Contrôle de l’accès inapproprié au système Omnipod®

19 mars 2020

 

Résumé de la vulnérabilité aux cyberattaques

La sécurité des consommateurs est notre priorité. Insulet a mis en place des contrôles de sécurité, des procédures et des capacités en matière de cybersécurité à la fine pointe et complets pour assurer la sécurité de ses consommateurs et de ses produits. Nous surveillons en permanence le cycle de vie de nos produits pour déceler les risques. Après des tests et des recherches approfondis en collaboration avec une tierce partie indépendante, nous avons découvert une vulnérabilité potentielle sur le plan de la sécurité dans le système de gestion de l’insuline Omnipod® que nous voulons porter à votre attention.

Cette vulnérabilité peut permettre à un utilisateur non autorisé d’accéder au Pod pour intercepter ou modifier les communications par fréquences radio sans fil à destination ou en provenance du gestionnaire personnel de diabète (GPD) ou interférer avec ces communications. Cet utilisateur pourrait même contrôler l’administration d’insuline.

Il est important de noter qu’Insulet n’a reçu aucun signalement confirmé de personnes non autorisées contrôlant l’administration d’insuline à cause de cette vulnérabilité.

Cette vulnérabilité peut permettre à une personne de contrôler le Pod avec un appareil autre que le GPD. Insulet connaît un groupe de personnes diabétiques qui ont été capables de dupliquer le protocole de communication du Pod à l’aide d’un téléphone intelligent et d’un pont, ce qui leur a permis de contrôler le Pod à l’aide d’un appareil non autorisé. Cette pratique est communément appelée Do-It-Yourself (DIY) et n’est pas l’utilisation prévue pour le système de gestion de l’insuline Omnipod. Insulet n’a fourni à la communauté DIY aucun type d’information ou de commentaires sur le produit, pas plus qu’elle n’a reçu d’information prouvant que cette forme d’utilisation non indiquée constitue une utilisation sécuritaire du système.

Cette vulnérabilité N’EXISTE PAS dans le système de gestion de l’insuline Omnipod DASH®.

 

Mesures d’atténuation

Le système de gestion de l’insuline Omnipod® peut être utilisé sans danger avec une ordonnance. Cela dit, Insulet recommande aux clients qui utilisent le produit visé et qui ont des questions à ce sujet de communiquer avec le service d’assistance à la clientèle d’Insulet ou de parler à leur fournisseur de soins de santé des risques liés à l’utilisation continue du produit touché.

Insulet recommande aussi à tous les patients de prendre les précautions de cybersécurité indiquées ci-dessous :

  • Ne pas se connecter à des périphériques tiers ou permettre qu’ils soient connectés à un logiciel non autorisé par Insulet, ni utiliser un tel logiciel;
  • Être attentif aux avis, aux alarmes et aux alertes des pompes; 
  • Annuler immédiatement tout bolus non intentionnel (une seule dose d’insuline administrée en une seule fois);
  • Surveiller de près les taux de glycémie et agir au besoin;
  • Obtenir immédiatement de l’aide médicale en cas de symptômes d’hypoglycémie grave ou d’acidocétose diabétique, ou si l’administration d’insuline a changé de façon inattendue;
  • L’avis complet émis par la ICS-CERT est accessible ici

 

Produits touchés

Le modèle de pompe suivant est vulnérable à ce problème potentiel :

  • Système de gestion de l’insuline Omnipod®

ID produit/numéro de commande : 19191 et 40160

Numéro UDI/modèle/NDC : ZXP425 (boîte de 10) et ZXR425 (boîte de 10, Canada)

 

Ressources supplémentaires

Veuillez appeler votre équipe du service à la clientèle disponible 24 heures sur 24, 7 jours sur 7 :
Canada : 1-855-763-4636