Logiciels et implants médicaux

Transparence logicielle, atout cœur

d'Lëtzebuerger Land vom 29.07.2010

Les promoteurs des logiciels ouverts ont identifié un nouveau cheval de bataille : celui des implants médicaux. Alors que des quantités croissantes de patients consentent, en principe pour leur plus grand bien, à ce qu’on place dans leur corps un implant médical corrigeant une déficience de leur corps, est-il bien raisonnable pour eux d’accepter que le système d’exploitation de ces appareils soit propriétaire ? Un groupe de défense des logiciels ouverts, le Software Freedom Law Center, vient de publier une étude qui soutient que les systèmes d’exploitation propriétaires pour implants, des systèmes qui par définition ne peuvent pas être inspectés par des experts indépendants, font courir des risques non négligeables aux patients.

L’étude du Software Freedom Law Center met en avant six cas de rappel d’implants médicaux ordonnés par l’agence fédérale compétente, la Food and Drug Administration (FDA) au premier semestre 2010 et portant sur les logiciels intégrés dans ces appareils. Ces cas relevaient de la première catégorie de rappels, à savoir ceux qui sont lancés lorsqu’existe « une probabilité raisonnable que l’utilisation de ces produits ait des conséquences adverses sérieuses pour la santé ou cause la mort ».

L’étude rappelle que les patients confient souvent leur vie à ces appareils, par exemple dans le cas des pacemakers, des défibrillateurs ou des administrateurs de médicaments (notamment d’insuline). Or, argument le centre juridique, il est hautement improbable que la FDA parvienne à évaluer, lors du processus d’homologation, la fiabilité du système d’exploitation embarqué dans ces appareils si celui-ci est propriétaire. Une telle évaluation est en revanche ordonnée, à grands frais, lorsqu’un appareil homologué s’est avéré problématique – c’est-à-dire quand le mal est fait.

Il faut dire qu’un arrêt de 2008 de la Cour suprême des États-Unis, faisant suite à une affaire engagée par des patients contre la société Medtronic Inc. qu’ils accusaient de négligence, a pour effet d’empêcher désormais ceux-ci de poursuivre les fabricants d’implants devant les tribunaux pour obtenir des dommages et intérêts au titre de dys-fonctionnements des implants.

Une solution, estime le centre juridique, est de forcer les fabricants d’implants à rendre le code accessible à tout un chacun. En plus de contribuer à éviter les pannes, fait-il valoir, cette mesure aurait pour conséquence une meilleure protection des données privées em-magasinées dans les implants, des inspections poussées par plusieurs experts ayant pour conséquence de mieux identifier et éliminer les vulné­rabilités exploitables par des hackers.

Certes, aucun système d’exploitation n’est parfait, et les pannes logicielles ne sont pas les seules à causer des problèmes dans un pacemaker ou un défibrillateur. Mais l’idée d’insérer dans son corps un implant susceptible de connaître l’équivalent du fameux « blue screen of death », la fameuse panne fatale du système d’exploitation Windows, fait littéralement froid dans le dos. En 2008, ce sont quelque 350 000 pacemakers et 140 000 défibrillateurs qui ont été implantés aux Êtats-Unis. Le marché des défibrillateurs en particulier a souffert de vastes opérations de rappel, après 212 décès mis sur le compte de pannes de ces implants identifiés entre 1997 et 2003, selon une étude de la Minneapolis Heart Institute Foundation citée par le centre juridique.

Faute de la réforme proposée, argumentent les juristes adeptes de l’Open Software, des personnes mal intentionnées pourront à l’avenir se promener à travers la foule munis d’un appareil pas plus gros qu’un téléphone portable et lancer en toute impunité des attaques contre les utilisateurs d’implants : extraction de données personnelles, interception du trafic de données généré par l’implant, reprogrammation du dispositif de détection des anomalies du battement cardiaque ou encore mise en veille forcée de l’implant avec pour conséquence le vidage rapide de sa batterie – qui ne peut être remplacée que lors d’une opération chirurgicale. Le centre juridique prévient que si la transparence logicielle des implants n’est pas imposée, c’est un « cauchemar » qui se profile à l’horizon.

Jean Lasar
© 2017 d’Lëtzebuerger Land