Les pompes à insuline Medtronic peuvent être piratées pour surdoser les patients

Les appareils médicaux connectés commencent à poser de véritables dangers aux personnes qui comptent sur elles pour contrôler leur santé. La dernière preuve en date provient du fournisseur de dispositifs médicaux MedTronic, qui rappelle certaines de ses pompes à insuline après avoir découvert qu’elles étaient sujettes au piratage.

Les pompes à insuline connectées sont conçues pour ajuster automatiquement le taux d’insuline du patient toutes les cinq minutes sur la base de lectures périodiques, en aidant à éviter les creux et les pics de rebond. Cependant, certains modèles vendus par Medtronic peuvent être piratés à distance par un attaquant suffisamment motivé. Le piratage peut entraîner soit une diffusion excessive d’insuline à un patient, entraînant une hypoglycémie, soit une interruption de l’administration d’insuline, entraînant une hyperglycémie et une acidocétose diabétique.

Selon l’avis émis par le fournisseur, les réglages ne peuvent être modifiés par une personne non autorisée que si elle connaît le numéro de série de la pompe, si elle se connecte sans fil à proximité et si elle possède les compétences techniques nécessaires et le bon équipement de radiofréquence. Néanmoins, Medtronic rappelle les modèles concernés afin d’éliminer tout risque pour ses utilisateurs. Une liste des modèles concernés est fournie. Elle inclut certaines pompes populaires comme la MiniMed 508 et la MiniMed Paradigm.

La découverte a été faite par des chercheurs externes puis confirmée par la propre équipe d’experts de Medtronic. Medtronic maintient que, à la date de la notification, il n’y avait pas eu de rapports confirmés de personnes non autorisées modifiant les paramètres ou contrôlant l’administration d’insuline en raison de la vulnérabilité en question.

«En raison de ce problème potentiel de cybersécurité, Medtronic recommande aux patients qui utilisent actuellement les produits affectés d’évoquer avec leur fournisseur de soins la possibilité de passer à un nouveau modèle de pompe à insuline offrant une protection accrue contre les cyberattaques, telle que la pompe à insuline MiniMed 670G», selon le communiqué officiel.

Plusieurs autres recommandations sont proposées. Les utilisateurs sont invités à consulter le document et à prendre les mesures appropriées s’ils utilisent l’un des modèles concernés.

Ce n’est pas la première fois que Medtronic fait les gros titres en raison d’un problème de sécurité potentiel lié à ses dispositifs médicaux connectés. Plus tôt dans l’année, la CISA (Cybersecurity and Infrastructure Security Agency) du Département de la Sécurité intérieure des États-Unis a publié une alerte signalant que des chercheurs avaient découvert des vulnérabilités critiques dans des défibrillateurs cardiaques de Medtronic qui, si elles étaient exploitées, pourraient mettre des vies en danger.