Le fabricant d'appareils médicaux Animas, une filiale de Johnson & Johnson, avertit les patients diabétiques qui utilisent ses pompes à insuline OneTouch Ping des problèmes de sécurité qui pourraient permettre aux pirates informatiques de délivrer des doses non autorisées d'insuline.

compteur utilise un protocole de gestion sans fil propriétaire par le biais de communications radiofréquences qui ne sont pas cryptées. Cela expose le système à plusieurs attaques.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Premièrement, les attaquants passifs peuvent surveiller le trafic et lire les résultats de glycémie et de dosage de l'insuline. Ensuite, ils peuvent frauduleusement usurper le compteur à la pompe parce que la clé utilisée pour coupler les deux appareils est transmise en clair.

"Cette vulnérabilité peut être utilisée pour distribuer à distance de l'insuline et potentiellement provoquer une réaction hypoglycémique au patient, "Les chercheurs de Rapid7 ont dit dans un article de blog.

Un troisième problème est que la pompe manque de protection contre les attaques dites de relais, où une commande légitime est interceptée et est ensuite jouée par l'attaquant. Cela permet aux attaquants d'effectuer un bolus d'insuline sans connaissance particulière, disent les chercheurs.

Alors que le télérupteur est annoncé pour fonctionner à une distance de 10 mètres, il est techniquement possible de lancer des attaques de spoofing à des distances beaucoup plus

Animas a publié un avis de sécurité sur son site Web avec des recommandations et enverra également des lettres aux clients

La société considère la probabilité d'accès non autorisé au système One Touch Ping.

Les utilisateurs inquiets peuvent désactiver la fonction de radiofréquence de la pompe, mais les patients devront alors entrer manuellement les mesures de glycémie, car le compteur ne sera plus en mesure de les transmettre.

De plus, la pompe peut être programmée pour limiter la quantité d'insuline bolus qui peut être administrée en une fois, sur une durée de deux heures. période et par jour. Les tentatives de dépasser ces paramètres déclencheront une alarme de pompe et empêcheront la livraison d'insuline de bolus, a dit Animas.

Les risques élevés ou bas de sucre de sang qu'un diabétique doit traiter chaque jour sont plus sérieux que les risques introduits par ces vulnérabilités, Radcliffe a dit . Le retrait d'une pompe à insuline d'un diabétique sur les problèmes de sécurité serait comparable à ne jamais voler dans un avion, car il pourrait tomber en panne, dit-il.

Cependant, "ces appareils sont plus avancés et se connectent à Internet indirectement), le niveau de risque augmente considérablement », a averti le chercheur. "Cette recherche souligne pourquoi il est si important d'attendre que les fournisseurs, les régulateurs et les chercheurs travaillent pleinement sur ces dispositifs très complexes."

Avant de rendre public, Radcliffe a travaillé avec Animas et la société mère Johnson & Johnson pour les aider. comprendre les défauts et développer des atténuations. C'est un contraste frappant avec les chercheurs d'une société appelée MedSec qui a récemment choisi de partager des informations sur les vulnérabilités dans les appareils cardiaques de St. Jude Medical avec une société de recherche d'investissement afin que l'entreprise puisse court-circuiter le stock de l'appareil.La sécurité des dispositifs médicaux a été un sujet brûlant dans le milieu de la recherche sur la sécurité au cours des dernières années. Certains fournisseurs ont pris note et ont lancé des programmes de coordination de la vulnérabilité, et la Food and Drug Administration des États-Unis encourage activement les fabricants de dispositifs médicaux à travailler avec des chercheurs en sécurité.