Publié le 15 oct 2018Lecture 7 min
Faut-il avoir peur du hacking des prothèses rythmiques ?
Arnaud ROSIER, Massy
Si gérer les risques et les craintes de nos patients est habituel, les nouvelles technologies génèrent de nouvelles peurs. La question du piratage des prothèses rythmiques, au sens d’action délibérément nuisible par un individu ou un groupe, est ainsi récurrente depuis 2 ans. Les risques qui pèsent sur nos patients ne se résument pas à celui-ci mais il est néanmoins difficile de balayer d’un revers de main la question de la cybersécurité des prothèses rythmiques implantées.
En effet, nos prothèses étant désormais majoritairement dotées de capacités de communication sans fil, elles sont de fait accessibles à une intrusion externe, avec risque d’atteinte à la disponibilité, l’intégrité, ou la confidentialité des données du dispositif. Nous concentrerons ici la discussion sur le risque d’intégrité avec péril pour le patient.
Un scénario de série policière…
À ma connaissance, et il convient de le souligner, aucun cas réel de piratage de prothèse rythmique n’est survenu chez un patient, et aucun dommage n’a été causé. En revanche, les tentatives de chercheurs ou hackeurs qui y voient un défi sont nombreuses, et les succès parsèment les séries TV, les articles à sensation – voire scientifiques – depuis une bonne dizaine d’années.
En 2007, Dick Cheney, alors vice-président de Georges Bush, craignant de subir une attaque aurait demandé à désactiver la télémétrie de son défibrillateur (à supposer que cela ait pu se faire). Nul doute que cette fois c’est la réalité du scénario qui a inspiré Hollywood lorsque dans la saison 2 de la série TV Homeland, on assiste un peu incrédule au hacking en direct d’une prothèse cardiaque, les pirates utilisant le numéro de série du transmetteur CareLink™ pour attaquer le « vice-président américain » et l’assassiner à distance. Bien évidemment, la méthode n’est pas vraisemblable.
Néanmoins, en 2008, un article scientifique témoigne de la possibilité de piratage du défibrillateur de Medtronic Maximo moyennant un équipement développé (oscilloscope, antenne, etc.) et à condition de se trouver à proximité de lui pendant plusieurs minutes (figure 1).
À cette époque la protection des dispositifs implantables ne prévoyait pas vraiment le scénario d’une attaque, le programmateur n’étant initialement pas conçu pour transmettre toutes les commandes par une liaison sans fil. En revanche, générées par un équipement dédié développé pour l’occasion, l’implant acceptait les commandes à risque telle l’induction d’arythmies ventriculaires, normalement accessible uniquement par télémétrie classique.
Figure 1. Matériel utilisé pour « hacker » le défibrillateur Medtronic Maximo en 2008.
Evidence based hacking
Quelle réalité pour ces failles ? Sans entrer dans des détails techniques inutiles, la vulnérabilité des prothèses est liée à leur faculté d’échanger des informations à distance. Ces capacités de communication créent le risque d’intrusion. Plus spécifiquement, la plupart des failles publiées sont liées à la télémétrie RF, initialement utilisée lors des procédures opératoires, mais étendue depuis à l’interrogation sans fil en consultation par le programmateur (ce que peu de médecins regrettent).
Comme chacun sait, il n’existe pas de code d’accès pour utiliser un programmateur ; de plus, ceux-ci utilisent des versions très anciennes de systèmes d’exploitation (souvent Windows XP), non maintenues désormais. Ainsi, n’importe quel propriétaire d’un programmateur pourrait en théorie adopter un comportement malveillant (facile à dire, le pourquoi reste un mystère).
La principale sécurité lors d’une communication sans fil avec un programmateur réside en l’initialisation de l’échange par une proximité directe de la classique antenne de télémétrie, ce qui rend difficile la reprogrammation de la prothèse d’un patient à son insu.
Côté télésurveillance, s’il est pour le moment impossible de reprogrammer à distance les prothèses, il y a fort à parier que cela évoluera (figure 2). De même, les transmetteurs peuvent être victimes de mises à jour extérieures théoriquement capables d’altérer leur fonctionnement, ce qui a été à l’origine d’une alerte récente. Début août 2018, la société Medtronic a ainsi confirmé qu’il existait une possibilité théorique de modifier le logiciel du transmetteur MyCareLink™ ; à nouveau, cette modification nécessite des ressources et compétences techniques importantes, ainsi qu’un accès physique au transmetteur (non sans rappeler une certaine série TV…). Le risque étant extrêmement faible, aucune intervention spécifique n’est à prévoir, la mise à jour étant réalisée par le fabricant pour augmenter le niveau de sécurité entre les transmetteurs et le réseau CareLink™.
