Pacemakers connectés : vos données sont-elles protégées ?

Hacking, piratage, vols de données médicales personnelles… De nombreuses recherches, enquêtes ou affaires ont mis en lumière la vulnérabilité des dispositifs médicaux connectés. Au-delà des scénarios catastrophes, la question de la protection des données de santé est clairement posée.

En 2007, Dick Cheney, alors vice-président des Etats-Unis, a demandé à son cardiologue de désactiver la connexion sans fil de son pacemaker par crainte d’une intrusion malveillante. Pour le moment, aucun assassinat connu n’a été perpétré par piratage de pacemaker. Cela reste du domaine de la fiction, comme dans un épisode de la série « Homeland » en 2012, lors duquel le vice-président américain était assassiné par ce moyen. Mais aujourd’hui, il est tout à fait possible, techniquement, de pirater des dispositifs médicaux connectés, comme l’ont prouvé de nombreuses recherches.

Depuis le début de l’année 2017, marqué par deux cyberattaques mondiales ciblées notamment sur les systèmes d’informations d’établissements de santé, la question revient sur le devant de la scène. D’autant qu’au même moment, des failles de sécurité ont été constatées sur des dispositifs médicaux connectés, notamment une pompe à insuline de l’industriel Johnson & Johnson, ainsi que des pacemakers et des défibrillateurs implantés fabriqués par St Jude, entraînant le rappel et la mise à jour de près d’un demi-million d’appareils.

Vulnérabilités de cybersécurité

En janvier 2017, dans un document présentant des recommandations pour la sécurité des dispositifs contre les cyberattaques, la Food and Drug Administration (FDA) américaine a pointé l’évolution « continuelle » de ces risques, et reconnu la « responsabilité partagée » entre tous les acteurs, du fabricant au patient. Déjà en juillet 2015, elle avait alerté sur les risques d’utilisation d’un système d’infusion de médicaments d’Hospira. Une faille de sécurité qui pouvait « permettre à un utilisateur non autorisé de contrôler le dispositif et de changer le dosage délivré par la pompe, pouvant conduire à un surdosage ou à un sous-dosage de traitements critiques pour les patients ».

En mai 2017, l’entreprise de sécurité WhiteScope a annoncé de son côté avoir découvert « plus de 8 600 vulnérabilités dans les systèmes de sept pacemakers de quatre fabricants différents ! », rapporte Jean-Paul Pinte, maître de conférences à l’Université catholique de Lille et expert en cybercriminalité, sur le site Atlantico. « Des chercheurs belges de la KU Leuven ont également démontré qu’ils pouvaient modifier les données de dix appareils médicaux implantables, pacemakers et pompes à insuline, à l’aide d’une simple antenne ».

En février 2018, le conseil d’électrophysiologie du Collège américain de cardiologie (ACC) a lui-même lancé un avertissement dans le Journal of the American College of Cardiology sur les risques de piratage des défibrillateurs implantables connectés, recommandant l’installation de logiciels de protection, ainsi que l’information des médecins et des patients.

Pacemakers piratés

En 2012, le célèbre hacker et expert en sécurité Barnaby Jack – mort en 2013 – avait déjà réussi à détourner un défibrillateur implanté et montré qu’il pouvait envoyer des chocs électriques à distance. Il était parvenu à se procurer les données confidentielles des porteurs de stimulateurs cardiaques distribués par une grande marque et, grâce à ces données, avait pu ensuite implanter un logiciel corrompu destiné à perturber le fonctionnement normal de l'appareil.

« En 2008, déjà, des chercheurs expliquaient avoir pu accéder aux données d’un dispositif de la société Medtronic en interceptant les signaux de radiofréquence émanant de l’appareil », rappelle le journal économique La Tribune. Ce même fabricant avait aussi annoncé des changements sur ses dispositifs, sans en dévoiler les détails, en 2014, année où le département de la sécurité intérieure des Etats-Unis enquêtait sur des cas de suspicion de problème de cybersécurité portant sur une douzaine de dispositifs médicaux.

En 2016, lors du 8e forum international de cybersécurité, le cabinet de conseil en stratégie numérique lillois Suricate Concept a même annoncé avoir introduit pour la première fois un virus dans un pacemaker. Un logiciel malveillant qui aurait la capacité de se propager à d’autres pacemakers via Bluetooth lors des déplacements de l’individu, et même d’infecter les serveurs des hôpitaux. Il pourrait même être activé quelques mois après l’infection, le temps que celle-ci se soit propagée à tous les appareils.

Dispositifs peu sécurisés

Techniquement, le meurtre, voire le meurtre de masse par pacemaker, est donc aujourd’hui possible. Mais les cybercriminels, d’abord motivés par l’appât du gain, devraient privilégier les ransomwares, dont la société de recherche Forrester prédit l’arrivée imminente : grâce à des logiciels malveillants, les hackers prendront le contrôle d’un dispositif médical connecté et demanderont une rançon à son propriétaire pour qu’il en retrouve l’usage.

