Vulnérabilité sur le système de pompe à insuline Medtronic MiniMed série 600

Le 20 septembre 2022, l’agence américaine Food & Drug Administration a publié un bulletin d’alerte concernant une vulnérabilité dans le système de pompe à insuline Medtronic MiniMed de la série 600.

En effet, une faille dans le protocole de communication entre la pompe et les dispositifs sans fil qui lui sont reliés (émetteur de surveillance continue du glucose (CGM), lecteur de glycémie, périphérique USB CareLink) pourrait permettre à un attaquant d’obtenir un accès non autorisé au système interne de la pompe, lui permettant notamment de modifier le taux d’insuline administré. Afin d’obtenir cet accès, l’attaquant doit auparavant avoir accès physiquement à la pompe à insuline lorsque celle-ci est connectée avec d’autres composants du système.

La FDA rappelle que l’augmentation de dispositifs médicaux reliés à Internet va de pair avec l’accroissement du risque de piratage lié à ces mêmes appareils. Il est par conséquent nécessaire que les fabricants et les établissements de santé travaillent ensemble afin de gérer ces risques liés à la cybersécurité.

Le fabricant Medtronic propose une mesure de contournement :

• Désactiver la fonction « Bolus à distance » sur votre pompe si elle est activée. Cette fonction est activée par défaut sur les pompes à insuline.
• Medtronic a publié un tutoriel, disponible en référence de cet article, permettant de désactiver cette fonction.

Modèles impactés

MiniMedMC 630G : MMT-1715, MMT-1755, MMT-1754

MiniMedMC 670G : MMT-1780, MMT-1781, MMT-1782, MMT-1760, MMT-1761, MMT-1762, MMT-1740, MMT-1741, MMT-1742