Le 1er août 2013, Jack Barnaby, connu pour avoir hacké un distributeur de billets sans débiter un compte client, devait faire une présentation à la session 2013 de la Black Hat sur la sécurité des Dispositifs Médicaux Communicants (DMC). Il devait expliquer comment il avait pu déclencher des chocs électriques de 830 volts dans un pacemaker ! Comment il avait découvert une « fonction secrète » activant la communication peer-to-peer des dispositifs, pu réécrire le firmware et ainsi codé un vers capable de se diffuser de façon autonome en exploitant cette fonction. Il est décédé une semaine avant. Cause du décès inconnue… il ne portait pas de pacemaker !

L’anecdote fait sourire. L’exploitation de ces failles ne relève pas nécessairement de l’univers des séries télé. Le Docteur Jonathan Reiner, cardiologue de Dick Cheney, aurait ainsi volontairement refusé de lui poser un pacemaker communicant.

L’absence totale de sécurité des dispositifs médicaux communicants est une réalité qui rappelle une nouvelle fois la nécessité d’allier sûreté sanitaire, sécurité logicielle, confidentialité des données.

I) – Sûreté sanitaire, sécurité logicielle, confidentialité des données : des intérêts divergents

Un DM implantable communicant doit être fiable, portable et économe. En pratique, cela se traduit apparemment par l’utilisation d’une mémoire flash de 128 Ko, un processeur fonctionnant sur du 1,5 volts et un interrupteur magnétique pour activer la transmission radio. La mémoire de l’appareil est ainsi suffisante pour contenir le programme, enregistrer les données et traiter les éventuels dysfonctionnements du système. Son faible voltage garantit une durée de vie suffisante pour rendre positif le rapport bénéfice/risque du changement du DM implantable. Pour permettre une prise en charge télémédicale, les fabricants ont amélioré certaines fonctions, en adoptant des normes de communication grand public et en augmentant la bande passante à environ 400 kbit/s pour l’envoi des données de télésurveillance. Au plan technique, les capacités du DMC sont donc entièrement dévolues à accroître son utilité.

S’il doit être sûr pour le patient, la sécurité du dispositif et la confidentialité des données ne sont en revanches pas considérées comme des priorités. Pire, elles sont considérées comme des freins technologiques majeurs. Implémenter DMC des protocoles cryptographiques ou même une simple identification par login / mot de passe réduirait considérablement l’autonomie de la batterie et nécessiterait une augmentation de leur puissance et la capacité.

II) – La sécurité du dispositif, un véritable enjeu

Juridiquement, un DMC est un Système de Traitement Automatisé de Données (STAD). Il devrait donc entrer dans le champ d’application de la loi Godfrain, qui sanctionne toute atteinte au bon fonctionnement du système, notamment, et de la Directive Cybercriminalité, laquelle prévoit la notification aux autorités nationales de tout accès illégal au SI, toute atteinte à son intégrité ou à celle des données et toute interception illégale de ces dernières. Ce texte devrait conduire les fabricants à réfléchir à des mesures de sécurité garantissant le DMC contre de telles infractions. Des solutions permettant de coupler sûreté sanitaire, sécurité logicielle et confidentialité des données ont d’ores et déjà été proposées :

  • Bloquer les communications avec un brouilleur extérieur : mais le patient est exposé à un risque en cas de reconfiguration en urgence du DMC et la contre-mesure peut être contrée aisément par un attaquant ;
  • Limiter la portée de communication du dispositif : le risque est ainsi réduit, sans pour autant être écarté. 1,5 seconde suffisent et rien n’empêche l’attaquant d’utiliser un amplificateur ;
  • Mettre en place un système de sécurité passive dans le dispositif médical pour assurer le contrôle d’accès.

Quelle que soit l’option retenue, les pouvoirs publics auront, directement ou non, un rôle à jouer. La normalisation des canaux de communication et l’interopérabilité sont en effet indispensables pour permettre une prise en charge en urgence d’un porteur de DMC.

 

III) – La confidentialité des données : une obligation mal acceptée

En France, la confidentialité des données personnelles est impératif légal depuis… 1978. Il a fallu attendre Edward Snowden pour que l’on commence à s’en inquiéter réellement. Et cette inquiétude reste sectorielle. Personne ne s’inquiète réellement de ses données de santé. Quant aux professionnels de santé, ils supportent mal des lois leur imposant des contraintes techniques et opérationnelles en plus de l’aspect juridico-administratif.

L’enjeu est pourtant là encore de taille. L’implémentation d’une fonction de mesure d’audience sur la page web du Ministère de la Santé a permis à Google d’identifier avec précision les femmes souhaitant bénéficier d’une IVG. La sensibilité des données issues de DMC rend la question plus prégnante encore : nom et date de naissance du patient, identifiant unique, patient summary, nom et numéro de téléphone du médecin traitant, date d’implantation, modèle et numéro de série du DM…

Paradoxalement, les premiers à s’intéresser à la confidentialité des données traitées par les DMC sont les américains. De fabricants d’audioprothèse se targuent ainsi de respecter le Health Insurance Portability and Accountability Act (HIPAA). Revenons en France. Les données des DMC doivent être chiffrées lors de leur communication et hébergées sur des serveurs agréés par le Ministre. Sécurité garantie… Théoriquement. Car en pratique, les communications entre le DMC et le wifi du malade n’étant pas chiffrées, une attaque MITM permet d’accéder à toutes les données conservées, table de concordance comprise. Gageons que la prochaine réglementation européenne sur la protection des données personnelles contribuera à renforcer ce maillon faible. Le Privacy By Design imposera aux responsables de traitement de prendre en compte la confidentialité La référence à la directive de 1995 dans le projet de règlement sur les DM laisse espérer qu’en tant que coresponsable, le fabricant de DMC sera soumis à cette obligation.

Quelles solutions à ces problèmes de sécurité et de confidentialité ?

Placer la sécurité des systèmes d’information au cœur des préoccupations des professionnels et établissements de santé. A l’heure actuelle, ceux-ci ne s’impliquent ni ne sont impliqués dans les groupes de travail sur ce sujet. Mais quand la sécurité logique rejoint la sûreté sanitaire, l’intégration dans le processus de réflexion devient indispensable. L’objectif est, à terme, de faire de la sécurité non pas une contrainte, mais une question si évidente qu’elle en serait presque normale, anodine.

Inscrire les DMC au chapitre « Risques de compromission » de la Politique de Sécurité du Système d’Information (PSSI). La résistance d’une chaine est égale à celle de son maillon le plus faible. Les attaques pourraient donc emprunter ce biais.

Promouvoir la recherche en sécurité informatique. Les moyens actuels et surtout les contraintes inhérentes au caractère implanté du dispositif ne permettent pas de mettre en place les dispositifs de sécurité actuels. Il faut donc développer d’autres techniques, permettant de détecter les intrusions, sinon de les contrer. Les industriels ont un rôle important dans ce secteur, mais il ne semble pas possible de faire l’économie, sur ce point, d’une coopération avec le monde hospitalo-universitaire.

Revoir les dispositions relatives à la matériovigilance. La convergence entre sécurité logique et sanitaire le justifie amplement.

En finir avec le cloisonnement parfois schizophrénique de la législation. La concurrence normative entre les niveaux national et communautaire nuit à la cohérence du système, tandis que l’hyperspécialisation des parlementaires français et européens les empêche d’adopter une vision globale de la question. Est-il normal que la révision du règlement communautaire sur les DM se fasse sans que soient prises en compte les discussions sur le projet de RGPD, à l’heure où les DMC se généralisent ?