Announcement

Collapse
No announcement yet.

Question sur la s?curit? des dispositifs m?dicaux

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Question sur la s?curit? des dispositifs m?dicaux

    Question sur la sécurité des dispositifs médicaux

    Des chercheurs ont réussi à pirater un défibrillateur

    Des chercheurs américains ont démontré qu'il était possible, au moyen d'un signal radio, d'interférer avec l'information contenu dans un défibrillateur automatique implantable et de provoquer un choc potentiellement létal. Leur objectif, susciter une prise de conscience et mettre en garde contre le risque de malveillance.

    de notre correspondante


    Les Prs Kevin Fu et Tadayoshi Kohno entourés de leurs étudiants et le Dr William Maisel montrant le défribrillateur(BEN BARNHART)


    (BEN BARNHART)

    LA TECHNOLOGIE du sans-fil en pleine expansion va-t-elle rendre vulnérables les porteurs d'implants médicaux ? Alors que plusieurs millions d'Américains vivent avec un pacemaker ou un défibrillateur, des équipes de chercheurs appartenant à trois universités aux États-Unis ont montré dans une étude qui sera officiellement présentée* le 19 mai, à Oakland en Californie, qu'il est possible, de façon expérimentale, d'interférer grâce à un signal radio avec l'information contenue dans un défibrillateur automatique implantable (DAI) et de modifier les instructions qu'il contient. Ils ont même pu faire produire par cet implant un choc électrique potentiellement fatal.

    Pour leur opération de piratage, les trois équipes scientifiques – dirigées, respectivement, par Kevin Fu, de l'université du Massachusetts, à Amherst, Tadayoshi Kohno, de l'université de Washington, à Seattle, et le Dr William Maisel, de la faculté de médecine de Harvard, à Boston – sont intervenues au niveau de la communication sans fil entre un défibrillateur contenant un micro-ordinateur et des radios, et un appareil utilisé par les médecins pour interroger le DAI et en modifier les fonctions, appelé un programmateur. Les équipes ont utilisé une radio logicielle pour intercepter et capturer les signaux échangés entre le défibrillateur, qui, bien sûr, n'était pas implanté dans un patient, et le programmateur. Ces appareils étaient éloignés de quelques centimètres l'un de l'autre, comme c'est le cas lors d'une consultation médicale. Les ingénieurs ont ainsi pu extraire toute l'information personnelle concernant le patient fictif, y compris son identité, son diagnostic, sa date de naissance, etc. Ils ont également réussi à obtenir la marque et le modèle de l'appareil et ont pu accéder en temps réel aux résultats de l'électrocardiogramme, ainsi qu'à toutes les autres informations concernant l'activité cardiaque du pseudo-patient. Mais ils ne se sont pas arrêtés là puisqu'ils sont parvenus à attaquer le DAI, en désactivant le protocole thérapeutique qui y était inscrit, empêchant effectivement son fonctionnement, et y introduisant même de nouvelles commandes. Le résultat est qu'ils ont pu administrer un choc susceptible de provoquer une arythmie létale.

    Pas seulement des hackers. Ne souhaitant pas se limiter au rôle de hackers, les informaticiens se sont attachés à élaborer des parades aux attaques qu'ils avaient conçues. Une tâche qui, de leur propre aveu, n'était pas simple. «Dans le cas des implants médicaux, le respect de la confidentialité, de la sécurité et de l'efficacité impose des contraintes parfois contradictoires, explique au “Quotidien” Tadayoshi Kohno. Par exemple, une protection avec un mot de passe pourrait entraver l'accès au DAI dans une situation d'urgence en dehors de l'environnement habituel et mettre en danger la vie du patient.» Par ailleurs, «le coût énergétique d'un chiffrement pourrait réduire sérieusement la durée de vie des batteries du défibrillateur, rendant nécessaires des interventions chirurgicales plus fréquentes, ce qui n'est pas non plus un bénéfice pour le patient», souligne-t-il.

    Pour contrer ces différents obstacles, les scientifiques américains ont proposé trois mécanismes de protection qui préservent la batterie en fonctionnant à partir de l'énergie induite par les signaux radio. Leur conception repose sur la dissuasion et la prévention, qu'il s'agisse de l'alerte sonore, du dispositif d'authentification des demandes d'accès via des systèmes extérieurs ou encore du second dispositif d'alerte combinant les deux approches précédentes et qui se manifeste par des vibrations perceptibles par le patient. Des prototypes de ces trois mécanismes de défense ont été testés, mais n'ont pas encore été incorporés dans un DAI. À ce stade, précisent les chercheurs, ce ne sont que des outils rudimentaires qui devront être transformés, améliorés et adaptés par les fabricants.

    Malgré l'expérience réussie de piratage, les chercheurs admettent que le risque d'être confronté à ce type d'attaque est aujourd'hui limité. Les conditions étaient particulières : l'étude n'a été réalisée que sur un seul modèle de défibrillateur ; la technologie utilisée, très sophistiquée, n'est pas à la portée de tout le monde ; l'opération s'est déroulée à proximité du DAI. Toutefois, l'objectif était de susciter une prise de conscience et de mettre en garde les agences régulatrices, la Food and Drug Administration et les partenaires industriels, contre les dangers potentiels liés au développement des technologies sans fil.

    «Nous sommes au début d'une révolution technologique de l'appareillage médical», indique Tadayoshi Kohno. C'est aussi l'avis de Kevin Fu qui précise pour le « Quotidien » : «Nous allons vers un accroissement des technologies sans fil, un accroissement de la connectivité avec l'Internet dans le domaine de l'assistance médicale implantable. Aujourd'hui, ajoute-t-il, les appareils médicaux implantables présentent un avantage considérable pour les patients; ils s'en portent beaucoup mieux. A l'avenir, nous nous attendons à l'utilisation de nombreux autres appareillages sophistiqués. Mais, jusqu'à présent, les fabricants se sont contentés de fournir des parades à des mauvais fonctionnements accidentels. Il est temps de considérer aussi les interférences intentionnelles.» Et le chercheur d'insister : «Les fabricants devraient se souvenir de l'expérience de l'Internet, personne ne s'attendait à des activités malveillantes. La sécurité des appareillages médicaux sans fil est un domaine qui n'a pas été étudié. Les dispositifs qui existent actuellement ne sont pas suffisants», conclut-il.

    > ISABELLE TROCHERIS

    * Au symposium sur la sécurité et la confidentialité de l'Institut des ingénieurs en électricité et électronique (IEEE), www.secure-medicine.org/icd-study/icd-study.pdf.

    Le Quotidien du Médecin du : 16/05/2008


Working...
X