La vingtaine de modèles de défibrillateurs cardiaques concernés sont tous fabriqués par Medtronic, qui occupe le premier rang mondial dans ce domaine.

Des défibrillateurs cardiaques seraient vulnérables aux pirates informatiques

MONTRÉAL — Des utilisateurs malintentionnés pourraient exploiter des failles dans la sécurité de certains défibrillateurs cardiaques pour interférer avec le bon fonctionnement de ces appareils.

L'alerte a été lancée il y a quelques jours par le département de la Sécurité intérieure des États-Unis. La vingtaine de modèles concernés sont tous fabriqués par Medtronic, qui occupe le premier rang mondial dans ce domaine.

Un document distribué par Medtronic aux professionnels de la cybersécurité explique que deux vulnérabilités ont été identifiées concernant le protocole de télémétrie Conexus de la compagnie.

Medtronic reconnaît que «le protocole de télémétrie Conexus n'utilise pas de chiffrement ou d'autre système similaire de protection des données». Ainsi, poursuit la compagnie, un utilisateur malintentionné qui se trouverait à six mètres ou moins des appareils concernés serait en mesure de «perturber le fonctionnement des produits ou accéder aux données sensibles transmises».

La compagnie prévient toutefois que «l'exploitation complète de ces vulnérabilités nécessite une connaissance complète et spécialisée des appareils médicaux, de la télémesure sans fil et de l'électrophysiologie. Ces vulnérabilités ne sont pas accessibles depuis Internet».

Le protocole Conexus est normalement utilisé pour transmettre des informations aux professionnels de la santé ou programmer les paramètres des dispositifs implantés.

Les appareils concernés sont les défibrillateurs implantables qui peuvent donner un choc pour réanimer un patient qui subit une arythmie cardiaque grave ou une mort subite. Certains de ces appareils sont aussi dotés d'une fonction de resynchronisation qui permet de donner plus de force à des coeurs défaillants.

Le cardiologue Peter Guerra, chef de médecine à l'Institut de cardiologie de Montréal, a assuré toutefois dans un courriel que «le risque demeure plutôt théorique». La Société canadienne de rythmologie a alerté la communauté canadienne mercredi matin, dit-il, mais «ils ne suggèrent aucun changement dans la conduite ou le suivi habituel de nos patients».

Medtronic et la Food and Drug Administration des États-Unis recommandent eux aussi aux médecins et aux patients de continuer à utiliser les appareils, puisque les avantages seraient nettement plus importants que les risques.

Medtronic dit ne disposer d'aucune preuve que ces vulnérabilités ont déjà été exploitées.

***

LISTE DES MODÈLES CONCERNÉS

  • MyCareLink Monitor, versions 24950 et 24952
  • CareLink Monitor, version 2490C
  • CareLink 2090 Programmer
  • Amplia CRT-D (tous les modèles)
  • Claria CRT-D (tous les modèles)
  • Compia CRT-D (tous les modèles)
  • Concerto CRT-D (tous les modèles)
  • Concerto II CRT-D (tous les modèles)
  • Consulta CRT-D (tous les modèles)
  • Evera ICD (tous les modèles)
  • Maximo II CRT-D and ICD (tous les modèles)
  • Mirro ICD (tous les modèles)
  • Nayamed ND ICD (tous les modèles)
  • Primo ICD (tous les modèles)
  • Protecta ICD and CRT-D (tous les modèles)
  • Secura ICD (tous les modèles)
  • Virtuoso ICD (tous les modèles)
  • Virtuoso II ICD (tous les modèles)
  • Visia AF ICD (tous les modèles)
  • Viva CRT-D (tous les modèles)