Des risques de piratage sur des pompes à insuline

Les pompes à insuline ne sont pas toutes sûres. Un modèle avec commande sans fil du laboratoire Johnson & Johnson est exposé à un risque de piratage.

AndreyPopov/epictura

Publié le 06.10.2016 à 12h49
Commenter

Le domaine de la santé n’est pas à l’abri des attaques de hackers. Le laboratoire américain Johnson & Johnson en a averti 14 000 clients sur le continent nord-américain. Une faille de sécurité a été mise au jour sur l’un de ses dispositifs médicaux : une pompe à insuline commercialisée depuis 2008. L’entreprise se veut tout de même rassurante. Le risque d’attaque est faible, affirme-t-elle.

762 mètres d’insécurité

Le modèle en cause, J&J Animas OneTouch Ping, est indiqué dans le traitement des patients diabétiques qui doivent s’injecter de l’insuline. Pour faciliter le processus, ces pompes sont installées en permanence. Chaque patient est ainsi équipé d’un boîtier qui injecte cette hormone sur demande, par un cathéter. Le produit proposé par le laboratoire américain est équipé d’une commande sans fil, censée apporter plus de confort.

Plus pratique, certes, mais aussi plus vulnérable. Car les échanges entre la pompe et la commande ne sont ni cryptés, ni brouillés. C’est en avril que cette faille a été signalée au laboratoire. Concrètement, un hacker situé à moins de 762 mètres d’une pompe peut augmenter la dose d’insuline délivrée. Elle est utilisée pour réguler le taux de glucose dans le sang. Une telle action provoquerait donc une hypoglycémie, qui peut s’avérer mortelle pour un patient fragile.

Une directive en cours d’élaboration

A l’heure actuelle, aucune attaque malveillante n’a été remontée par les clients. Le risque que ce type d’incident survienne est très faible. Johnson & Johnson a d’ailleurs adopté un ton rassurant dans le courrier envoyé à ces derniers. « Cela demanderait une expertise technique, un équipement sophistiqué et une proximité avec la pompe, dans la mesure où le système OneTouch Ping n’est pas connecté à Internet ou à un réseau externe », précise le document consulté par Reuters.

Prudent, le laboratoire a tout de même prévu de résoudre le problème. Plusieurs méthodes sont envisagées, y compris la fin de l’utilisation d’un dispositif sans fil et la programmation d’une dose maximale d’insuline délivrable par les pompes. Un travail en lien étroit avec la FDA, l’Agence américaine des produits alimentaires et médicamenteux, est en cours. L’autorité sanitaire prépare une directive officielle à destination des fabricants de dispositifs médicaux. A l’heure où les premiers pancréas artificiels émergent, cette question est on-ne-peut-plus d’actualité. D’autant que ce n’est pas la première alerte à être lancée. En septembre, de possibles bugs sur des pacemakers et des défibrillateurs ont été notifiés. Lors de son mandat de vice-président des Etats-Unis, Dick Cheney avait même désactivé son pacemaker en raison du risque de piratage.