Les hackers ciblent les dispositifs médicaux
Même le porte-parole de la société impliquée l’admet, on tient là les ingrédients d’un «magnifique thriller» mélangeant haute technologie et peur de l'assassinat. Fin août 2011, Jay Radcliffe, un expert en sécurité lui-même diabétique, montre qu’il peut manipuler à distance la pompe à insuline dont il est équipé. Aïe, ce n'est pas du tout prévu par le fabricant et c’est pour le moins inquiétant: des personnes mal intentionnées pourraient en effet mettre des malades en danger. Cet exploit est-il significatif? Regards sur l’émergence du hacking médical.
Flashback. Dans sa démonstration Radcliffe fait la preuve qu’il peut ordonner à sa pompe de se vider entièrement. Il recevrait donc jusqu’à trois cents unités d’insuline en un temps très court, une manœuvre pour le moins dangereuse pour le patient. Quelques mois plus tard, un autre expert en sécurité reproduit son exploit mais le généralise. Quand Radcliffe se servait du numéro de série de sa propre pompe pour la «détourner», Barnaby Jack, lui, n’a pas besoin de cette information et peut donc prendre le contrôle de n’importe quel exemplaire du dispositif, et ce jusqu’à une distance de 90 mètres (300 pieds).
Une pompe à insuline fait la taille d’un paquet de cigarettes, explique le docteur Ruiz, diabétologue au Centre hospitalier universitaire vaudois. Elle contient un réservoir à insuline et est connectée au patient par un cathéter. L’appareil fournit de l’insuline de lui-même mais il est aussi actionné par le patient en fonction de ses repas.
Peut-on tuer quelqu’un en lui donnant la dose totale d’insuline contenue dans la pompe? Possible mais très peu probable. «On pourrait déclencher une hypoglycémie mais le patient la sentirait sans doute, mesurerait le taux de glucose dans son sang et prendrait du sucre pour compenser.»
En avril 2012, le géant de la sécurité informatique McAfee qui emploie Barnaby Jack met en scène son exploit à la conférence RSA et la BBC s’en fait l’écho. Si l’information n'est pas nouvelle, l’article rappelle que l’ère du piratage de dispositifs médicaux avait déjà commencé en 2008 quand une équipe américaine a montré qu'elle pouvait manipuler à mauvais escient un défibrillateur implantable, mais à une distance infiniment moindre (quelques dizaines de centimètres).
Des barrières malgré tout
Dans une présentation en 2011, Barnaby Jack affirmait que, pour ce qui était du hacking de l’électronique embarquée (distributeurs de billets, caisses enregistreuses, implants médicaux, etc.), la «chasse était ouverte». Chef du département de hacking éthique chez High-Tech Bridge à Genève, Frédéric Bourla confirme: «Oui, c’est un terrain en friche. Les attaques qui visent du matériel implanté sont de plus en plus fréquentes; ce domaine était demeuré sous-estimé. Les banques ont été les premières à être visées, suivies par les industriels. Il n’y avait pas de raison que le monde médical y échappe. Et les failles sont bel et bien présentes.»
Le détournement de la pompe à insuline et celui du défibrillateur sont de deux types différents. Le défibrillateur doit être reprogrammé à très courte distance, quelques dizaines de centimètres. La pompe à insuline peut, elle, être contrôlée à des dizaines de mètres.
Du côté des médecins, on tient pourtant à rassurer. Oui, le risque existe mais «il est considéré par la communauté médicale comme faible», explique le docteur Haran Burri, médecin adjoint au service de cardiologie des Hôpitaux universitaires de Genève. Il faut une grande expertise pour une telle manœuvre, ajoute-t-il, posant la question du motif de l'attaquant: «Il est probablement plus facile d’assassiner un chef d’Etat étranger avec un sniper», sourit-il. Il poursuit: «Les pirates informatiques cherchent la gloire ou l'argent. Pénétrer sur le site de la NASA, c’est un challenge; infiltrer une banque peut être lucratif; mais là, commander un choc de défibrillateur implanté, ce serait de la pure malveillance.»
Le docteur Burri signale pourtant que, vulnérabilité du matériel ou pas, il existe des barrières mises en place par les fabricants. Ainsi, nombre de pacemakers ou de défibrillateurs implantés aujourd’hui envoient automatiquement des données sur l’état du patient et du dispositif, des données que le médecinpeut analyser par télémédecine en l’absence du porteur. Techniquement, il serait possible de fournir au pacemaker ou au défibrillateur une nouvelle programmation par ce canal; et pourtant les fabricants s’y refusent. Pour une telle opération, le patient et le médecin doivent être face à face. «Oui, cela m’arrangerait, mais pour la sécurité du patient, il est bien que pour l’instant cela ne soit pas possible», assène Haran Burri.
Medtronic n’est pas inquiet
Et le fabricant? Medtronic, puisqu’il s’agit bien de lui dans les deux cas, commence par déplorer l’écho médiatique qu’ont eu tant le piratage du défibrillateur implantable que celui de la pompe à insuline. «Cela nous fait beaucoup de peine, regrette son porte-parole Eric Gasser, car nous recevons des appels de patients et de médecins; cela fait peur à beaucoup de monde alors qu’il n’y a pas de cas réels connus.» Sur ce dernier point, il a parfaitement raison. Les deux exploits sont théoriques et réalisés en laboratoire. Aucun cas réel n'a jamais été signalé. «C’est donner de l'importance à un problème fictif, ajoute-t-il. Oui, on peut ‘bricoler’ les freins d’une voiture, mais cela ne fait pas la une des journaux.»
