Medtronic se présente comme « le leader mondial des technologies, solutions et services médicaux ». Le 21 mars 2019, le département de la sécurité intérieure des États-Unis s’est penché sur plusieurs défibrillateurs automatiques implantables de cette marque, qui présentent des vulnérabilités.
Elles peuvent potentiellement « permettre à un attaquant disposant d’un accès de faible portée adjacent à l’un des produits affectés d’interférer avec eux, de générer, de modifier ou d’intercepter la communication à radiofréquence du système de télémétrie Conexus de Medtronic », prévient le gouvernement américain dans cette notice.
La technologie de la télémétrie permet de mesurer et contrôler depuis l’extérieur des paramètres d’un stimulateur cardiaque implanté dans l’organisme. Ces appareils servent à envoyer des impulsions électriques vers les muscles d’un cœur qui bat trop lentement.
Deux risques : pour la santé et les données
Les failles des produits de Medtronic peuvent potentiellement entraîner deux problèmes pour les porteurs de ces appareils. Elles risquent de nuire à la santé des patients, si le bon fonctionnement des défibrillateurs est entravé, et de permettre l’accès à des données de santé privées. 20 appareils différents sont concernés, comme le moniteur MyCareLink (qui permet aux patients de vérifier que leur appareil fonctionne correctement) ou le défibrillateur Amplia CRT.
C’est l’entreprise Clever Security, spécialisée dans la sécurité informatique à San Diego (Californie), qui a fait remarquer ces failles en janvier 2018, rapporte Ars Technica. Ses chercheurs sont par exemple parvenus à récupérer le nom de patients ou des numéros de téléphone et à paramétrer des chargements risqués pour la santé.
Il serait possible de « modifier la mémoire du dispositif »
« Le protocole de télémétrie Conexus utilisé dans cet écosystème n’utilise pas d’authentification ou d’autorisation », fait observer le département de la sécurité intérieure des États-Unis. Si la radio de l’appareil de Medtronic est allumée, une personne souhaitant récupérer des données pourrait utiliser le système de télémétrie pour le faire. Il serait même possible de « modifier la mémoire du dispositif cardiaque implanté ». Les données transmises par le stimulateur ne sont pas chiffrées, ce qui les rend également vulnérables.
Selon le document du gouvernement américain, Medtronic assure renforcer ses contrôles et prévoir de nouvelles mesures qui seront appliquées une fois que l’entreprise aura reçu les autorisations nécessaires. « Il y a un risque faible que ces vulnérabilités soient exploitées. À ce jour, aucune cyberattaque, violation de la vie privée ou préjudice à un patient n’a été observé ou associé à ces problèmes », a déclaré Ryan Mathre, un représentant de Medtronic, à Ars Technica.
En 2017, une entreprise s’était penchée sur les vulnérabilités des pacemakers et avait relevé 8 000 bugs que des hackers pourraient chercher à exploiter dans ces appareils. L’exemple de Medtronic rappelle que ces enjeux sont toujours d’actualité.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !