750 000 défibrillateurs implantables ont une faille, permettant à des pirates informatiques de récupérer les données médicales qu’ils renferment et d’altérer leur fonctionnement. Le CISA (Cybersecurity and Infrastrustructure Security Agency), organisme rattaché au département américain de la Sécurité intérieure, a publié l’information dans une note, le 21 mars.
Des appareils implantés sous la peau
Les défibrillateurs implantables sont installés chez des personnes ayant déjà eu un trouble du rythme ventriculaire grave ou atteintes d’une maladie cardiaque susceptible de le provoquer d’après la Fédération française de cardiologie. Ce sont des boîtiers en titane renfermant une pile, un circuit électronique et des condensateurs. Une fois placé sous la peau, l’appareil est relié à des électrodes disposés dans les cavités cardiaques. L’outil permet de contrôler en permanence le rythme cardiaque et de stimuler, si besoin, le coeur en cas d’activité cardiaque anormale. Certains patients disposent en complément d’un boîtier de télécardiologie, qui récupère les données de l’appareil pour permettre à une équipe médicale de suivre à distance son fonctionnement et les arythmies.
Un risque faible d’après Medtronic
Les appareils mis en cause par le CISA permettent à un pirate informatique de récupérer les données s’il est à proximité du défibrillateur. Il peut également perturber voire modifier la transmission des informations vers l’appareil en charge de les récupérer, ce qui peut être dangereux pour le porteur.
L’entreprise Medtronic a réagi en expliquant que le risque était faible : il faut être très compétent en informatique, connaître le modèle et les paramètres du défibrillateur, et en même temps, être suffisamment proche de l’appareil pour parvenir à dérober les données. La société, en accord avec la Food and Drug Administration, recommande à ses patients de continuer à l’utiliser et assure qu’elle travaille sur des mises à jour pour régler le problème.