Les agences fédérales ont averti mardi les patients et les fabricants qu'un problème récemment découvert avec les communications Bluetooth Low Energy pourrait permettre aux pirates informatiques de désactiver ou d'accéder à distance aux stimulateurs cardiaques, glucomètres, appareils à ultrasons et autres systèmes médicaux.

La FDA et le département de la sécurité intérieure ont déclaré que bien qu'il n'y ait eu aucun rapport de patients blessés par le problème, le logiciel nécessaire pour exécuter une telle attaque est disponible en ligne.

Medtronic a confirmé mardi que certains de ses produits sont concernés, mais a déclaré que l'impact est limité à une "perturbation temporaire de la fonction de communication" et n'aurait pas d'impact sur la thérapie.

L'alerte de la FDA a décrit le potentiel de problèmes bien pires dans d'autres appareils. "Ces vulnérabilités de cybersécurité peuvent permettre à un utilisateur non autorisé de planter l'appareil sans fil, l'empêcher de fonctionner, ou accéder aux fonctions de l'appareil normalement disponibles uniquement pour l'utilisateur autorisé, " a indiqué l'alerte de la FDA.

L'alerte de mardi a été déclenchée par la publication d'un article académique, "Libérer le chaos sur Bluetooth Low Energy, " qui a décrit au moins 12 vulnérabilités de sécurité différentes dans les appareils qui utilisent une version à faible consommation d'énergie des systèmes de communication Bluetooth. La plupart des vulnérabilités feraient simplement planter les systèmes, mais quelques-uns permettraient à un pirate informatique malveillant à portée de radiocommunication d'insérer des commandes qui modifient le fonctionnement des appareils.

Connu collectivement sous le nom de « SweynTooth, " les défauts affectent les puces informatiques de sept fabricants différents qui sont utilisées dans les appareils, y compris les produits médicaux. Sont également concernés certains appareils portables de sport, des systèmes de sécurité et des serrures « intelligents », souris d'ordinateur sans fil, et d'autres.

« Les appareils les plus critiques qui pourraient être gravement touchés par SweynTooth sont les produits médicaux, ", a déclaré l'article de trois auteurs de l'Université de technologie et de design de Singapour. "Bien que notre équipe n'ait pas vérifié dans quelle mesure SweynTooth affecte ces appareils … il est fortement recommandé que ces entreprises mettent à jour leur firmware. Ceci afin d'éviter toute situation qui pourrait présenter des risques mortels pour les patients utilisant les produits médicaux respectifs."

Les vulnérabilités SweynTooth permettent à une partie non autorisée d'accéder à distance aux communications sans fil entre les appareils médicaux qui sont « couplés » via une connexion Bluetooth Low Energy (BLE).

Bluetooth est un système de communication commun utilisé par les appareils sans fil qui communiquent entre eux. Bluetooth Low Energy est une version de ce système qui nécessite moins d'énergie, ce qui le rend attrayant pour les appareils qui fonctionnent avec une batterie limitée, comme les dispositifs médicaux.

Daniel Barbe, directeur général de la société californienne de recherche en cybersécurité MedISAO, basée en Californie, a déclaré que chaque fabricant d'appareils concernés devra effectuer sa propre évaluation de la sécurité, car l'étendue de l'impact dépend de la façon dont l'appareil est assemblé.

Si la même puce informatique à l'intérieur d'un appareil exécute à la fois des fonctions de communication et de thérapie médicale, alors un piratage SweynTooth pourrait affecter sa fonctionnalité médicale, dit Barbe. Si les communications et la thérapie sont sur des puces séparées, l'effet se limiterait à perturber la façon dont l'appareil communique sans fil avec d'autres appareils.

Stimulateurs cardiaques, les moniteurs de diabète et les appareils à ultrasons, catégories spécifiquement mentionnées dans l'alerte de la FDA, sont largement utilisés dans les soins de santé. Plusieurs fabricants d'appareils ont déclaré mardi qu'ils travaillaient pour obtenir plus d'informations.

« La FDA recommande aux fabricants de dispositifs médicaux de rester attentifs aux vulnérabilités en matière de cybersécurité et de les traiter de manière proactive en participant à la divulgation coordonnée des vulnérabilités et en fournissant des stratégies d'atténuation, " Dr Suzanne Schwartz, un directeur adjoint au Center for Devices and Radiological Health de la FDA, dit dans l'annonce.

Une porte-parole de Medtronic a confirmé mardi que plusieurs familles de produits sont concernées.

"À ce jour, notre analyse a confirmé que ces composants matériels (vulnérables) sont présents dans certains produits Medtronic de nos gammes de produits Cardiac &Vascular et Diabetes. Cependant, notre évaluation indique que l'impact est limité à une perturbation temporaire de la fonction de communication et n'a pas d'impact sur la thérapie, ", a déclaré la porte-parole Erika Winkels par e-mail.

Les dispositifs cardiaques de Medtronic affectés par la vulnérabilité sont :le portefeuille Azure de stimulateurs cardiaques; la Percepta, Serena, et la famille Solera de stimulateurs cardiaques de thérapie de resynchronisation cardiaque (CRT-P); et les défibrillateurs de thérapie de resynchronisation cardiaque Cobalt et Crome (CRT-D).

Les produits pour le diabète concernés par la vulnérabilité sont :l'émetteur du capteur de glucose Guardian Connect, qui fait partie du système de surveillance du glucose autonome Guardian Connect ; l'enregistreur de glycémie Envision Pro, qui fait partie du système professionnel de surveillance de la glycémie Envision Pro ; et le téléchargeur MiniMed Connect, " qui est un accessoire d'affichage secondaire pour les pompes à insuline à capteur augmenté MiniMed 530G et MiniMed Paradigm.

Ni les pompes à insuline ni ses émetteurs de surveillance continue du glucose (CGM) qui communiquent avec les pompes fabriquées par Medtronic ne contiennent les composants matériels concernés, dit la société.

©2020 Star Tribune (Minneapolis)
Distribué par Tribune Content Agency, LLC.