Des pompes à insuline de Johnson & Johnson trop facilement vulnérables

Animas, une société du groupe pharmaceutique américain Johnson & Johnson, a alerté mardi les utilisateurs diabétiques de ses pompes à insuline OneTouch Ping d’une faille de sécurité. L’entreprise juge le risque d’un piratage « extrêmement faible » dans une lettre aux patients. Mais elle déclare tout de même qu’une « personne peut obtenir un accès non autorisé à la pompe via le système chiffré de communication par radio fréquence » du dispositif.

Le produit OneTouch Ping inclut deux unités : la pompe elle-même, qui fournit les doses d’insuline au patient diabétique, et le lecteur distant (en photo de une). Il permet de contrôler les fonctions de la pompe jusqu’à 3 mètres de distance. L’ensemble est complété d’un outil de gestion des données en ligne (diasend). Mais le sytème OneTouch Ping lui-même n’est pas connecté à Internet.

Modifier les doses d’insuline ?

Si un pirate prend le contrôle à distance de la pompe, malgré tout, il peut modifier la dose d’insuline à administrer au patient. Le risque principal ? provoquer une hypoglycémie chez des patients via des surdosages. Animas recommande aux utilisateurs de désactiver le lecteur distant qui complète la pompe. Ce qui implique d’entrer manuellement leurs valeurs de glycémie dans la pompe, qui reste opérationnelle sans le lecteur distant. Johnson & Johnson invite également ses clients à activer la fonction d’alerte (Vibrating Alert).

Selon The Register, Johnson & Johnson a vendu près de 114 000 pompes OneTouch Ping. La pompe a été lancée en 2008 aux États-Unis et en 2009 au Canada. Aucun patient n’aurait été impacté à ce jour par ce hack, selon l’entreprise. Et Animas a indiqué continuer à travailler avec les autorités compétentes et des experts en sécurité sur cette question pour renforcer la sécurité des patients.

Lire également :

Sécurité : Conficker revient infecter l’IoT médical

Ransomware, haro sur le monde hospitalier

crédit photo : brianjmatis via Visual hunt / CC BY-NC-SA