Votre stimulateur cardiaque doit exécuter un logiciel open source
Avis La directrice exécutive de Software Freedom Conservancy (SFC), Karen Sandler, a reçu l’année dernière un doctorat honorifique de la Katholieke Universiteit Leuven de Belgique pour son travail en faveur de l’open source et de la liberté du logiciel.
Il n’y avait qu’un seul problème. Son cœur battait étrangement et elle ne pouvait pas extraire les données du logiciel exclusif de son stimulateur/défibrillateur implanté pour savoir ce qui se passait.
Elle a été obligée de prendre une décision de vie ou de mort qui aurait été beaucoup plus facile si les logiciels propriétaires n’étaient pas la seule option pour les appareils cardiaques. Sandler a fini par y aller et tout s’est bien passé. Cela aurait facilement pu tourner très mal.
Vous voyez, Sandler souffre d’une maladie cardiaque, la cardiomyopathie hypertrophique (HCM). Il s’agit d’une maladie qui ne présente généralement aucun symptôme perceptible, à moins qu’elle ne vous tue. Une chose sérieuse.
Cette fois, cependant, elle présentait un symptôme, un rythme cardiaque irrégulier, qui s’aggravait. De toute évidence, la première chose à faire était d’extraire les données de l’appareil afin que son cardiologue dispose de plus de données pour le traitement.
L’une des raisons pour lesquelles les gens se procurent ces appareils est qu’ils et leur médecin peuvent suivre leur état de santé. Donc c’était facile, non ? Faux.
N’oubliez pas que cela exécute un logiciel propriétaire. Il s’est avéré que personne d’autre qu’un représentant de l’entreprise ne pouvait en extraire des données. Et personne – et je dis bien personne – n’était disponible pour obtenir l’information.
Ce n’est pas un problème rare. Sandler, alias l’avocat cyborg, suit depuis des années l’utilisation de logiciels propriétaires dans les dispositifs médicaux. C’est une image moche.
Tous les dispositifs médicaux implantables (DMI) – et je veux dire tous – utilisent un logiciel propriétaire. Pourquoi c’est un problème? Tu ne peux pas leur faire confiance ?
Comme Sandler me l’a dit : « Tous les logiciels ont des bugs et tous les logiciels sont vulnérables. » En moyenne, selon le Software Engineering Institute, il y a un bug pour 100 lignes de logiciel et ce stimulateur cardiaque dans votre poitrine ? Il contient environ 70 000 lignes de code.
« Les logiciels libres et ouverts tendent à s’améliorer et à devenir plus sûrs au fil du temps », a observé Sandler. Les logiciels propriétaires sont une boîte noire. À moins que vous ne soyez le fabricant, vous n’avez aucune idée de ce que contient réellement le code ou, comme Sandler l’a découvert dans ce dernier épisode, de la manière d’extraire les données de l’appareil si vous n’êtes pas un représentant de l’entreprise.
En passant, ne pensez pas qu’il s’agisse d’une sorte de problème théorique. Ce n’est pas. En 2017, MedSec, une société de sécurité de technologie médicale, a découvert que les défibrillateurs St Jude Medical des laboratoires Abbott pouvaient être attaqués à distance par des pirates informatiques. En conséquence, la Food and Drug Administration (FDA) des États-Unis a rappelé 465 000 de ces appareils.
À peu près au même moment, Johnson & Johnson a admis qu’une de ses pompes à insuline présentait une faille de sécurité, qui pourrait être exploitée pour surdoser des diabétiques en insuline.
En outre, le FBI prévient que les appareils médicaux non corrigés fonctionnent sur des logiciels obsolètes présentant des problèmes de sécurité connus et que les appareils manquent souvent de fonctionnalités de sécurité adéquates. De plus, les configurations par défaut du fabricant sont souvent facilement exploitables et les appareils eux-mêmes ne sont pas conçus dans un souci de sécurité. Leurs fabricants supposent bêtement que les dispositifs médicaux ne sont pas exposés à des menaces de sécurité.
Dans les émissions de télévision, des personnes ont été tuées par quelqu’un qui a piraté leur IMD. Ce n’est pas exagéré. En fait, cela s’est peut-être déjà produit. Comment pourrions-nous le savoir ? Une preuve de concept pour le piratage d’un appareil médical a déjà été présentée au RSA.
Ce ne sont pas seulement les personnes, comme Sandler, qui s’intéressent à l’open source et à la sécurité, qui s’inquiètent de ces problèmes. L’ancien vice-président américain Dick Cheney a désactivé la fonction sans fil de son défibrillateur pour empêcher les tentatives de piratage en 2017.
Comment un attaquant saurait-il que vous disposez d’un IMD ? Eh bien, il s’avère qu’en plus d’être propriétaires, ce sont des appareils bavards. Ils diffusent souvent à distance, sans réelle sécurité.
C’est un vrai problème. C’est déjà assez grave que les porte-clés sans fil puissent être piratés pour que quelqu’un puisse démarrer votre voiture. Je n’ai pas besoin que quelqu’un fasse monter mon stimulateur cardiaque, merci beaucoup.
Ainsi, avant de vous porter volontaire pour que l’interface cerveau-ordinateur Neuralink d’Elon Musk soit implantée dans votre tête, vous voudrez peut-être réfléchir longuement et sérieusement à votre décision. Outre l’avertissement du Comité des médecins pour une médecine responsable (PCRM) concernant le caractère invasif de l’entreprise et ses actions précipitées en matière d’expérimentation animale, le code lui-même est une énigme enveloppée dans un mystère à l’intérieur d’une énigme.
Sandler n’est naturellement « pas à l’aise avec l’idée d’avoir un logiciel propriétaire littéralement vissé dans son cœur ». Qui le serait ?
Pendant des années, elle a tenté d’amener l’industrie des dispositifs médicaux à ouvrir son code, sans grand succès. Tout ce que nous pouvons faire, c’est la soutenir dans cette lutte.
Comme elle l’a écrit : « La manière dont nous nous appuyons sur nos logiciels n’est pas théorique. Elle imprègne tous les aspects de notre vie, et nous devons prendre nos décisions avec soin, sachant que ces choix auront des conséquences immédiates et à long terme.