Paris, le samedi 8 octobre 2016 – La démonstration avait créé un petit électrochoc. A l’automne 2012, Barnaby Jack, pirate informatique devenu le respectable dirigeant d’une entreprise spécialisée dans la cyber sécurité avait démontré comment il était possible à partir d’un simple ordinateur portable de pirater à quelques mètres de distance un pacemaker. La mise en évidence de la simplicité d’un telle opération avait confirmé la vulnérabilité de certains dispositifs médicaux dont un nombre croissant utilisent les voies numériques de communication.
Suspicions
Conscients, les fabricants adoptent-ils cependant les mesures nécessaires pour protéger les patients de ces risques. Aux Etats-Unis, les révélations se multiplient qui signalent la défaillance des concepteurs en la matière. Ainsi, une société de recherche en sécurité informatique a récemment semé le doute sur la possibilité d’interférer avec le fonctionnement des défibrillateurs implantables de la société St. Jude Medical. Si le géant du pacemaker a vigoureusement nié, une enquête a été ouverte par la Food and Drug Administration, qui au-delà de ce cas particulier a décidé d’élaborer des recommandations à destination des fabricants.
Cyber-crime à l'insuline
Sans attendre ces dernières, la société Johnson & Johnson a décidé de prendre les devants. Cette semaine, elle a mis en garde contre la possibilité de voir ses pompes à insuline J&J Animas OneTouch Ping être l’objet d’intrusions extérieures. Ce dispositif se compose d’une pompe que le patient peut, pour plus de confort, activer grâce à une télécommande sans fil. Or, diligentée par Johnson & Johnson, la société de cybersécurité Rapid7 a mené un audit sur le système qui a conclu qu’un piratage n’était pas impossible. Des esprits malveillants, ayant une bonne connaissance du dispositif et de l’informatique, pourraient à quelques mètres de distance reprogrammer la pompe en interceptant la communication entre cette dernière et la télécommande.
Risque faible
Face à une telle révélation, Johnson & Johnson a choisi la transparence. L’entreprise vient en effet d’alerter les 14 000 utilisateurs américains de son produit de ce danger. Le laboratoire indique par ailleurs qu’il travaille aujourd’hui à la résolution du problème : l’abandon du système sans fil pourrait être envisagé ou la programmation d’une dose maximale d’insuline. Cependant, il insiste sur le fait que le risque est faible : le piratage est en effet relativement complexe et nécessite en outre d’être dans la sphère du patient, puisque le dispositif n’est pas relié à internet. « Nous pensons que le système One Touch Ping est sûr et fiable; nous recommandons aux patients de le conserver » affirme Brian Levy, qui dirige le pôle diabétique au sein de Johnson & Johnson. Plutôt que d’entraîner le rejet des patients, l’entreprise espère que cet effort de transparence les confortera dans leur choix.
Le pari de la transparence
Le pari est cependant risqué et il est probable que cette stratégie interroge aujourd’hui de nombreux fabricants. D’une manière générale, elle relance le débat sur la difficulté de communiquer sur certains risques faibles, qui ne peuvent être ignorés, mais qui ne doivent pas miner la confiance dans un dispositif par ailleurs particulièrement utile. L’avenir dira dans quelle mesure ce premier cas d’école influencera les autres industriels à renforcer leur sécurité numérique et à communiquer en la matière.
Aurélie Haroche
