e-santé : et si un hacker prenait la main sur un pacemaker ou une pompe à morphine ?

By Agnes 3 années ago

Cette crainte ne tient plus de la science-fonction. La e-santé génère, certes, de formidables opportunités d’amélioration de l’organisation des soins et de la prise en charge des patients, mais comme toute innovation, la médaille a son revers. La cybersécurité en fait partie. En témoignent diverses démonstrations de la vulnérabilité de divers dispositifs médicaux relatées ces dernières années et très récemment.

Pirater une pompe à insuline ou un pacemaker : la preuve en 2011 et 2012

Didier Renard, président de Cloudwatt, invité lors des 2èmes Assises de l’innovation thérapeutique le rappelait à l’assemblée : il existe un risque de hacking à différents niveaux. Non seulement au niveau du partage d’informations avec les professionnels de santé et des échanges de données mais également sur le pilotage à distance des dispositifs médicaux implantables sans fil par un individu bien équipé.

Première démonstration par Barnaby Jack, célèbre hacker américain, qui, rappelons-le, avait créé le buzz lors de la conférence Black Hat en montrant qu’il était possible de vider des distributeurs automatiques de billets sans débiter aucun compte client.

Pacemaker-hacking

S’intéressant à la vulnérabilité des systèmes électroniques dans le domaine médical, il montre en 2011 qu’il est possible de pirater une pompe à insuline située à 100 mètres de distance et d’injecter une dose mortelle à un patient. Il réitère son exploit en 2012 lors du congrès Breakpoint où il montre dans une vidéo qu’il est possible de pirater un pacemaker à distance, selon le magazine australien SC. Installé à une dizaine de mètres du dispositif médical et muni uniquement d’un ordinateur portable, Barnaby Jack a réussi à envoyer à l’appareil plusieurs décharges de 830 volts, pouvant provoquer, s’il avait été porté par un être humain, une crise cardiaque. Selon le hacker, « sometimes you have to demonstrate the darker side ».

Et maintenant, au tour des pompes à morphine

Le 31 Juillet dernier, la FDA mettait en garde contre le risque de prise de contrôle à distance des pompes à morphine de type PCA (pompes permettant au patient de contrôler lui-même sa douleur par auto-administration d’analgésique) de type Symbiq Infusion System produites par la marque Hospira. Généralement utilisées aux Etats-Unis dans le cadre de soins de suite ou d’hospitalisations à domicile, ces pompes sont reliées avec ou sans fil au système d’information de l’hôpital. Objectif : permettre aux médecins d’adapter les protocoles de soins.

pompe à morphine

Ce n’est pas la première fois que les pompes produites par Hospira font l’objet de cyber attaques. Déja, en Mai 2014, un cyberspécialiste, Billy Rios, avait démontré, via son blog, la vulnérabilité du modèle Lifecare PCA3 de la compagnie. Aujourd’hui, il démontre que d’autres modèles, dont le Lifecare PCA5 et le Symbiq, peuvent faire l’objet d’un piratage.

Il explique ainsi avoir pu, en raison de multiples défaillances, se connecter à distance au réseau de l’hôpital et modifier les paramètres des pompes sans disposer des codes spécifiques à chaque machine.

En démontrant cette vulnérabilité pour la pompe Symbiq, il prouve qu’il existe bel et bien un risque de piratage pouvant conduire à des surdoses ou des sous-dosages de morphine si un individu bien équipé se connecte au système.

Hospira a annoncé avoir cessé la production des pompes incriminées et la FDA incite les établissements de santé à ne plus utiliser ces dispositifs.

En France, les marques de pompes les plus utilisées sont Vygon, Baxter, Gemstar, CADD Legacy et Rythmic Plus. Bien que ces pompes ne doivent être manipulées que par le personnel soignant (médecin ou infirmière) et qu’il existe un code propre à chaque fournisseur permettant de déverrouiller la pompe, un rapport de l’OMEDIT de Juin 2014 informe que des codes et modes d’emploi ont été diffusés via le web. Des risques de mésusage par le patient lui-même ont déjà été signalés. Alors qu’en serait-il si un individu peu scrupuleux et équipé avait accès à ces informations ?

Ces diverses cyber-attaques confirment que la cybersécurité des dispositifs médicaux constitue un autre enjeu majeur de la e-santé.

Category:
  News e-santé
this post was shared 0 times
 000