Comme dans la plupart des hôpitaux, la main du chirurgien est essentielle. Mais de plus en plus, les opérations délicates ne peuvent se passer des machines. Dès l’anesthésie, l’équipe médicale est épaulée par des appareils ultra-sophistiqués gérés par des serveurs informatiques.
Les pirates informatiques pourraient s’attaquer aux pacemakers. Une entreprise a décelé plus de 8000 failles dans 4 modèles standards de stimulateurs cardiaques. Zoom sur ce nouveau front de la cybersécurité.
Au CHU Robert Debré à Reims (Marne), tout est pratiquement piloté par ordinateur. En outre, le bloc dispose d’un réseau WiFi. C’est plus de sécurité pour le patient, mais une aubaine pour les pirates.
Une rançon exigée après un vol de dossiers médicaux Il y a trois ans aux États-Unis, des hackers ont réussi à voler des dossiers médicaux dans un hôpital californien, exigeant une rançon pour les récupérer.
Plus grave, les autorités ont pris très au sérieux une menace d’autres pirates qui projetaient de dérégler à distance des pompes à morphine. Autre instrument de santé connecté : le pacemaker.
Cet appareil qui envoie et reçoit des informations vitales peut poser problème. Prendre la main sur cet appareil est possible.
En moins d’une nuit, des experts pacifiques ont réussi à modifier les données d’un stimulateur implanté dans un mannequin. Ils ont également fait fondre la batterie. Le but : alerter les fabricants.
Les attaques contre les appareils connectés et les établissements de santé sont presque quotidiennes.
Les fabricants de pacemakers ont de vraies difficultés à garder leurs systèmes à jour
Le premier coupable est le programme lui-même, trop souvent désuet. « Nos statistiques montrent que les fabricants de pacemakers ont de vraies difficultés à garder leurs systèmes à jour« , conclut l’étude.
Une obsolescence logicielle qui a des conséquences concrètes pour les patients. Pour la moitié des stimulateurs cardiaques étudiés, le programme embarquait des données personnelles non cryptées, faciles à pirater.
Noms, numéros de téléphones et informations médicales… c’est ce qu’on appelle être à coeur ouvert. Plus grave, n’importe qui semble pouvoir se connecter aux relevés de l’appareil.
« Ni mot de passe ni identifiant. Quand un médecin [ou un hacker] établit une connexion, il a accès à une toute une variété de fonctions contrôlées par radiofréquence. » Et potentiellement, avoir une influence sur la thérapie.
Peut-il y avoir un chantage à la crise cardiaque ?
Mais la cybersécurité du cœur est un enjeu plus large que la seule protection des données. Un pacemaker envoie des impulsions électriques pour accélérer ou ralentir le rythme cardiaque.
De là, il n’y a pas besoin d’être romancier pour imaginer un scénario de chantage. Mais pour Dario DiFrancesco, professeur de physiologie et de biophysique à l’université de Milan, le risque est minime.
Le chantage à la crise cardiaque ? « Impossible, tranche le Pr DiFrancesco, car le programme sert uniquement à extraire les informations du coeur du patient. » Si le logiciel ne fonctionne pas, il se réinstalle.
« Nous n’avons pas trop de raisons de nous inquiéter pour ça« , conclut-il. Pas encore, selon l’agence américaine du médicament (la FDA), mais ça ne saurait tarder.
L’organisme a publié en janvier 2017 des règles de sécurité pour protéger les appareils médicaux, et notamment les piles cardiaques. Certaines s’adressent aux patients eux-mêmes : rester connecté pour ne rater aucune mise à jour et consulter son médecin au moindre symptôme. Des conseils à noter, car tous les pirates n’ont pas le cœur sur la main.
