Publicité en cours de chargement...
Allo Docteur, je voudrais mettre à jour mon pacemaker
En effet la FDA (investie du même rôle que notre ANSM en France en ce qui concerne la sécurité des médicaments et des produits de santé) associée au constructeur Abbott (anciennement St Jude Medical) recommande dans un récent communiqué aux patients équipés d’un pacemaker, de bien vouloir se rapprocher de leur médecin afin de vérifier si leur stimulateur cardiaque est concerné et s’il est nécessaire d’appliquer la mise à jour de sécurité.
En effet, selon la FDA, 465 000 de ces dispositifs médicaux implantés dans la cage thoracique de patients américains seraient atteints de plusieurs vulnérabilités révélées dans une étude réalisée par la société Muddy Waters en août 2016.
Le fabricant avait corrigé ces vulnérabilités en janvier, mais il aura fallu attendre le 23 août pour que la FDA valide le nouveau firmware.
L’installation de ce nouveau firmware ne prendrait pas plus de trois minutes et pourrait se faire à l’aide d’un dispositif de communication sans fil, donc sans avoir à opérer le patient, même si certains problèmes ont une infime probabilité de se produire, comme un « plantage » de la mise à jour et un retour à la version précédente du micro logiciel, une perte des données de diagnostic, une perte des paramètres de l’appareil, ce qui pourrait avoir un impact sur l’état de santé du patient, tout comme son incapacité totale à fonctionner.
Il sera plus difficile de « rebooter » ou « re flasher » le patient en cas de problème…
L’ICS CERT aux Etats-Unis a lui aussi émis un avis sur le sujet exposant les vulnérabilités, leurs numéros de CVE, ainsi que les scores CVSS associés.
Alors, même si aucune attaque n’a été constatée pour le moment, voici les risques que présentent ces stimulateurs cardiaques :
- Le système d’authentification et d’horodatage peut être compromis ou contourné, de ce fait, un attaquant proche pourrait exécuter des commandes sur l’appareil.
- La commande de « réveil » pour la communication sans fil n’est pas limitée, il serait donc possible pour un attaquant proche de vider rapidement la batterie de l’appareil en exécutant consécutivement un grand nombre de commandes.
- Deux modèles stockent et transmettent des informations sans mécanisme de chiffrement et pourraient donc potentiellement laisser « fuiter » des informations médicales.
Même si l’exploitation de ces vulnérabilités n’est pas à la portée de tout le monde, les détails techniques de l’exploitation de ces vulnérabilités ne seront pas diffusés publiquement.
Si certains avait l’espoir qu’un exploit pour le framework Metasploit serait un jour disponible, ils peuvent oublier.
Avez-vous apprécié ce contenu ?
A lire également.

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)
29 juil. 2025 - 11:09,
Actualité
-Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Dernier billet philosohico-cyber avant la plage
21 juil. 2025 - 10:00,
Tribune
-À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...