Le département américain de la Sécurité intérieure (DHS) et la Food and Drug Administration (FDA) des États-Unis ont publié des communications selon lesquelles des vulnérabilités en matière de cybersécurité ont été trouvées dans certains appareils Medtronic. Des centaines de dispositifs cardiaques de Medtronic sont vulnérables aux incidents de cybersécurité, selon deux avis du gouvernement fédéral américain.

La vulnérabilité a également affecté les moniteurs de chevet à domicile des patients qui lisent les données des appareils et des ordinateurs de programmation en cabinet utilisés par les médecins, mentionné Tribune des étoiles .

Ana Mulero, Orientation réglementaire :La FDA a publié une communication sur la sécurité de la FDA; L'équipe DHS Industrial Control Systems Cyber ​​Emergency Response (ICS-CERT) a publié un avis pour signaler les vulnérabilités en matière de cybersécurité. Ceux-ci ont été détectés dans le protocole de télémétrie Conexus de Medtronic. « La technologie sans fil est utilisée pour permettre la communication entre les dispositifs cardiaques implantables du fabricant de dispositifs médicaux, programmeurs de clinique et moniteurs à domicile."

Les défibrillateurs implantés sont destinés au traitement des problèmes cardiaques. Ils sont placés sous la peau. Ils délivrent des décharges électriques si un rythme cardiaque irrégulier est détecté, c'est noté TechSpot.

Deux types de vulnérabilité ont été mentionnés concernant (1) les protections formelles d'authentification ou d'autorisation, et (2) le cryptage des données. Mulero a dit, "Un accès inapproprié a reçu un score critique (9,3) et la transmission de données a un score de vulnérabilité moyen (6,5)."

Selon Mulero, « La FDA et l'ICS-CERT ont signalé qu'un attaquant ou une personne non autorisée pourrait exploiter les vulnérabilités de cybersécurité détectées pour accéder à l'un des produits concernés à proximité, impacter la fonctionnalité de l'appareil et/ou intercepter les données sensibles du patient dans le cadre de la communication de télémétrie."

Le site officiel du Department of Homeland Security publié jeudi Medical Advisory (ICSMA-19-080-01), Protocole de télémétrie par radiofréquence Conexus de Medtronic. "Le résultat d'une exploitation réussie de ces vulnérabilités peut inclure la capacité de lire et d'écrire n'importe quel emplacement de mémoire valide sur le dispositif implanté affecté et donc avoir un impact sur la fonction prévue du dispositif."

Une liste des produits et versions spécifiques des appareils Medtronic qui utilisent le protocole de télémétrie Conexus qui sont concernés peut être trouvée dans l'avis médical publié jeudi, 21 mars. (Un protocole est utilisé pour connecter des moniteurs sans fil à un dispositif implanté, mentionné TechSpot .)

Homeland a décrit les vulnérabilités de différents modèles de défibrillateurs implantables Medtronic, mentionné Tribune des étoiles .

TechCrunch et TechSpot discuté de certains détails techniques de ce qui a déclenché l'avertissement. Ces appareils dotés d'une technologie sans fil ou radio présentent l'avantage de permettre aux patients de surveiller leur état et à leurs médecins d'ajuster les paramètres sans avoir à effectuer une intervention chirurgicale invasive. le protocole de communication radio propriétaire de Medtronic, connu sous le nom de Conexus n'était pas crypté et il n'y avait pas de processus d'authentification.

Attaquants, avec du matériel d'interception radio, et dans une certaine plage, pourrait modifier les données d'un défibrillateur affecté, modifier les paramètres de l'implant.

Les pirates devraient être proches des utilisateurs - environ 20 pieds, a noté Rob Thubron dans TechSpot .

Medtronic dans son bulletin de sécurité de jeudi a informé que "l'exploitation complète de ces vulnérabilités nécessite une connaissance complète et spécialisée des dispositifs médicaux, télémétrie sans fil et électrophysiologie."

Les Tribune des étoiles article contenait des citations du Dr Robert Kowal, médecin-chef des produits Medtronic pour le rythme cardiaque et l'insuffisance cardiaque. Il a déclaré qu'"un pirate informatique devrait se trouver à moins de 20 pieds environ du patient, aurait besoin d'une connaissance détaillée du fonctionnement interne de l'appareil, et posséder une technologie spécialisée pour réussir le piratage."

Que doivent faire les patients, alors? Medtronic a recommandé que les patients et les médecins continuent d'utiliser ces dispositifs comme prescrit et prévu. "Les avantages de la surveillance à distance l'emportent sur le risque pratique que ces vulnérabilités puissent être exploitées."

Discuter de l'atténuation, Medtronic a déclaré dans son bulletin qu'il "développait des mises à jour pour atténuer ces vulnérabilités" et informerait les patients et les médecins lorsqu'ils seraient disponibles, sous réserve des approbations réglementaires. L'avis médical apparaissant sur le site Web du Department of Homeland Security a déclaré que « Medtronic a appliqué des contrôles supplémentaires pour surveiller et répondre à une mauvaise utilisation du protocole de télémétrie Conexus par les dispositifs cardiaques implantés concernés. Des mesures d'atténuation supplémentaires sont en cours d'élaboration et seront déployées dans le cadre de futures mises à jour. , en supposant l'approbation réglementaire."

Thubron dans TechSpot a ajouté que la société surveillait son réseau "pour toute personne essayant d'exploiter les failles". Il a déclaré que "les defibs arrêteront la transmission sans fil lors de la réception de demandes inhabituelles. La société travaille sur un correctif pour les vulnérabilités, qui devrait arriver plus tard cette année."

Medtronic, pendant ce temps , a déclaré que « À ce jour, ni une cyberattaque ni un préjudice pour le patient n'ont été observés ou associés à ces vulnérabilités. »

Dans l'image plus grande, « Les fabricants d'appareils médicaux ont intensifié leurs efforts pour atténuer les vulnérabilités de sécurité des produits ces dernières années à la suite d'une vague d'avertissements de chercheurs en sécurité qui ont identifié des bogues dans des appareils comme les programmeurs d'implants Medtronic, ", a déclaré Reuters.

© 2019 Réseau Science X