sécurité des pacemakers : don’t panic

Il y a un peu plus d’un an suite à la conférence Breakpoint 2012 la machine à Buzz s’est enflammée : il serait possible de déclencher des crises cardiaques en prenant le contrôle d’un stimulateur cardiaque à distance. C’est peu dire que la conférence de Barnaby Jack a fait du bruit. Toute la presse s’en est fait écho. Essayons de démêler le prouvé du fantasmé qui depuis 18 mois fait couler beaucoup d’encre et pas uniquement sur Internet.

Avant de commencer je consacre cet article uniquement aux IECD, c’est-à-dire aux Implantable Electrical Cardiac Devices comme les stimulateurs cardiaques (ou pacemakers) et les défibrillateurs automatiques implantables.

info ou intox ?

Ayant parmi mes proches un professeur de cardiologie spécialiste des stimulateurs je lui ai parlé de la communication de B. Jack. Sa réponse a été «la prise de main à courte distance des stimulateurs ou défibrillateurs est tout à fait possible! ». Tous les stimulateurs cardiaques et défibrillateurs implantés depuis 2006 ont la possibilité de communiquer sans fil avec des appareils de mesure et ou de programmation.

Il est par ailleurs possible de surveiller ces appareils à distance (home monitoring) via Internet ou le réseau téléphonique. La télésurveillance ne permet que de renseigner la personne autorisée (le médecin) sur les caractéristiques techniques du système (appareil et sondes qui le relient au cœur) et les troubles du rythme cardiaque détectés et mémorisés par l’appareil. Elle ne permet pas d’ajuster à distance les réglages de l’appareil en fonction de l’évolution de la pathologie. Il ne s’agit donc actuellement que d’un système de suivi et d’alerte.

Les questions de sécurité des implants médicaux ont été posées dès 2008 par des chercheurs universitaires montrant qu’il est possible tout à la fois de fabriquer un outil pour :

  1. prendre en main à distance un IECD
  2. récupérer des données
  3. modifier les paramètres (arrêter les fonctions de défibrillation !)
  4. voire affecter la physiologie du patient

En clair il est théoriquement possible d’interrompre la stimulation électrique, d’envoyer des chocs électriques non légitimes à un cœur appareillé ou modifier le débit d’une pompe à insuline pour déclencher un accident hyper ou hypo glycémique.

Mais tout cela demande des connaissances médicales en plus de solides compétences techniques dans de nombreux domaines : transmission, programmation etc.

la communication : le cœur du débat

Dans sa communication (qui n’est pas disponible sur Internet sans doute pour des raisons de confidentialité) B. Jack affirme avoir réalisé une attaque à une distance entre 30 et 50 pieds (10 à 18 m). Or comme on ne peut pas changer la pile d’un IECD toutes les semaines,  la portée pratique en émission des stimulateurs cardiaques n’est que de quelques centimètres pour ménager la pile qui les alimente. Qu’en est-il en réception ?

En réception il est généralement possible de programmer un IECD jusqu’à 5 mètres. Cela permet d’opérer dans une pièce et programmer dans une autre car rendre un ordinateur stérile pour son utilisation en salle d’opération relève de l’exploit! Dans son article de 2008 D. Halperin cite le modèle sur lequel il a travaillé (un des leaders du marché) et détaille les conditions du test. Par contre nous n’avons aucun détail sur l’appareillage utilisé par B. Jack en 2012 et comment il s’est procuré les données techniques qui ont permis l’attaque. Quel est le type d’appareil et d’antenne qui ont été utilisés ? Mystère… et sans doute nous ne le saurons jamais… En effet B.Jack est décédé dans des circonstances mystérieuses à quelques jours de la BlackHat 2013. Les « complotistes » s’en donnent depuis à cœur joie sur le web.

Donc sans remettre en cause le principe établi par ailleurs, il est impossible de dire si cette attaque fonctionne sur un seul équipement ou plusieurs, un modèle récent ou obsolète etc.

quelles mesures pour empêcher cela ?

Il n’y a pas de réponse évidente pour les IECDs mais j’en donne ci-dessous quelques exemples non limitatifs. Globalement un bon système de sécurité doit :

  • interdire l’accès à toute personne non autorisée
  • permettre l’accès au médecin traitant dans des conditions normales
  • ne pas bloquer l’accès en cas d’urgence à des médecins ne connaissant pas le patient

Un système d’autorisation comme le mot de passe pour accéder à l’appareil  serait le plus simple. Mais que faire en cas d’urgence si le patient ne peut communiquer le sésame ? Faut-il porter une carte, d’un bracelet avec son mot de passe ? Cela implique des risques de perte, d’oubli ou de destruction. Des tatouages visibles uniquement aux ultraviolets ont même été testés. Mais tout cela doit être accepté par le patient !

Un système de type secret partagé poserait comme toujours le problème de l’échange et du stockage des clefs. Une solution serait d’échanger une clef d’accès unique générée à la demande par l’appareil médical et uniquement perceptible au contact du patient par un micro réglé sur certaines fréquences. Certains pensent aux battements du cœur !

Autre solution : un système de « bouclier » qui inhiberait les fonctions de communication de l’IECD quand il est porté par le patient (encore sous forme de bracelet !) et qui autoriserait l’accès une fois enlevé. Mais se pose alors le problème de l’autonomie et de la robustesse du bouclier en lui-même.

Toutes ses solutions pour sécuriser l’accès à un IECD sont intéressantes avec du pour et du contre dans tous les cas. Le PAF (Patient Acceptance Factor) n’étant pas le moindre des paramètres ! Il n’y a donc malheureusement pas encore de consensus sur le sujet de la sécurité des IECDs à ma connaissance. La bonne nouvelle est que tous : médecins, informaticiens, constructeurs et autorités travaillent sur le sujet. Le site Secure Medicine présente de nombreuses recherches universitaires sur ce sujet.

conclusion

Déclencher des troubles du rythme cardiaque ou modifier le réglage d’une pompe à insuline à distance a été démontré mais le risque pour un patient est très très faible. Cela demande des moyens et des connaissances considérables dans des domaines variés et les « chances de succès » me paraissent extrêmement aléatoires.  

Seuls des services secrets pourraient avoir ces moyens là et nul doute qu’ils possèdent des moyens moins aléatoires pour se débarrasser d’une cible : du théorique parapluie bulgare aux caleçons empoisonnés, la liste des moyens qui ont fait leurs preuves est longue. Ou pas ! Pour l’instant une seule victime a été recensée : le défibrillateur implantable de Dick Cheney dont les capacités de communication ont été désactivées à sa demande !

Philippe

Crédit photo : © pogonici - Fotolia.com

Philippe Macia

Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.