Selon un rapport publié par Ponemon Institute, 80% des fabricants américains de pacemakers déclarent que ces dispositifs sont « difficiles à sécuriser », notamment parce que les ressources disponibles sur ces plateformes sont réduites et ne permettent pas d’implémenter efficacement des mesures de sécurité. A ce jour, selon l’institut, seuls 17% des fabricants ont engagé un processus de sécurisation de leurs dispositifs.

« Aujourd’hui trop d’implants médicaux intègrent des dispositifs de communication sans fil, qui permettent d’obtenir des mises à jour du matériel ou des diagnostics de fonctionnement. Il apparaît malheureusement que ces liaisons sont non-cryptées, c’est-à-dire utilisables à distance, sans la moindre restriction d’accès », souligne également Jean-Paul Pinte.

« Aujourd’hui, de plus en plus de dispositifs médicaux sont connectés à un réseau d’information hospitalier via différents types de liaisons (4G, Wi-Fi, Bluetooth ou filaires). Parallèlement, un nombre croissant d’affaires liées aux problématiques de hacking, de piratage ou encore de vols de données médicales personnelles sont relayées par les médias. Il est alors légitime de s’interroger sur la situation réglementaire actuelle de la sécurité des dispositifs médicaux connectés », constate lui-même le LNE (Laboratoire national de métrologie et d’essais), seul organisme français notifié pour le marquage CE des dispositifs médicaux.

Quelle protection pour les données de santé ?

Car sans aller jusqu’à envisager ces scénarios criminels, la question de la confidentialité et de la protection des données personnelles de santé se pose aujourd’hui avec acuité. Dans son rapport sur les objets connectés en santé, le Conseil national de la consommation (CNC) estime légitime de s’interroger « sur l’utilisation potentielle de ces informations par certains professionnels ». D’autant que la réglementation en matière de protection des données de santé est loin d’être respectée par tous les industriels, comme l’ont également fait remarquer notamment l’Institut national de la consommation (INC) après une enquête sur un panel d’objets de santé connectés ou l’Office parlementaire d’évaluation des choix scientifiques et technologiques dans son rapport sur le numérique au service de la santé. En effet, en France, tous les industriels du secteur doivent en théorie montrer patte blanche via l’inscription sur la liste des Hébergeurs agréés de données de santé (HADS), liste établie par le tandem CNIL-ASIP Santé. Mais la réalité est plus complexe : invoquant des prétextes divers (« agrément européen », « agrément en cours », …), certains industriels ont réussi à faire distribuer leurs produits en France sans le précieux sésame. La société Biotronik n’a ainsi obtenu l’agrément qu’en 2016, cinq ans après les premières mises sur le marché de ses produits. Idem pour la société Boston Scientific, agréée en 2015, mais distribuée depuis 2011. Et que dire de l’entreprise Medtronic, présente sur le marché français depuis 2012, mais toujours sans agrément en 2018* ?

On peut donc légitimement s’interroger sur le traitement de ces données sensibles, la sécurité de leur transmission et de leur stockage, et leur anonymisation sur les serveurs. Qui garantit que ces données ne pourront pas être volées, puis publiées ou usurpées ? Si elles sont utilisées par des tiers, ne vont-elles pas servir à des fins commerciales ou publicitaires ? S’ils peuvent y avoir accès, des employeurs, des assureurs ou des banques ne seront-ils pas tentés de les utiliser pour ajuster leurs contrats au profil des individus ? Les données ne risquent-elles pas d’être revendues sans que l’individu n’ait la moindre prise sur ce qu’il a de plus intime ? Et si elles sont détruites ou rendues indisponibles, quid de la continuité des soins pour les malades ?

Les données de santé intéressent beaucoup d’acteurs économiques et notamment les géants du web, en pointe sur le big data. Il ne faudrait pas que leur utilisation serve des intérêts privés avant de bénéficier à la santé publique. Pour créer la confiance nécessaire au développement de la télémédecine, la CNIL (Commission nationale informatique et libertés) doit se donner les moyens de faire respecter la réglementation en matière de protection des données de santé. Une direction dirigée par le magistrat Alexandre Linden est en charge de cette question, montrant ainsi l’implication de l’organisme. A un moment où le marché des Big Data se développe à une vitesse exponentielle, nul doute que nous pouvons nous attendre prochainement à une reprise en main du secteur des produits de santé connectés.

(*) http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees

Suzanne LAMBERT
Retraitée de la fonction publique après près de 35 années passées en fonction publique territoriale dans divers postes liés aux questions de santé, jusqu'à être chargée de mission auprès de l'ARS d'Ile-de-France.

vos commentaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *