« Les implants médicaux, futures cibles pour les pirates »

Commentaire. Vous avez dit tous connectés, et donc tous piratables, ce qui est l’autre facette, plus gênante. Pour la vie privée, mais aussi pour la vie. Des pirates réussissent à prendre le contrôle d’éléments médicaux comme votre pompe à insuline interne connectée. Ca veut dire en clair qu’un pirate pourra prendre le contrôle et vous «suicider» en libérant passivement de l’insuline, ce qui peut être mortel et cela, d’un coup de clavier. 

Alors à tous ceux qui rêvent d’un monde connecté, les espions n’auront même plus besoin de faire le coup du parapluie.

 

L’ARTICLE :

Les Echos note en effet : « Très mauvaise nouvelle pour les millions de porteurs à travers le monde d’un stimulateur cardiaque, d’une pompe à insuline, d’électrodes pour la stimulation cérébrale profonde […] : ces implants sont facilement piratables. Avec des conséquences potentiellement dramatiques ».

Anne Canteaut, directrice de recherche à Inria, responsable scientifique de l’équipe Secret (pour sécurité, cryptologie et transmissions), explique que « depuis quelques années, la plupart des implants médicaux peuvent communiquer sans fil avec l’extérieur. Cela permet au médecin de régler l’appareil et de contrôler l’état de santé du patient ».

Le journal relève que « ces passerelles de communication constituent autant de faiblesses. Le 27 septembre dernier, la firme Johnson & Johnson a confirmé la faille découverte par Jay Radcliffe, diabétique et expert en cybersécurité américain : via sa télécommande wi-fi, la c Animas OneTouch Ping, disponible aux Etats-Unis et au Canada, peut être piratée et la dose d’insuline injectée modifiée ».

Les Echos ajoute qu’« en juin 2015, trois chercheurs madrilènes avaient publié une étude très détaillée sur la sécurité des implants médicaux. Les résultats font froid dans le dos ». Carmen Camara, du département informatique de l’université Charles III de Madrid, coauteur de l’étude, soulignait que « la plupart de ces appareils ne comportent aucune protection et, s’ils en ont, elles sont obsolètes ».

Délia Rahal-Löfskog, chef du service de la santé à la Commission nationale de l’informatique et des Libertés, remarque que « la CNIL a publié dès 2014 une étude prospective sur les objets connectés : nous avions imaginé un certain nombre de scénarios, mais nous ne pensions pas qu’ils se réaliseraient aussi vite ».

Le journal indique en effet que « les hôpitaux et les industriels travaillent sur des implants reliés, via des BAN (« Body Area Networks », réseaux de capteurs corporels), à des capteurs leur permettant de s’adapter en permanence à l’état du patient… ».

Erik Boucher de Crèvecoeur, ingénieur au service de l’expertise de la CNIL, souligne que « pour les connexions de proximité – on parle aussi de “sessions en face à face” – qui servent généralement aux médecins à reprogrammer les appareils, il faut mettre en place un système d’authentification pour se protéger d’un piratage. Pour les connexions wi-fi qui permettent de faire remonter les informations sur le fonctionnement de l’appareil et l’état du patient, il faut assurer la confidentialité de ces données en les chiffrant ».

Laurie Pycroft ajoute que « confrontés au comportement soudainement étrange d’un patient porteur d’un implant, les médecins devraient immédiatement envisager l’hypothèse d’un piratage ».

Les Echos évoque la « solution la plus efficace : crypter les échanges d’informations. C’est là où, pour les implants, les choses se compliquent ».

Shiho Moriai, de l’Institut national de l’information et de la technologie des communications du Japon, qui « planche sur une technologie de pointe : la cryptographie à bas coût énergétique («lightweight cryptography») », souligne en effet que « ces petits appareils ne disposent pas d’assez de batterie, de mémoire et de puissance de calcul pour supporter les protocoles de cryptographie classiques ».

Anne Canteaut indique cependant que « nous en sommes encore au stade de la recherche dans ce domaine-là ».

Les Echos conclut qu’« une des pistes étudiées est de faire effectuer les calculs liés à la cryptographie non pas par l’implant médical, mais par l’ordinateur externe qui veut communiquer avec lui. Un premier standard opérationnel n’est pas attendu avant plusieurs années… ».

Date de publication : 29 Novembre 2016

http://www.mediscoop.net/index.php?pageID=f38f378092af04aa287e801cc698fb06&id_newsletter=9018&liste=0&site_origine=revue_mediscoop&nuid=medi_2_31928&midn=9018&from=newsletter

 

Article paru dans la Lettre Médecine du Sens n° 142