Les patients équipés d’un défibrillateur implantable (DAI) de chez Medtronic ne sont pas tranquilles depuis plusieurs jours. En effet, le département de la Sécurité intérieure des Etats-Unis (le Department of Homeland Security) a publié un avertissement sur deux failles de sécurité touchant ces appareils. Ces derniers pourraient être piratés et attaqués à distance, mettant ainsi en danger la santé de leurs détenteurs. Et d’après ce service gouvernemental, 16 modèles de l’entreprise Medtronic sont concernés et pas seulement aux Etats-Unis puisque ces dispositifs sont également disponibles dans d’autres pays, en France par exemple. Mais pour l’instant, il n’y a pas lieu de s’affoler car le risque de détournement est très faible.
750 000 appareils touchés par ce danger potentiel
Cet avertissement du département de la Sécurité intérieure des Etats-Unis rappelle que tous les objets connectés sont vulnérables et peuvent donc être piratés. Et malheureusement, les dispositifs pouvant sauver des vies ne sont pas épargnés. C’est le cas notamment des défibrillateurs implantés sous la peau des patients pour prévenir un arrêt cardiaque. Cet avertissement s’adresse à ceux de la marque Medtronic, qui sont susceptibles d’être attaqués et contrôlés à distance par des pirates. Mais un piratage nécessite des connaissances techniques pointues, des renseignements sur le modèle implanté ainsi qu’une certaine proximité avec le porteur du DAI. Cependant, ces deux failles de sécurité toucheraient 750 000 personnes ! Alors, même si les risques sont faibles, ils restent importants car ils peuvent impacter un grand nombre de patients.
Quels sont les risques ? Comment remédier à cette faille ?
Si un piratage venait à se produire, il y aurait des conséquences sur les défibrillateurs et les patients. Les pirates pourraient prendre le contrôle des DAI et en altérer le fonctionnement. On n’ose donc imaginer les effets sur les personnes portant ces appareils. Mais ces vulnérabilités ne sont pas nouvelles puisqu’elles ont déjà été signalées à l’entreprise Medtronic en janvier 2018. Des chercheurs de Clever Security avaient indiqué que le manque de chiffrement de ces dispositifs pouvait être problématique car des pirates pourraient intercepter des informations échangées entre les défibrillateurs connectés et les appareils exploitant ces données. Pour remédier à ces failles, des mises à jour vont être déployées pour améliorer la sécurité des DAI.