Le représentant de Medtronic concède cependant que, depuis 2008, le problème est pris «très au sérieux». Et d’expliquer qu’une initiative de sécurisation des dispositifs a été lancée au sein de la société dont les premiers résultats devraient être présentés à l’été 2012.
Pressent-on la direction que prend cet effort de sécurité? «On ne révélera sans doute pas beaucoup de détails précis là-dessus.» L’éternel jeu du chat et de la souris des fabricants et des hackers…
Une période charnière
Une piste pourtant est évoquée: dans de nombreux cas, la communication à distance utilisée pour récolter des données est ouverte en permanence. Pour plus de sécurité, ce canal devrait être fermé la plupart du temps et disponible seulement quand le besoin de transmettre des données est présent. Frédéric Bourla abonde en ce sens: «Normalement, en sécurité informatique, on ouvre un minimum d'accès et on les ouvre de manière ponctuelle.» Il ajoute que, dans le cas de la pompe à insuline, on peut se demander quelle est l’utilité qu’on puisse échanger avec elle jusqu’à une distance de 90 mètres. La solution, logique, serait d’intégrer aux dispositifs des antennes moins puissantes ou de moins alimenter les antennes existantes. Et crypter la communication entre le dispositif et l’appareil de récolte des données et/ou de programmation? Là, l’expert est moins pressant: «Avec une activation ponctuelle, le risque serait déjà limité, mais chiffrer serait effectivement mieux.»
Devant ces dangers, faut-il donc se débarrasser des implants médicaux ? Evidemment non. Le risque existe, tous les acteurs en conviennent mais, à l’heure actuelle, il est strictement théorique. Surtout, il semble que les fabricants de dispositifs médicaux commencent à prendre la mesure du problème et intègrent davantage les questions de sécurité électronique au développement de leurs produits. Du côté de Medtronic, rendez-vous est pris pour mi 2012. A moins que des hackers entreprenants ne viennent à nouveau faire les gros titres.
Le véritable risque se trouve du côté des pacemakers et des défibrillateurs
«S’il y a un risque, je le vois plutôt dans la télémédecine», confie le docteur Burri. En effet, pacemakers et défibrillateurs communiquent aujourd’hui de leur propre chef avec les médecins. Ils recueillent en permanence des données qu’ils transmettent, quand le patient est chez lui à une station (imaginez une sorte de modem) qui, elle-même les envoie sur les serveurs du fabricant du dispositif. A distance, depuis son bureau, le cardiologue peut consulter ces données, après un trouble du rythme cardiaque par exemple, et déterminer si une visite à l’hôpital est nécessaire.
Or, les serveurs des fabricants sont, comme tout serveur connecté à internet, attaquables par des pirates et «il existe un risque que quelqu’un s’y introduise et télécharge les données d’un ou plusieurs patients», s’inquiète le cardiologue. Mais ce risque a plus trait au secret médical qu’à une menace vitale. Quelle utilisation malveillante pourraient faire des pirates de telles données?
Il y a néanmoins une manière simple de se prémunir contre ce risque: «Dans notre service, nous anonymisons toutes ces données. Un hacker aurait beau y accéder sur le serveur du fabricant, il ne saurait pas à qui elles correspondent.»
Pour Jay Radcliffe, la pointe de l'iceberg
Cet expert en sécurité est le premier à avoir pris, aux Etats-Unis, le contrôle d'une pompe à insuline équipée pour la communication sans fil. Employé par une entreprise de sécurité informatique, il est lui-même diabétique.
Benoît Perrier: Quel est votre sentiment sur cette affaire, étant à la fois un patient et un expert en sécurité informatique?
Jay Radcliffe: J'ai des sentiments mitigés. En tant que patient dont la santé dépend de tels dispositifs, ces problèmes de sécurité m'inquiètent,de même que je crains que les fabricants n'en soient pas conscients. Mais je suis reconnaissant que des experts se penchent sur le problème et aident les fabricants à y faire face.
Pirater votre pompe à insuline, est-ce la première chose qui vous est passé par l'esprit quand vous l'avez reçue?
Non. J'ai un diabète de type 1 et j'ai d'abord songé à quel point j'étais reconnaissant de disposer d'une pompe à insuline pour me soigner.
Mais c'était la première fois que vous étiez équipé d'une pompe dotée de communication sans fil?
Oui.
Au départ, Medtronic n'a pas paru réagir à votre piratage. Combien leur a-t-il fallu de temps pour régler le problème?
Ils ne l'ont pas réglé. Ils ont publiquement déclaré qu'ils étaient conscients des problèmes de sécurité de leur pompe. Mais ceux-ci sont complexes et ne peuvent être réglés aussi aisément qu'un problème analogue, disons dans un navigateur internet.
Selon un article d'InformationWeek, il ne vous aurait fallu que dix lignes de code pour pirater la pompe.
En tout, il y a plus de code que ça. Mais la portion de celui-ci qui «décrypte» les transmissions tourne autour des dix lignes.
Quelles mesures générales préconisez-vous pour sécuriser les dispositifs médicaux?
Les fabricants doivent être plus conscients des problèmes de sécurité en général, plus spécifiquement dans le domaine de l'électronique embarquée. Nous n'avons qu'effleuré la question de la sécurité dans ce domaine.