Publicité en cours de chargement...

Publicité en cours de chargement...

Allo Docteur, je voudrais mettre à jour mon pacemaker

31 août 2017 - 12:35,
Tribune - Charles Blanc-Rolin
SécuritéE-santé
« Allo Docteur, je souhaiterais prendre rendez-vous pour passer la dernière mise à jour de sécurité de mon pacemaker. » Non cette phrase n’est pas tirée d’un film de science-fiction, mais c’est bien ce que risque d’entendre prochainement certains médecins américains (ou leurs secrétaires) en décrochant leur téléphone.

En effet la FDA (investie du même rôle que notre ANSM en France en ce qui concerne la sécurité des médicaments et des produits de santé) associée au constructeur Abbott (anciennement St Jude Medical) recommande dans un récent communiqué aux patients équipés d’un pacemaker, de bien vouloir se rapprocher de leur médecin afin de vérifier si leur stimulateur cardiaque est concerné et s’il est nécessaire d’appliquer la mise à jour de sécurité.
En effet, selon la FDA, 465 000 de ces dispositifs médicaux implantés dans la cage thoracique de patients américains seraient atteints de plusieurs vulnérabilités révélées dans une étude réalisée par la société Muddy Waters en août 2016.
Le fabricant avait corrigé ces vulnérabilités en janvier, mais il aura fallu attendre le 23 août pour que la FDA valide le nouveau firmware.

L’installation de ce nouveau firmware ne prendrait pas plus de trois minutes et pourrait se faire à l’aide d’un dispositif de communication sans fil, donc sans avoir à opérer le patient, même si certains problèmes ont une infime probabilité de se produire, comme un « plantage » de la mise à jour et un retour à la version précédente du micro logiciel, une perte des données de diagnostic, une perte des paramètres de l’appareil, ce qui pourrait avoir un impact sur l’état de santé du patient, tout comme son incapacité totale à fonctionner.
Il sera plus difficile de « rebooter » ou « re flasher » le patient en cas de problème…

L’ICS CERT aux Etats-Unis a lui aussi émis un avis sur le sujet exposant les vulnérabilités, leurs numéros de CVE, ainsi que les scores CVSS associés.
Alors, même si aucune attaque n’a été constatée pour le moment, voici les risques que présentent ces stimulateurs cardiaques :

- Le système d’authentification et d’horodatage peut être compromis ou contourné, de ce fait, un attaquant proche pourrait exécuter des commandes sur l’appareil.

- La commande de « réveil » pour la communication sans fil n’est pas limitée, il serait donc possible pour un attaquant proche de vider rapidement la batterie de l’appareil en exécutant consécutivement un grand nombre de commandes.

- Deux modèles stockent et transmettent des informations sans mécanisme de chiffrement et pourraient donc potentiellement laisser « fuiter » des informations médicales.

Même si l’exploitation de ces vulnérabilités n’est pas à la portée de tout le monde, les détails techniques de l’exploitation de ces vulnérabilités ne seront pas diffusés publiquement.
Si certains avait l’espoir qu’un exploit pour le framework Metasploit serait un jour disponible, ils peuvent oublier.

# Firmware# Sécurité des dispositifs médicaux# Pacemaker# Cybersecurite# Vulnérabilités# Fda

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Inauguration du cross care data lab ©

Inauguration du cross care data lab ©

04 août 2025 - 14:15,

Tribune

- Jacques HUBERT & Selim HAOUCHINE, GHT Moselle-Est

Porté par les Hôpitaux de Sarreguemines et le GHT de Moselle-Est, le projet Cross Care Data Lab est une pépinière d’entreprises nouvelle génération, véritable écosystème, entièrement dédiée à l’innovation numérique, à la cybersécurité et à l’intelligence artificielle appliqué à la santé.

Illustration Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)

Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)

22 juil. 2025 - 10:23,

Communiqué

- Biogroup & Agoria Santé

le 21 juillet 2025 – Le consortium AGORiA Santé est autorisé par la CNIL (Commission nationale de l'informatique et des libertés) à enrichir sa plateforme, entrepôt de données de santé système fils SNDS, avec des données d’analyses de biologie médicales issues du réseau BIOGROUP. Créé en 2021, le co...

Illustration Un code de bonnes pratiques pour les modèles d'IA à usage général

Un code de bonnes pratiques pour les modèles d'IA à usage général

15 juil. 2025 - 16:57,

Actualité

-
Marguerite Brac de La Perrière

Entré en vigueur le 1er août 2024, le Règlement sur l'Intelligence Artificielle (AI Act) vise à créer un cadre juridique uniforme pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d'IA dans le respect des valeurs de l’Union. Parmi les systèmes d'IA encadré...

Illustration Le numérique médico-social : mutation systémique et levier d’humanité

Le numérique médico-social : mutation systémique et levier d’humanité

08 juil. 2025 - 01:07,

Actualité

- DSIH

Longtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.

A propos

Nous suivre

Contact

Abonnement

DSIH Magazine

Nos marques

Logo DSIHLogo Thema Radiologie