Des chercheurs en sécurité informatique ont forcé la main de Medtronic à prendre au sérieux des risques de la pompe à insuline MiniMed 508 à une attaque pour changer la dose d’insuline nécessaire ou ne pas en donner du tout. Ils ont même rendu public l’application qui peut tuer un diabétique.Medtronic a été lent à avouer la vulnérabilité de ses pompes, mais il a fini par agir.Il a fallu des moyens drastiques pour changer les choses. J’avoue ne pas trop aimer ce genre de procédé qui permet de rester en vie que ce soient les pompes insulines ou autres outils, alors qu’il y a toujours une personne qui pourrait pirater le programme.
Nuage
Une application pour tuer des diabétiques créée… pour mieux les protéger
Deux chercheurs ont voulu démontrer le potentiel meurtrier des vulnérabilités informatiques des pompes à insuline MiniMed 508 de Medtronic.
PHOTO : GETTY IMAGES / MARKHATFIELD
Radio-Canada
Des chercheurs en sécurité informatique ont mis au point une application pouvant se connecter à des pompes à insuline et administrer des doses fatales d’insuline aux personnes diabétiques. Dans une entrevue avec Wired, ces chercheurs disent avoir conçu l’application pour forcer le fabricant à réagir aux vulnérabilités de ses appareils.
Il y a deux ans, les chercheurs de la firme QED Billy Rios et Jonathan Butts faisaient une découverte troublante en étudiant le fonctionnement des pompes à insuline MiniMed 508 de Medtronic. Avec un peu de savoir-faire, une personne mal intentionnée pouvait aisément copier les radiofréquences de la télécommande de ces appareils pour lui envoyer des instructions à distance. Résultat : il était possible d’administrer de multiples doses d’insuline ou encore d’en bloquer l’injection à une personne diabétique.
Rapidement après leur découverte, les deux hommes contactent Medtronic pour la prévenir du danger et tentent de négocier avec l’entreprise pour mettre en place un système de protection ou un plan de remplacement des appareils.
Exaspérés par la résistance de Medtronic, les deux chercheurs rendent leur découverte publique dans l’espoir de faire bouger les choses. Leur présentation au congrès de cybersécurité Black Hat de Las Vegas, en août 2018, attire l’attention des médias du monde entier, et la Food and Drug Administration (FDA), l’équivalent de Santé Canada aux États-Unis, émet un avertissement public (Nouvelle fenêtre) sur son site web.
Mais ni Medtronic ni la FDAFood and Drug Administration n’agissent concrètement pour régler le problème et protéger les diabétiques utilisant une pompe MiniMed 508. Medtronic ne reconnaît d’ailleurs pas publiquement l’existence des vulnérabilités avant la publication sur son site web d’un bulletin de sécurité (Nouvelle fenêtre) en mars 2019.
L’application qui tue
À ce moment-là, Billy Rios et Jonathan Butts sont à bout de patience. Selon eux, un nouveau coup d’éclat est nécessaire pour forcer Medtronic à réagir. Cette fois, au lieu d’expliquer les risques théoriques liés à leur découverte, ils démontrent le véritable potentiel meurtrier des vulnérabilités des MiniMed 508.
Ces pompes à insuline sont généralement contrôlées directement par la personne diabétique, mais elles sont livrées avec une télécommande permettant au personnel médical de l’activer dans un rayon de quelques mètres.
Les communications entre la télécommande et la pompe ne sont toutefois pas chiffrées, ont découvert Billy Rios et Jonathan Butts, avec l’aide des chercheurs Jesse Young et Carl Schuett. Cela fait en sorte qu’il est relativement facile d’imiter le signal de la télécommande et de contourner les défenses rudimentaires en place à l’aide d’une télécommande fabriquée de toute pièce.
Une fois le contact entre la télécommande frauduleuse et la pompe établi, une personne mal intentionnée peut contrôler l’appareil à partir de son téléphone cellulaire.
Rappel volontaire
Le pari des chercheurs a porté fruit. Le 27 juin dernier, la FDAFood and Drug Administration a émis un avis de rappel volontaire (Nouvelle fenêtre) pour les pompes MiniMed 508 et pour 10 autres modèles de MiniMed. Selon Medtronic et la FDAFood and Drug Administration, il n’existe aucun moyen de mettre à jour les pompes à insuline pour les prémunir contre ce genre d’attaque.
Medtronic offre des appareils de remplacement équipés de « capacités de sécurité améliorées ». L’entreprise exhorte par ailleurs les diabétiques à consulter leur médecin pour savoir s’ils et elles devraient changer de pompe.
Avec les informations de Wired et CNBC