La FDA met en garde contre de nouvelles vulnérabilités de cybersécurité affectant la technologie de communication Bluetooth Low Energy utilisée dans certains appareils médicaux. Selon l’agence, le problème pourrait permettre aux utilisateurs non autorisés de bloquer sans fil un appareil, l’empêcher de fonctionner ou d’accéder à des fonctions limitées à ses utilisateurs.

La FDA affirme que les vulnérabilités – appelées «SweynTooth» par les chercheurs qui l’ont identifié – pourraient avoir un impact sur les appareils connectés ou implantés tels que les glucomètres, les pompes à insuline, les stimulateurs cardiaques et les stimulateurs, ainsi que sur les appareils plus grands dans les établissements de santé comme les appareils à ultrasons ou moniteurs. À la connaissance de l’agence, aucun cas de ce type ne s’est encore produit.

Jusqu’à présent, le régulateur a répertorié sept fabricants de puces électroniques qu’il sait être concernés: Texas Instruments, NXP, Cypress, Dialog Semiconductors, Microchip, STMicroelectronics et Telink Semiconductor.

Cependant, la FDA a déclaré qu’elle était déjà au courant des versions de correctifs de “plusieurs” fabricants de puces électroniques qui résolvent ces problèmes, ainsi que des sociétés de dispositifs médicaux qui enquêtent sur leurs produits pour détecter des vulnérabilités.

“L’agence demande aux fabricants de dispositifs médicaux de communiquer aux fournisseurs de soins de santé et aux patients quels dispositifs médicaux pourraient être affectés par SweynTooth et les moyens de réduire les risques associés”, a écrit l’agence dans son annonce des vulnérabilités. “Les patients devraient parler à leurs fournisseurs de soins de santé pour déterminer si leur dispositif médical pourrait être affecté et demander de l’aide immédiatement s’ils pensent que leur dispositif médical ne fonctionne pas comme prévu.”

QUEL EST L’IMPACT

Bluetooth Low Energy est un pilier parmi les appareils trouvés dans les hôpitaux et sur les étagères des magasins de détail. Avec un nombre croissant d’appareils adoptant les communications sans fil chaque jour, une faille dans la technologie permettant un accès complet aux appareils médicaux est un risque majeur pour les fabricants de produits de santé numériques, sans parler de leurs clients.

“Les appareils médicaux sont de plus en plus connectés et les appareils connectés présentent des risques inhérents, ce qui les rend vulnérables aux failles de sécurité. Ces brèches peuvent avoir un impact sur la sécurité et l’efficacité de l’appareil et, si elles ne sont pas corrigées, peuvent nuire au patient”, a déclaré la Dre Suzanne. Schwartz, directeur adjoint du Bureau des partenariats stratégiques et de l’innovation technologique du Center for Devices and Radiological Health de la FDA, a déclaré dans un communiqué. “La FDA recommande que les fabricants de dispositifs médicaux restent attentifs aux vulnérabilités de cybersécurité et les résolvent de manière proactive en participant à la divulgation coordonnée des vulnérabilités

LA PLUS GRANDE TENDANCE

Alors que les hôpitaux continuent d’adopter l’Internet des objets, les experts ont plaidé pour de plus grands efforts de cybersécurité et un réseau décentralisé pour limiter les risques posés par les appareils médicaux connectés. D’un autre côté, ces préoccupations ont donné un coup de pouce aux startups spécialisées dans la sécurité des appareils et les cycles de financement des carburants pour des entreprises comme Medigate (15 millions de dollars en janvier 2019) et MedCrypt (5,3 millions de dollars en mai 2019).

Tags: FDA, cybersécurité, SweynTooth, IoT, appareil connecté, Bluetooth, Bluetooth Low Energy, Texas Instruments, NXP, Cypress, Dialog Semiconductors, Microchip, STMicroelectronics, Telink Semiconductor