Des stimulateurs cardiaques de l'entreprise Medtronic sont vulnérables aux attaques. La santé et la sécurité des données des porteurs de ces appareils, implantés dans leurs corps, sont mis en danger.

Medtronic se présente comme « le leader mondial des technologies, solutions et services médicaux ». Le 21 mars 2019, le département de la sécurité intérieure des États-Unis s’est penché sur plusieurs défibrillateurs automatiques implantables de cette marque, qui présentent des vulnérabilités.

Elles peuvent potentiellement « permettre à un attaquant disposant d’un accès de faible portée adjacent à l’un des produits affectés d’interférer avec eux, de générer, de modifier ou d’intercepter la communication à radiofréquence du système de télémétrie Conexus de Medtronic », prévient le gouvernement américain dans cette notice.

Un stimulateur cardiaque. // Source : Pixabay (photo recadrée)

La technologie de la télémétrie permet de mesurer et contrôler depuis l’extérieur des paramètres d’un stimulateur cardiaque implanté dans l’organisme. Ces appareils servent à envoyer des impulsions électriques vers les muscles d’un cœur qui bat trop lentement.

Deux risques : pour la santé et les données

Les failles des produits de Medtronic peuvent potentiellement entraîner deux problèmes pour les porteurs de ces appareils. Elles risquent de nuire à la santé des patients, si le bon fonctionnement des défibrillateurs est entravé, et de permettre l’accès à des données de santé privées. 20 appareils différents sont concernés, comme le moniteur MyCareLink (qui permet aux patients de vérifier que leur appareil fonctionne correctement) ou le défibrillateur Amplia CRT.

C’est l’entreprise Clever Security, spécialisée dans la sécurité informatique à San Diego (Californie), qui a fait remarquer ces failles en janvier 2018, rapporte Ars Technica. Ses chercheurs sont par exemple parvenus à récupérer le nom de patients ou des numéros de téléphone et à paramétrer des chargements risqués pour la santé.

Les locaux de Medtronic à Mounds View. // Source : Wikimedia/CC/Tony Webster (photo recadrée)

Il serait possible de « modifier la mémoire du dispositif »

« Le protocole de télémétrie Conexus utilisé dans cet écosystème n’utilise pas d’authentification ou d’autorisation », fait observer le département de la sécurité intérieure des États-Unis. Si la radio de l’appareil de Medtronic est allumée, une personne souhaitant récupérer des données pourrait utiliser le système de télémétrie pour le faire. Il serait même possible de « modifier la mémoire du dispositif cardiaque implanté ». Les données transmises par le stimulateur ne sont pas chiffrées, ce qui les rend également vulnérables.

Selon le document du gouvernement américain, Medtronic assure renforcer ses contrôles et prévoir de nouvelles mesures qui seront appliquées une fois que l’entreprise aura reçu les autorisations nécessaires. « Il y a un risque faible que ces vulnérabilités soient exploitées. À ce jour, aucune cyberattaque, violation de la vie privée ou préjudice à un patient n’a été observé ou associé à ces problèmes », a déclaré Ryan Mathre, un représentant de Medtronic, à Ars Technica.

En 2017, une entreprise s’était penchée sur les vulnérabilités des pacemakers et avait relevé 8 000 bugs que des hackers pourraient chercher à exploiter dans ces appareils. L’exemple de Medtronic rappelle que ces enjeux sont toujours d’actualité.

Partager sur les réseaux sociaux