Medtronic rappelle les pompes à insuline potentiellement hackable

 PUBLIC VISE : TECHNOLOGIE APPAREIL SANTE

Le fabricant de dispositifs médicaux Medtronic plc a pris la décision inhabituelle de rappeler plusieurs de ses produits à base de pompe à insuline en raison de graves problèmes de piratage informatique qui ont été détaillés dans deux alertes de sécurité envoyées par la Food and Drug Administration (FDA) et ICS-CERT .

La cause principale de cette alerte est une vulnérabilité de contrôle d'accès inappropriée qui, selon la FDA, ne permet pas à Medtronic de réparer correctement un correctif logiciel. En substance, le protocole de communication RF sans fil utilisé par les pompes pour communiquer avec les périphériques associés ne parvient pas à authentifier ou autoriser correctement les utilisateurs. Ces dispositifs comprennent les télécommandes, les glucomètres, les émetteurs de capteurs de glucose et les dispositifs CareLink USB pour stocker les données de glycémie.

Des acteurs malveillants pourraient exploiter cette faille pour intercepter et interférer avec les communications sans fil, leur permettant ainsi de se connecter aux appareils, de lire des données sensibles, de modifier les paramètres de la pompe et de contrôler l'administration d'insuline lors de la connexion à un patient. Une telle attaque pourrait entraîner des conditions potentiellement mortelles chez les victimes, telles que l'hypoglycémie, l'hyperglycémie ou l'acidocétose diabétique.

Environ 4 000 patients utilisent les pompes concernées, appelées pompes à insuline des séries MiniMed508 et MiniMed Paradigm. Les pompes Paradigm comprennent les modèles suivants: 511, 512/712, 712E, 515/715, 522/722, 522K / 722K, 523/723 (versions logicielles 2.4A ou inférieures), 523K / 723K (versions logicielles 2.4A ou inférieures). ), Veo 554/754 (versions logicielles 2.6A ou inférieures) et Veo 554CM / 754CM (versions logicielles 2.7A ou inférieures).

Ce sont des chercheurs de Medtronic qui ont découvert le problème et l'ont signalé au Centre national d'intégration de la cybersécurité et des communications du département de la Sécurité intérieure (qui héberge ICS-CERT). La société, dont le siège est à Dublin, en Irlande, mais qui est basé à Minneapolis, a également envoyé une lettre de notification aux patients potentiellement affectés, leur recommandant de passer à un modèle de pompe plus récent offrant des protections plus robustes contre la cybersécurité. 

«À ce jour, nous n'avons reçu aucune information confirmée faisant état de modifications non autorisées de paramètres ou du contrôle de l'administration d'insuline par des personnes non autorisées»<

indique la lettre publiée sur le site Web de Medtronic.

Medtronic, le NCCIC et la FDA ont également suggéré une série de mesures d’atténuation que les utilisateurs pourraient appliquer aux pompes vulnérables jusqu’à ce qu’ils puissent les remplacer. Ces étapes incluent la restriction de l'accès et du contrôle des pompes et des dispositifs connectés au personnel autorisé; suivre une approche de moindre privilège; en faisant attention de ne pas partager les numéros de série de la pompe; être attentif aux notifications, alarmes et alertes; en annulant immédiatement toute dose d’insuline unique élevée non souhaitée (appelée bolus); éviter l'utilisation d'appareils tiers et de logiciels non-Medtronic; déconnecter les périphériques USB CareLink lorsqu'ils ne sont pas utilisés; surveiller de près les taux de glucose; et à la recherche de tout symptôme médical dangereux apparaissant pendant l'utilisation des pompes.

«La FDA exhorte les fabricants du monde entier à rester vigilants à propos de leurs produits médicaux - à surveiller et évaluer les risques de vulnérabilité liés à la cybersécurité, et à être proactifs en matière de divulgation des vulnérabilités et des solutions pour y remédier»

a déclaré 
Suzanne Schwartz, directrice adjointe du Bureau des partenariats stratégiques et de la technologie. Directeur de la Division de l'innovation et des relations stratégiques, de la science et des partenariats stratégiques par intérim au sein du Center for Devices and Radiological Health de la FDA.

«Tout dispositif médical connecté à un réseau de communication, tel que le Wi-Fi, ou l’Internet public ou à domicile, peut présenter des vulnérabilités en matière de cybersécurité pouvant être exploitées par des utilisateurs non autorisés», a poursuivi Schwartz dans un communiqué de presse officiel de la FDA. "Cependant, il est également important de garder à l'esprit que l'utilisation accrue de la technologie et des logiciels sans fil dans les dispositifs médicaux peut également offrir une prestation de soins de santé plus sûre, plus pratique et plus rapide."

Désignée comme CVE-2019-10964, la vulnérabilité a reçu un score de base de CVSS v3 de 7.1. Selon l'alerte ICS-CERT, Medtronic a déclaré que ses recherches ayant conduit à la découverte de CVE-2019-10964 étaient basées sur des travaux antérieurs réalisés par des chercheurs externes, Nathanael Paul, Jay Radcliffe, Barnaby Jack, Billy Rios, Jonathan Butts et Jesse Young.

Source :scmagazine

---***---