Cette faille de sécurité dans des pompes à insuline met les patients en danger
- - -
Le fabricant Animas du groupe Johnson & Johnson vient d'avertir les utilisateurs de ses pompes à insuline OneTouch Ping qu'une faille de sécurité pourrait permettre à un pirate "d'accéder de manière non autorisée à la pompe", explique le fabricant dans une lettre. Une personne particulièrement malveillante pourrait donc, par l'intermédiaire d'un signal radio, administrer une dose mortelle d'insuline à un patient.
En effet, le système OnTouch Ping – qui n'est commercialisé qu'en Amérique du Nord – comporte deux composants qui peuvent communiquer sans fil: la pompe proprement dite et un lecteur de glycémie appelé "Remote Meter". A chaque analyse de sang, ce lecteur va envoyer le taux de glycémie à la pompe qui pourra ainsi calculer la dose d'insuline qu'il faut délivrer. Le problème, c'est que cette communication n'est pas chiffrée, de sorte qu'une personne peut usurper l'identité du Remote Meter et envoyer à la pompe de fausses commandes. Dans une note de blog, Jay Radcliffe, le chercheur en sécurité qui a trouvé cette faille, a démontré par vidéo la réalisation d'une telle attaque.
Le fabricant estime que le risque d'une telle attaque est "extrêmement faible" car elle nécessiterait "une expertise technique, des équipements sophistiqués et d'être à proximité de la pompe". Mais selon le chercheur, le rayon d'action pourrait aller jusqu'à quelques kilomètres, en fonction des équipements radio utilisés. Ces équipements sont librement disponibles et utilisés, notamment, par les radioamateurs.
Pour les utilisateurs qui ne veulent pas prendre ce risque, il existe plusieurs solutions. Ils peuvent désactiver la communication sans fil, mais cela les contraint à entrer le taux de glycémie à la main. Ils peuvent aussi définir une dose maximale d'insuline pour une période de temps donnée. En cas de dépassement, les utilisateurs seront avertis par une alarme et ils pourront annuler l'injection. Enfin, ils peuvent activer une fonction vibreur qui se met en marche avant chaque injection et qui permet de la valider ou non.
Ce n'est pas la première fois que Jay Radcliffe – qui est lui-même diabétique – épingle les pompes à insuline. En 2011, il avait montré des failles dans plusieurs produits Medtronic à l'occasion de la conférence BlackHat USA 2011. D'autres chercheurs se penchent également sur les appareils médicaux connectés. En 2015, le chercheur en sécurité Billy Rios avait découvert que l'on pouvait prendre le contrôle de certains systèmes de perfusion médicaux dans les hôpitaux. En 2012, le chercheur Barnaby Jack avait montré que l'on pouvait provoquer à distance des décharges électriques mortelles sur certains pacemakers.
Les plus lus
Kendji Girac: accident "impossible", "suicide simulé", cocaïne... Ce qu'il faut retenir de la conférence du procureur
Paris: les ailes du Moulin Rouge sont tombées dans la nuit
Arnaques par téléphone: voici les indicatifs dont il faut se méfier
Un test en développement en France pour détecter le cancer du poumon grâce à une prise de sang
Harvard, Austin... Aux États-Unis, les manifestations contre la guerre à Gaza gagnent de nouveaux campus