annoncent donc la disponibilité de patchs de sécurité approuvés par elles le 23 août dernier pour anticiper sur d’éventuelles tentatives de personnes malveillantes. La mise à jour ne concerne que les patients ayant fait l’acquisition de leur stimulateur à une date antérieure au 28 août 2017. Dans les autres cas, l’appareil sera livré avec un firmware à jour.
Une mise à jour se fera en trois minutes. La FDA prévient cependant que l’opération n’est pas sans risques. « À chaque mise à jour de firmware, il y a un faible risque que l’opération tourne court », préviennent les autorités qui estiment qu’une perte totale de fonctionnalité de l’appareil (due à une mise à jour ratée) ne s’est produite que dans 0,003 % des cas enregistrés par la firme qui conçoit les dispositifs.
Cette mise à jour approuvée par la FDA semble avoir comme objectif principal d’empêcher à un cybercriminel d’avoir un « accès direct » au stimulateur cardiaque. Il faudrait en effet rappeler que la donne actuelle voudrait que, dans la plupart des cas, le programmateur utilisé par le médecin pour agir sur les paramètres du stimulateur lors d’une consultation accède à ce dernier sans authentification. La conséquence de cet état de choses est qu’un cybercriminel muni du même programmateur peut avoir accès à l’appareil implanté dans la poitrine du patient. Cette mise à jour du firmware vient renforcer la sécurité en ce qui concerne cet aspect particulier. Il est désormais prévu que tout accès au dispositif se fasse après que le dispositif de surveillance (Home Monitoring Device) l’a autorisé.
465 000 stimulateurs cardiaques sont disséminés sur l’ensemble du territoire des États-Unis, d’après des estimations de la FDA. Les patients et spécialistes sur le sol étasunien viennent de recevoir des instructions claires en ce qui concerne le processus de mise à jour. Pour ceux des patients qui ont acquis ce matériel hors des frontières des États-Unis, il faudra encore vérifier que des dispositions similaires sont prises dans le pays où ils se trouvent.
Source : FDA
Et vous ?
Qu’en pensez-vous ?
Voir aussi :
Les stimulateurs cardiaques sont vulnérables à des cyberattaques, d'après les firmes de sécurité WhiteScope et Ponemon Institute
Partager