La très sérieuse Food and Drug Administration, garante de la sécurité sanitaire aux Etats-Unis, vient d'appeler les fabricants d'appareils médicaux implantés dans le corps humain à la vigilance. Elle s'inquiète de "vulnérabilités en termes de cyber-sécurité et d'incidents qui pourraient toucher directement des appareils médicaux, ou des réseaux d'hôpitaux".
Le scénario a déjà été envisagée à la télévision: dans la série "Homeland", des pirates informatiques assassinent le vice-président des Etats-Unis en s'infiltrant dans son pacemaker, et en déclenchant un choc électrique fatal.
"La bonne nouvelle, c'est que nous n'avons connaissance d'aucun accident dans le monde réel. Mais la mauvaise nouvelle, c'est qu'il n'y a personne qui s'intéresse scientifiquement au sujet", commente Kevin Fu, un professeur d'informatique de l'université du Michigan, spécialisé dans le domaine de la santé. Or "un virus informatique peut s'attraper en un clin d'oeil".
Kevin Fu est co-auteur d'une étude qui, dès 2008, soulignait les risques présentés par des engins implantés dans le corps humain, tels les défibrillateurs cardiaques, car des pirates peuvent les reprogrammer en s'infiltrant dans le réseau sans fil qui sert à les commander. Pour lui toutefois, "le plus grand risque est un virus qui entrerait par accident dans un appareil médical, plutôt que les attaques imaginées dans la fiction". "Les virus ralentissent souvent un ordinateur, et quand vous ralentissez un appareil médical, il n'a plus l'intégrité nécessaire pour fonctionner comme il devrait", explique-t-il.
D'après Barnaby Jack, un expert de la société de sécurité IOActive, le scénario présenté dans "Homeland" est "tout à fait réaliste". Il dit vouloir faire une présentation d'attaque similaire lors d'un prochain forum de hackers.
Pacemakers "vulnérables"
Barnaby Jack a étudié les pacemakers et défibrillateurs cardiaques implantables d'un grand fabricant et les a trouvés "particulièrement vulnérables". Depuis une distance de 10 à 15 mètres, "je peux récupérer les codes nécessaires pour interroger les implants individuels à distance", affirme-t-il. Un autre expert en sécurité informatique, Jay Radcliffe, lui-même diabétique, avait démontré en 2011 qu'il était possible de pirater une pompe à insuline et d'en changer les dosages.
Au-delà des engins implantables, beaucoup d'équipements hospitaliers (moniteurs cardiaques, scanners, respirateurs artificiels, appareils de radiothérapie ou de mélange de produits pour intraveineuses) sont connectés à des réseaux, parfois sans fil, dont la sécurité peut présenter des failles.
Leurs mots de passe peuvent aussi être piratés. La société de sécurité Cylance en a publié récemment toute une liste. "Nous aurions pu en publier 1.000, nous aurions même pu aller jusqu'à 10.000. Nous nous sommes arrêtés à 300 parce que nous pensions que 300 suffisaient pour faire passer le message", a commenté Cylance sur son blog.
"Les chances d'une attaque contre l'appareil médical de quelqu'un sont extrêmement faibles", relativise Barnaby Jack. "Tout risque, aussi bas soit-il, doit être supprimé", juge-t-il néanmoins, espérant qu'attirer l'attention sur le problème poussera les fabricants à améliorer la sécurité des appareils. "La plupart des problèmes de sécurité peuvent être retracés jusqu'à la conception" de l'appareil, note aussi Kevin Fu, disant avoir "des doutes qu'une stratégie seulement basée sur des antivirus ou des pare-feux soit efficace".
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Sujets les + commentés