Si les premiers hacks de pacemaker sont déjà apparus voici dix ans, le 9 août dernier à Las Vegas, dans le cadre de la conférence Black Hat sur la sécurité informatique, les chercheurs Billy Rios et Jonathan Butts, travaillant pour les sociétés WhiteScope et QED Secure Solutions, ont dévoilé que des failles subsistent. Ils ont montré ( voir vidéo) que malgré leurs mises en garde il était toujours possible de prendre le contrôle à distance de stimulateurs cardiaques (ou de pompes à insuline) de la marque Medtronic.
Ils en ont informé la société en janvier 2017. Concrètement, le programmeur CareLink 2090 qui sert aux médecins à contrôler les stimulateurs cardiaques lorsqu'ils sont implantés dans un corps n’est pas sécurisé. « Même si Medtronic a trouvé des solutions à certains des problèmes, elle n’a pas réagi assez vite en deux ans. Le risque reste très réel pour les patients porteurs d’un stimulateur cardiaque (CareLink 2090) » a déclaré Butts.
De son côté, la société, en mars dernier, a reconnu dans le « Minnesota Star Tribune » ne pas avoir le temps d’analyser toutes les conclusions des chercheurs.
Selon Billy Rios, les hackers pourraient « installer des mises à jour corrompues des logiciels pour prendre le contrôle des pacemakers ». Pour rappel, Il s’agit encore du système d'exploitation Windows XP. (Lire aussi Cyberattaque dans les hôpitaux du NHS : le virus exploite une faille de Windows)
De son côté, la porte-parole de Medtronic, Erika Winkels a rappelé que « tous les appareils comportent des risques ». Ces révélations sont documentées dans les avis du système de contrôle industriel du Department of Homeland Security, y compris l’avis sur « la vulnérabilité » de la pompe à insuline Medtronic
Dans un communiqué, la FDA a déclaré collaborer « avec les chercheurs en sécurité, l'industrie, ... pour assurer la sécurité et l'efficacité des dispositifs médicaux.»
L’agence a noté dans son Plan d’action de sécurité des dispositifs médicaux qu’elle envisage de créer un «CyberMed Safety Expert Analysis Board».
En Belgique, le Dr Georges Mairesse, Past-Président, de la BeHRA (Belgian Heart Rhythm Association) rappelle qu’ « un pacemaker doit être le moins connecté possible afin de le rendre le moins vulnérable. On sait que le hacking est théoriquement possible et nous y sommes très attentifs. Il s’agit d’un sujet qui est toujours abordé lors de nos Congrès et ce sera encore le cas en octobre prochain. » Il souligne qu’il est néanmoins « plus facile de hacker un Iphone qu’un pacemaker. »