BFM Business

Un demi-million de pacemakers menacés de piratage informatique rappelés

Les pacemakers en cause pouvaient potentiellement être perturbés à distance par onde radio. La mise à jour logicielle corrigera cette faille.

Les pacemakers en cause pouvaient potentiellement être perturbés à distance par onde radio. La mise à jour logicielle corrigera cette faille. - Philippe Hughen-AFP

L'administration américaine a rappelé 465.000 stimulateurs cardiaques menacés d'un piratage potentiel à cause d'une vulnérabilité informatique. Un correctif "vital" de leur logiciel devra être installé en hôpital. Explications.

Jamais le terme "vital" ne s'était autant appliqué à un correctif logiciel. Un léger vent de panique souffle dans les départements de cardiologie des hôpitaux américains, car ils doivent se préparer à recevoir la visite de presque un demi-million de patients pour une mise à jour logicielle de leur stimulateur cardiaque.

La puissante US Food and Drugs Administration (FDA) est à l'origine de ce rappel. Son alerte officielle concerne 465.000 pacemakers exposés à une attaque informatique éventuelle en raison d'un "faille" décelée a posteriori.

Cette "vulnérabilité" permettrait à un pirate très mal intentionné se trouvant à proximité d'en altérer le fonctionnement en agissant à distance par onde radio pour, par exemple, vider la batterie ou modifier la fréquence cardiaque. Et mettre en danger la vie du porteur du stimulateur cardiaque.

Les pacemakers concernés proviennent tous du fournisseur St Jude Medical (groupe Abbott). Le constructeur américain mis en cause a précisé qu'"il n'y [avait] eu aucun signalement d'accès non autorisé sur aucun appareil implanté sur les patients" et que "d'après un avis publié par le département américain de la Sécurité intérieure, compromettre la sécurité de ces appareils nécessiterait un ensemble de circonstances très complexe à réunir".

La mise à jour du logiciel est à faire en hôpital

Pour mettre à jour le logiciel de leurs pacemakers, les patients américains n’ont pas beaucoup le choix: il faut aller voir un spécialiste à l’hôpital qui le téléchargera sur l’appareil. Cette mise à jour prend environ trois minutes et permettra également de colmater une autre faille de sécurité qui, sur certains modèles, donnait accès à des données personnelles non chiffrées.

Ce n’est pas la première fois que les pacemakers sont pointés du doigt sur le plan de la sécurité informatique. En mai dernier, les chercheurs en sécurité de WhiteScope avaient trouvé plus de 8600 failles de sécurité dans les produits de quatre fabricants.

Les raisons en étaient diverses: communications non chiffrées, systèmes d’exploitation ultra-obsolètes, manque d’authentification, ou encore librairies vieillissantes.

G.Kallenborn (01net) édité par F.Bergé