Une vingtaine de modèles de défibrillateurs cardiaques pourraient être vulnérables aux pirates informatiques.
C’est ce qu’a révélé le leader mondial des technologies médicales, l'américain Medtronic, à la suite d’une enquête dévoilée par le Département de la Sécurité intérieure des États-Unis.
Le protocole de télémétrie Conexus, de la compagnie Medtronic, est responsable de cette vulnérabilité informatique.
À distance, les pirates pourraient changer les paramètres des défibrillateurs cardiaques et mettre en péril la vie des patients.
«On pourrait imaginer qu’un attaquant malveillant enlève complètement le logiciel de l’appareil, qui cesserait immédiatement de fonctionner, et donc ne ferait plus son travail. Ou alors, il pourrait modifier le comportement de l’appareil pour faire en sorte que le cœur accélère. Ça peut facilement mener à une catastrophe», a expliqué Pascal Giard, professeur au département de génie électrique de l’École des technologies supérieures (ÉTS).
Aucune attaque
L’entreprise soutient toutefois qu’aucune attaque et aucune violation de la vie privée n’ont été observées et qu’aucun patient n’a été victime de cette faille informatique.
Selon M. Giard, il serait peu compliqué pour Medtronic de bien protéger ses appareils, quand on connait les risques d’une telle faille pour ses usagers.
«Est-ce que c’est coûteux? La réponse, en ce qui me concerne, est clairement non. C’est un effort qui doit être fait de façon ponctuelle et non pas répété. D’avoir coupé cet aspect-là de la sécurité, c’est clairement de la négligence», a ajouté le professeur de l’ÉTS.
Selon Medtronic, la faille informatique ne toucherait pas ses stimulateurs cardiaques qui ne fonctionnent pas avec le protocole de télémétrie Conexus.
Faible danger
L'Institut de cardiologie de Montréal surveille 4500 patients à distance grâce à ces systèmes. Ici, on croit qu'il y a tellement d'embûches qu'il ne peut pas vraiment y avoir de piratage.
«Il y a tellement de si, soulève le Dr Peter Guerra, chef du département de médecine de l’Institut. Si l'appareil n’est pas en mode transmetteurs, si la personne n’est pas à proximité, si on ne sait pas exactement quel modèle il a...»
Medtronic recommande aux usagers des modèles touchés à continuer à utiliser les appareils, car les risques de l’utilisation seraient plus grands que les dangers des pirates informatiques.
En novembre dernier, des rapports sur les incidents liés aux implants médicaux analysés dans le cadre d'une enquête journalistique internationale ont affirmé que l’américaine Medtronic était potentiellement liée à 9300 décès et 292 000 blessures entre 2008 et 2017 aux États-Unis.
- D'après les informations de Richard Olivier
Liste des appareils touchés
Amplia MRITM CRT-D – tous les modèles
Claria MRITM CRT-D – tous les modèles
Compia MRITM CRT-D – tous les modèles
ConcertoTM CRT-D – tous les modèles
ConcertoTM II CRT-D – tous les modèles
ConsultaTM CRT-D – tous les modèles
Evera MRITM ICD – tous les modèles
EveraTM ICD – tous les modèles
MaximoTM II CRT-D et ICD – tous les modèles
Mirro MRITM ICD – tous les modèles
Nayamed ND ICD – tous les modèles
Primo MRITM ICD – tous les modèles
ProtectaTM CRT-D et ICD – tous les modèles
SecuraTM ICD – tous les modèles
Le programmeur CareLinkTM 2090
Le moniteur CareLinkTM, modèle 2490C
Le moniteur MyCareLink modèles 24950 et 24952
