Les dispositifs médicaux et prothèses connectées sont régulièrement pointés du doigt pour la négligence dont font part les fabricants concernant la sécurisation des logiciels embarqués. Et la FDA (Food & Drug Administration) vient de dénoncer la situation en organisant le rappel de plus de 500 000 pacemakers qui présentent un risque de piratage.
Les stimulateurs cardiaques en question sont censés surveiller le rythme cardiaque du porteur et corriger les troubles chez ce dernier en stimulant le muscle à l'aide de décharges électriques. Ce sont des pacemakers développés par la société St Jude Medical qui présenteraient une faille importante dans leur firmware qui permettrait une prise de contrôle à distance.
Un pirate pourrait alors influencer le rythme cardiaque du patient ou épuiser la pile du module pour le rendre inutilisable.
Heureusement, le fabricant de ces appareils a prévu la possibilité de mettre à jour le firmware de ses pacemakers grâce à une connexion radio. Les patients ne seront donc pas contraints de se soumettre à une nouvelle opération chirurgicale, ils sont néanmoins vivement invités à contacter la FDA pour prendre connaissance de la marche à suivre pour profiter d'un correctif.
Malgré tout, la procédure de mise à jour n'est pas sans risques. Lors de la réécriture du firmware, le pacemaker peut voir les données de diagnostic disparaitre ou la procédure peut amener au blocage du dispositif ce qui impliquerait alors une intervention chirurgicale visant à le remplacer.
Cette affaire prouve une nouvelle fois la nécessité urgente pour les fabricants de dispositifs médicaux connectés de prendre plus au sérieux la sécurisation de leurs appareils.