Figure 2. Principales interactions sans fil.
Quels enjeux pour notre pratique clinique
À l’évidence, on ne parle pas ici d’un risque d’accident mais de malveillance, risque qui concerne la presque intégralité de la pratique médicale. Seul un scénario macabre de terrorisme ou d’attaque ciblée pourrait expliquer une telle débauche de moyens pour atteindre une personne porteuse de prothèse rythmique (et sans doute qu’il existe des moyens plus simples pour atteindre cet objectif).
Toutefois, la présence d’une faille signalée impose de réagir pour la corriger, ce malgré un risque très faible car fort heureusement personne n’a vraiment d’intérêt à chercher à le faire… L’annonce faite en 2017 (stimulateurs RF Abbott) puis en 2018 (transmetteurs MyCareLink™) par certains groupes de pirates de failles potentielles au sein des prothèses, programmateurs ou transmetteurs de télésurveillance a généré quantité d’articles parfois alarmistes pour nos patients, qui se tournent ensuite vers nous.
Au quotidien, pour nous rythmologues, la découverte de ces failles a généralement pour conséquence la mise en place d’un « patch », c’est-à-dire d’une mise à jour corrective du logiciel de l’implant (ou bien du programmateur ou du transmetteur). Étant en charge du patient, l’application de ces mises à jour nous incombe, avec un impact désagréable dans la pratique.
Impact des évolutions technologiques
Côté télésurveillance, les technologies évoluent. En Amérique du Nord, les transmetteurs sont déjà remplacés par une application sur le téléphone du patient transportant les données depuis n’importe quel smartphone. Ainsi, la norme Bluetooth 4.0 est en passe de devenir le standard de transmission pour les prothèses rythmiques de nouvelle génération. Ce qui paraît un progrès évident par la simplification pose néanmoins question car le Bluetooth est connu pour ses failles de cybersécurité, fréquemment révélées (à nouveau il y a quelques mois).
On pourrait donc questionner l’attitude des fabricants, avec l’impression d’avoir un coup de retard à chaque nouvelle faille révélée. C’est malgré tout le propre de ces technologies de devoir sans cesse réparer les failles nouvellement découvertes. Lorsqu’il s’agit d’un dispositif médical, les choses se compliquent car toute modification justifie un gros travail de validation rendant chaque modification très coûteuse sur le plan réglementaire.
Parfois, malgré le signalement de mauvaises pratiques, les précautions technologiques préconisées ne sont pas toujours mises en œuvre. Un exemple récent est le cryptage des informations échangées entre le dispositif et le programmateur, qui empêcherait l’analyse du contenu (figure 3). Des hackeurs ont révélé cet été que Medtronic, malgré leurs recommandations, n’avait pas implémenté cette mesure de protection selon eux élémentaire. Gageons que la publicité sur ce problème changera la donne.
Figure 3. Échanges de données entre
Ainsi la tendance 2017-2018 est celle d’annonces médiatiques douloureuses pour les cours en bourse des fabricants (pour des raisons pas toujours justifiées). Cela provoque en retour des investissements très conséquents et il y a toutes les raisons de penser que le retard pris sera prochainement rattrapé.
Que pouvons-nous faire ?
En tant que professionnels de santé, nous devons rassurer nos patients et confrères. Le risque est quasi virtuel et relève beaucoup du fantasme, aussi bien par la difficulté technique de l’acte malveillant que par l’absence d’acteurs. Bien sûr, les conséquences en termes de mises à jour sont réelles, et peuvent impacter la charge de suivi des patients par leur fréquence (mais rarement plusieurs pour un patient donné) mais moins qu’un recall.
Paradoxalement, cette mauvaise presse sur le risque de hacking des prothèses rythmiques est un peu l’arbre qui cache la forêt. À mon sens, le risque est plutôt que la peur technologique ne retarde ses progrès, comme la télésurveillance. Tandis que son bénéfice est démontré sur la morbi-mortalité de nos patients, ce suivi à distance, recommandé depuis 201 5, n’est délivré qu’à une portion des patients éligibles. Tandis que cet article mentionne les risques virtuels du hacking des prothèses, nos patients tireraient profit d’une plus large exposition médiatique des bénéfices des nouvelles technologies sans fil sur leur prise en charge !
Attention, pour des raisons réglementaires ce site est réservé aux professionnels de santé.
pour voir la suite, inscrivez-vous gratuitement.
Si vous êtes déjà inscrit,
connectez vous :
Si vous n'êtes pas encore inscrit au site,
inscrivez-vous gratuitement :