Alerte de sécurité sur les dispositifs de télémétrie, programmateur, système de télé-suivi Carelink, MyCareLink de MEDTRONIC

La société MEDTRONIC a publié un bulletin de sécurité le 21 Mars 2019 au sujet de failles de sécurité sur ses systèmes de télémétrie, programmateurs, et télé-suivi, CARELINK, permettant le contrôle et le piratage de ces systèmes.

Description de la vulnérabilité
Des chercheurs externes en sécurité, Peter Morgan de Clever Security, Dave Singelée et Bart Preneel de KU Leuven, Eduard Marin anciennement à KU Leuven et actuellement à l’Université de Birmingham, Flavio D. Garcia, Tom Chothia de l’Université de Birmingham et Rik Willems de l’University Hospital Gasthuisberg Leuvenont ont identifié des vulnérabilités de cybersécurité pour certains produits Medtronic. Celles-ci concernent le protocole de télémétrie sans fil Conexus™ (appelé « télémétrie Conexus » dans le présent document) associé à certains défibrillateurs et CRT-D (défibrillateurs de resynchronisation cardiaque) de Medtronic. La liste complète des produits concernés se trouve à la fin du présent document.
À ce jour, aucune cyberattaque, atteinte à la vie privée ou préjudice causé aux patients n’a été observé ou associé à ces vulnérabilités.
La télémétrie Conexus n’est pas utilisée dans les stimulateurs cardiaques de Medtronic (notamment ceux dotés de la fonctionnalité sans fil Bluetooth). De plus, les moniteurs CareLink Express et les programmateurs CareLink Encore (modèle 29901) utilisés par certains hôpitaux et cliniques n’utilisent pas la télémétrie Conexus.
La télémétrie Conexus permet aux programmateurs et aux moniteurs Carelink de :
– Transmettre à distance les données du dispositif cardiaque implanté à un patient vers son centre de suivi (télésurveillance), y compris des notifications importantes opérationnelles et/ou relative à la sécurité.
– Afficher et imprimer en temps réel les informations relatives à l’appareil pour les cliniciens.
– Programmer les paramètres de fonctionnement de l’appareil

Les vulnérabilités pourraient permettre à une personne non autorisée (c.-à-d. quelqu’un d’autre qu’un professionnel de la santé) d’accéder aux paramètres d’un dispositif implantable, d’un moniteur à domicile ou d’un programmeur clinique et de les modifier éventuellement. Medtronic effectue des contrôles de sécurité pour déceler toute activité non autorisée ou inhabituelle qui pourrait être liée à ces vulnérabilités.
Cliquez sur le lien ci-dessous pour lire la version complète de ce bulletin:

Bulletin de securite carelink 21-03-19