Le Homeland Security Department a récemment signalé un potentiel danger sur près de 750 000 défibrillateurs connectés de la marque Medtronic. Il s’agit d’appareils installés dans des infrastructures américaines publiques. Ce n’est pas la première fois que des appareils provenant de ce fabricant sont signalés comme potentiellement vulnérables. Il y a moins d’un an, des pacemakers de Medtronic étaient pointés du doigt.

Cette fois-ci, le problème se trouve dans le programmateur CareLink 2090. C’est le système informatique utilisé pour programmer et gérer les dispositifs cardiaques à distance. Il permet de régler le moment exact où le défibrillateur doit envoyer le choc au cœur. Il se trouve qu’il figure sur une liste de cybersécurité mentionnant des systèmes défaillants.

Concrètement, aujourd’hui, un cyber-attaquant ayant des connaissances précises sur ce programmateur, pourrait nuire à un patient en modifiant la programmation d’un défibrillateur en particulier. 16 modèles de défibrillateurs fabriqués par Medtronic seraient concernés.
Pour faire face à problème de taille, Medtronic conseille aux patients de n’utiliser que les appareils obtenus auprès de leur médecin ou directement auprès de Medtronic, pour conserver un contrôle total. C’est inquiétant.

Cela pourrait l’être d’autant plus pour les personnes portant un défibrillateur implanté, c’est-à-dire directement dans la poitrine. Ce genre de défibrillateur a pour mission de surveiller le rythme cardiaque et de prévenir un arrêt du cœur. Mais si un hacker est capable de le pirater, cela serait un vrai problème pour les patients. Heureusement, ce type de défibrillateur implanté n’est pas sur la liste des appareils potentiellement vulnérables du Homeland Security Department.

Les vulnérabilités ont été découvertes par deux équipes de chercheurs en sécurité et signalées à Medtronic. C’est le fabricant qui a directement fait remonter l’information aux autorités gouvernementales. Des responsables de Medtronic tentent d’apaiser les craintes : ils affirment que les défibrillateurs touchés contiennent une fonction qui pourrait couper les communications si jamais les appareils recevaient une commande inhabituelle. Ce n’est pas suffisant pour rassurer la population.