Un pacemaker de l’entreprise St Jude Medical. Steven Fruitsmaak - licence CC BY via Wikimedia commons

La Food and Drug Administration (FDA), chargée de la protection des patients aux Etats-Unis, a ordonné mardi 29 août un rappel d’un type un peu particulier : il concerne les pacemakers de l’entreprise Abbott (ex-St. Jude Medical).

« La FDA a enquêté à la suite d’informations selon lesquelles [ces pacemakers] comportaient des failles de sécurité informatique et elle a pu confirmer que ces failles, une fois exploitées, peuvent permettre à une personne non autorisée d’accéder à l’appareil en utilisant du matériel disponible dans le commerce. Cet accès permettrait de modifier les commandes du pacemaker, ce qui pourrait nuire au patient en vidant rapidement la batterie ou en imposant un rythme cardiaque non approprié. »

En conséquence, et devant l’impossibilité de procéder à un rappel physique de ces appareils, la FDA recommande très fortement une mise à jour logicielle, qui ajoute des protections supplémentaires contre un éventuel piratage. La mise à jour peut être faite directement par le médecin, par télétransmission, en quelques minutes. Aucun cas de piratage malveillant n’a pour l’instant été rapporté.

40 000 patients concernés en France

Environ 500 000 patients seraient concernés aux Etats-Unis par cette mise à jour, qui corrige des failles présentes sur neuf modèles de pacemakers : Accent SR RF™, Accent MRI™,

Assurity™, Assurity MRI™, Accent DR RF™, Anthem RF™, Allure RF™, Allure

Quadra RF™, Quadra Allure MP RF™. En France, un peu plus de 40 000 patients sont équipés de pacemakers de ces modèles.

La mise à jour sera effectuée en France « après approbation des autorités », a dit au Monde la société Abbott — soit l’obtention d’un « marquage CE », qui doit être délivré par un organisme européen habilité, vraisemblablement à la fin d’octobre. L’entreprise rappelle qu’elle avait annoncé en janvier que des mises à jour de sécurité complémentaires seraient effectuées cette année.

Pour le docteur Olivier Piot, spécialiste du rythme cardiaque au Centre de cardiologie du Nord, à Saint-Denis, les questions de sécurité informatique restent assez nouvelles dans un secteur où « l’on se préoccupe avant tout de la sécurité du matériel. Dans le monde médical, on cherche avant tout à corriger les défauts de fabrication, qui sont par définition non volontaires ; l’idée qu’il puisse y avoir des personnes qui cherchent sciemment à attaquer un dispositif est relativement nouvelle. »

Développement des pacemakers connectés

Les pacemakers ont largement évolué ces dernières années, notamment grâce à l’ajout d’outils de télétransmission par radiofréquence. Or, ces canaux d’échange d’informations créent une porte d’entrée pour d’éventuels attaquants. Et les pacemakers embarquent désormais des outils informatiques complexes, qui peuvent contenir des failles, comme tout ordinateur. Ces matériels évolués ont été un réel progrès, note M. Piot : « Le médecin peut contrôler l’appareil à distance, accéder aux données du patient, recevoir des alertes en cas de comportement anormal... »

Ce n’est pas la première fois que des produits conçus par Saint Jude Medical, avant son rachat par Abbottn en avril 2016, font l’objet d’une mise à jour de sécurité importante. Les failles dans les pacemakers de l’entreprise avaient été rendues publiques l’an dernier par MedSec, une société spécialisée dans la sécurité du matériel médical. Saint Jude Medical avait alors porté plainte, et avait publié un premier correctif en janvier 2017.

Mais MedSec est aussi une société aux pratiques controversées : après avoir découvert l’existence des failles, elle avait communiqué l’information à une firme d’investisseurs, Muddy Waters Capital, qui avait alors spéculé à la baisse sur l’action de Saint Jude Medical. La présidente-directrice générale de MedSec, Justine Bone, avait publié un message disant qu’il s’agissait de « la seule manière de forcer St Jude Medical à agir ».

A l’avenir, les normes de sécurité devraient être renforcées pour ces appareils sensibles. Aux Etats-Unis, « plus avancés que nous sur cette problématique » selon le docteur Piot, la FDA s’apprête à intégrer une norme de cybersécurité obligatoire pour les matériels médicaux en plus d’un cahier des charges déjà établi. Une directive de cybersécurité existe depuis 2017 au niveau européen.