465 000 pacemakers sont concernés par des vulnérabilités dans leur firmware, prévient l’administration américaine. En janvier, c’est le transmetteur faisant le lien entre le pacemaker et le médecin qui révélait des failles.
La santé connectée doit simplifier la circulation d’informations entre soignant et soigné. Et éventuellement mettre la vie de ce dernier en danger. Mardi, la Food and Drug Administration (FDA) américaine a révélé que 465 000 pacemakers de la société Abbot (anciennement St Jude Medical) étaient affligés de failles de sécurité. En cause : le firmware de ces appareils permettant de réguler le rythme cardiaque d’un patient. Six modèles de pacemakers sont concernés.
Les vulnérabilités pouvaient potentiellement être exploitées par des tiers afin d’accéder au pacemaker et d’en modifier la programmation, en résultant « l'épuisement prématuré de la batterie ou l'administration d'une stimulation [cardiaque] inappropriée » pouvant causer du tort (potentiellement fatal) au porteur. La FDA précise néanmoins ne connaître aucun accès illicite auxdits pacemakers.
Des failles partout
Depuis, Abbot a mis au point un patch correctif du firmware de sorte que seuls des appareils autorisés puissent avoir accès aux pacemakers. Par exemple, le Merlin@home, transmetteur conçu par cette même entreprise, disposera de cette autorisation. Cet appareil installé au domicile du patient envoie à son médecin diverses données sur l’état de santé de la personne et le fonctionnement de son pacemaker.
Sauf que le Merlin@home n’est pas exempt de défauts, là encore en termes de sécurité. En janvier, la FDA signalait avoir détecté plusieurs vulnérabilités dans le firmware du transmetteur. Failles qui permettaient d’accéder à distance, par le biais du Merlin@home visé, au pacemaker surveillé et d’en modifier la programmation. Le problème a évidemment été corrigé, mais c’est à se demander si la FDA ne va pas dénicher d’autres brèches dans la sécurité d’autres appareils de ce même constructeur.