Pacemakers, pompe à insuline... : attention ils peuvent être piratés !

La santé n’échappe décidément pas à la digitalisation. Le 15 septembre 2018, la téléconsultation devenait enfin accessible sur l’ensemble du territoire français, tout en étant remboursée par la Sécurité sociale. Depuis cette date, de nombreuses plateformes proposant de consulter son médecin via son écran d’ordinateur ont vu le jour (Qare, Medaviz, HelloConsult, Hellocare…). Moins de deux mois plus tard, la ministre de la Santé, Agnès Buzyn, invitait tous les Français à se faire ouvrir un carnet de santé numérique (appelé DMP – dossier médical partagé).

Suite logique de l’histoire, les objets connectés et gadgets de santé en tous genres ne font que se multiplier. Pacemakers, pompe à insuline, montre connectée, balance numérique… Et ils ne datent pas d'hier ! Les objets de santé connectés explosent à des fins de préventions et d’amélioration de la qualité de vos soins. Néanmoins, prudence ! Si les fabricants font leur possible pour protéger vos données personnelles du mieux qu’ils peuvent, vous n’êtes pas à l’abri de piratage. L’hyperconnectivité multiplie les points d’entrée et vous rend aussi plus vulnérables aux cyberattaques.

Cyberattaques : qu’est-ce que vous risquez ?

La loi Française définit les cyberattaques comme des atteintes aux systèmes informatiques dans un but malveillant. Elles peuvent cibler vos ordinateurs, serveurs ou réseaux reliés à Internet, mais aussi vos smartphones, tablettes, imprimantes ou tout appareil connecté. On note 4 types de risques : la cybercriminalité (obtention d’informations personnelles dans le bus de les exploiter), l’atteinte à l’image, l’espionnage ou les sabotages.

En effet, en pleine recrudescence, les attaques ciblent très souvent les particuliers. Leur but : obtenir vos informations personnelles (données bancaires, identifiants de connexion, habitudes, adresse) afin de les exploiter et de les revendre. Cela peut aller jusqu’à une usurpation d’identité de la victime afin d’obtenir des renseignements personnels pour en faire un usage criminel.

Diabète : attention au piratage de votre pompe à insuline

La pompe a insuline, destinée aux personnes atteintes de diabète de type 1, permet de délivrer une dose appropriée d'insuline de manière continue. Elle contient un boitier avec piles et un dispositif de perfusion sous-cutané. En 2016, ces appareils avaient suscité la panique alors que le laboratoire Johnson & Johnson alertait d'une faille informatique sur l'un de ses modèle de pompes à insuline. Leur appareil était équipé d'une télécommande à distance. Le but ? Administrer l'insuline automatiquement, sans que le patient n'ai à intervenir.

Mais à cause d'une faille, le laboratoire avait alerté la population d'un potentiel risque d'intrusion dans leur système. Le hacker aurait pu intercepter les communications entre la télécommande et la pompe pour reprogrammer l'administration d'insuline. "Or, une dose trop forte d'insuline peut provoquer une hypoglycémie susceptible de mettre la vie du patient en danger", expliquait Bian Levy, directeur médical du pôle diabète de J&J, interviewé à l'époque par Sciences & Avenir. Pour réduire les risque s, le laboratoire préconisait de renoncer à la télécommande à distance et de programmer la pompe manuellement.

Pacemaker : un saboteur peut "aisément le piloter"

Composé d'un boîtier et de sondes, le pacemaker est un stimulateur cardiaque artificiel, qui, comme son nom l'indique, va stimuler les muscles cardiaques. Là encore, une faille de sécurité avait agité la population en 2017, alors qu'elle menaçait notamment 40 000 Français porteurs de pacemaker.

La Food and Drug Administration (agence fédérale américaine de surveillance des produits alimentaires et pharmaceutiques), avait décidé de procéder à un rappel de certains stimulateurs cardiaques. Une faille de sécurité a été découverte dans le logiciel de certains appareils conçus par la société St Jude Medical. Cette faille entraînait un risque accru de piratage.

En effet, "il est possible de d’attaquer certains pacemakers connectés, estime Maxime Alay-Eddine, Président, fondateur de Cyberwatch, une société de sécurité informatique, spécialiste de la gestion des vulnérabilités. Heureusement, à priori, aucune attaque de ce genre n'a été effectuée sur de tels dispositifs". Néanmoins par précaution, l'agence fédérale américaine avait tout de même encouragé les patients de se rendre à l'hôpital, afin d'effectuer une mise à jour de leur gadget, par précaution.

En effet, selon leur enquête, les faiblesses constatées permettait d'accéder au pacemaker et d'en modifier les commandes, ce qui aurait pu nuire aux patients.

Attention aux gadgets qui contiennent une caméra ou un micro

Il faut prendre conscience que le danger existe dans tous les appareils connectés, et pas uniquement sur les objets de santé. C’est, en tout cas, ce que nous explique Maxime Alay-Eddine. "Tous les objets connectés présentent un risque de cyberattaque, y compris votre téléphone portable ou votre ordinateur. Un objet de santé est peu manipulé, et normalement peu exposé à Internet. Or, le téléphone et l’ordinateur sont manipulés au quotidien et régulièrement connectés à des réseaux tiers, par exemple lors d’un déplacement. Le danger est donc plus important pour les appareils traditionnels que pour des objets de santé connectés", nous témoigne-t-il.

Néanmoins, s’il devait citer les objets de santé connectés les plus à risque, l’expert citerait ceux qui présentent une caméra ou un microphone. "S’ils sont mal sécurisés, ces objets peuvent vraiment nuire à la vie privée de leurs usagers", ajoute Maxime Alay-Eddine.

On pense notamment à la balance connectée : cette dernière se trouve souvent dans la salle de bain des utilisateurs. Cela génère un risque d’espionnage dans cette pièce où les individus sont souvent peu vêtus.

"En outre, j’invite les utilisateurs à se méfier des dispositifs d’enregistrement non signalés, poursuit le fondateur de Cyberwatch. Certains appareils, peu chers, proviennent de pays peu sensibilisés à la vie privée. Ils sont susceptibles de contenir des micros et caméras, même s’ils n’ont aucun sens quant à l’utilisation du produit. Et la notice omet parfois de les mentionner. Je fais référence au thermostatNest de Google qui contenait un microphone (sans que cela soit précisé), ou encore à celui dissimulé dans Monsieur Cuisine Connect, un mixeur commercialisé par Lidl.

Et c’est là que se trouve le plus grand risque : il faut être vigilant avec les objets de santé connectés, et vérifier qu’ils ne contiennent pas de caméra ou micro sans que cela soit mentionné".

Comment se prémunir des risques ?

"Je ne veux pas tenir de discours alarmant. La téléconsultation et les objets de santé connectés ont beaucoup à nous apporter. Si nous évaluons le ratio risque/bénéfice, nous avons beaucoup à y gagner à les utiliser, rajoute l’expert. Les cyberattaques ne sont donc pas une raison suffisante s'en passer".

En outre, les risques sont déjà présents à partir du moment où vous utilisez Internet. "Si vous être détenteur d’applications santé, objets de santé connectés, ou tout simplement si vous utilisez fréquemment Internet, je vous invite à appliquer les conseils délivrés par l’Agence nationale de la sécurité des systèmes d’informations (ANSSI). C’est parce que les gens n’appliquent pas leurs recommandations que les piratages surviennent. Je vous conseille vivement de télécharger leur Guide d'hygiène informatique.

Ce guide contient des aides pour sécuriser votre réseau, instaurer des contrôles d'accès, et pour pouvoir contrôler tous vos postes.