Contrôle d’accès incorrect à Omnipod®

19 mars 2020

 

Résumé des vulnérabilités en matière de cybersécurité

La sécurité des consommateurs est notre plus haute priorité. Insulet a mis en place des contrôles de sécurité, des procédures et des mécanismes de cybersécurité complets et à la pointe de la technologie afin de garantir la sécurité de ses consommateurs et de ses produits. Nous surveillons en permanence le cycle de vie de nos produits en vue de détecter les risques potentiels. Après des recherches et des tests approfondis en collaboration avec une société tierce indépendante, nous souhaitons vous faire part d’une vulnérabilité de sécurité potentielle découverte dans le système de gestion d’insuline Omnipod®.

Cette vulnérabilité peut permettre à un utilisateur non autorisé d’accéder au Pod afin d’intercepter, de modifier ou d’interférer avec les communications RF (radiofréquence) sans fil vers ou depuis le Personal Diabetes Manager – Gestionnaire personnel de diabète (PDM). Un utilisateur non autorisé pourrait alors contrôler l’administration d’insuline.

Il est important de noter qu’Insulet n’a reçu aucun rapport confirmé de contrôle de l’administration d’insuline par des personnes non autorisées par le biais de cette vulnérabilité.

Cette vulnérabilité est susceptible de permettre à une tierce personne de contrôler le Pod à l’aide d’un dispositif autre que le PDM. Insulet a connaissance d’un groupe spécifique de personnes diabétiques qui ont pu dupliquer le protocole de communication du Pod à l’aide d’un smartphone et d’un pont, ce qui permet ensuite de contrôler le Pod à l’aide d’un dispositif non autorisé. Cette pratique est communément appelée « Do-It-Yourself » (DIY) et ne constitue pas l’utilisation prévue du système de gestion d’insuline Omnipod. Insulet n’a fourni à la communauté DIY aucun type d’information ou de contribution sur le produit, et n’a reçu aucune information prouvant que cet usage non autorisé est une utilisation sûre du système.

Cette vulnérabilité n’existe PAS dans le système de gestion d’insuline Omnipod DASH®.

 

Mesures d’atténuation

Le système de gestion d’insuline Omnipod est fiable et peut être utilisé conformément à l’usage prévu sur ordonnance. Cependant, Insulet recommande aux clients qui utilisent actuellement le produit concerné et qui ont des questions à ce sujet de contacter le service clientèle d’Insulet ou de se renseigner auprès de leur médecin sur les risques liés à l’utilisation continue de ce dernier.

En outre, Insulet recommande à tous les patients de prendre les précautions de cybersécurité suivantes :

  • ne pas se connecter ou permettre la connexion de dispositifs tiers et ne pas utiliser de logiciels non autorisés par Insulet.
  • être attentif aux notifications, alarmes et alertes de la pompe.
  • annuler immédiatement tout bolus involontaire (une dose unique d’insuline administrée en une seule fois).
  • surveiller rigoureusement la glycémie et agir en conséquence.
  • consulter immédiatement un médecin en cas de symptômes d’hypoglycémie sévère ou d’acidocétose diabétique, ou si l’administration d’insuline change de façon inattendue.

L’avis complet émis par l’ICS-CERT peut être consulté ici.

 

Affected Products

The following pump model is vulnerable to this potential issue:

  • Omnipod® Insulin Management System

Product ID/Reorder number: 19191 and 40160

Numéro UDI/Modèle/NDC : ZXP425 (paquet de 10) et ZXR425 (paquet de 10 au Canada).

 

Ressources supplémentaires

États-Unis : Veuillez appeler l’équipe du service clientèle d’Insulet :

Disponible 24 h/24 au 800-591-3455

 

International : Veuillez appeler l’équipe du service clientèle de votre pays disponible

24 h/24 et 7 j/7 au numéro suivant :