Le fabricant de dispositifs médicaux Medtronic rappelle les télécommandes utilisées avec certaines de ses pompes à insuline en raison de risques de cybersécurité pouvant entraîner des blessures, voire la mort.

Le rappel est lié à une série de vulnérabilités découvertes par une équipe de chercheurs en cybersécurité en 2018. En juin 2019, la Food and Drug Administration (FDA) américaine et Medtronic ont informé le public d’un rappel des pompes à insuline MiniMed 508 et Paradigm en raison de vulnérabilités qui pourraient permettre à un attaquant de pirater les appareils à distance.

La FDA et Medtronic ont déclaré que certains utilisateurs concernés – dont les appareils étaient sous garantie – avaient été notifiés dès août 2018.

Ce rappel est maintenant étendu par Medtronic aux télécommandes optionnelles associées aux pompes à insuline concernées. Les utilisateurs de ces appareils ont reçu des instructions mises à jour, notamment pour arrêter l’utilisation des contrôleurs concernés et les retourner.

La FDA a déclaré que plus de 31 000 appareils avaient été rappelés aux États-Unis. L’agence et Medtronic ont noté que les contrôleurs MiniMed MMT-500 et MMT-503 concernés ne sont plus fabriqués ni distribués.

« La FDA a identifié cela comme un rappel de classe I, le type de rappel le plus grave. L’utilisation de ces appareils peut causer des blessures graves ou la mort », a déclaré la FDA.

Cependant, la FDA et Medtronic ont souligné qu’elles n’étaient au courant d’aucun rapport faisant état de préjudices subis par des patients liés aux vulnérabilités.

Les failles de cybersécurité découvertes par les chercheurs dans ces appareils sont liées aux communications sans fil entre la télécommande et la pompe à insuline. Le contrôleur permet aux utilisateurs de programmer la quantité d’insuline administrée au patient.

Un attaquant à proximité immédiate de la cible peut intercepter les signaux radiofréquence entre la télécommande et la pompe à insuline et les rejouer ultérieurement pour délivrer une dose supplémentaire d’insuline ou…