Contrôle d’accès incorrect à Omnipod®

19 mars 2020

 

Résumé des vulnérabilités en matière de cybersécurité

La sécurité des consommateurs est notre plus haute priorité. Insulet a mis en place des contrôles de sécurité, des procédures et des mécanismes de cybersécurité complets et à la pointe de la technologie afin de garantir la sécurité de ses consommateurs et de ses produits. Nous surveillons en permanence le cycle de vie de nos produits en vue de détecter les risques potentiels. Après des tests et des recherches approfondis en collaboration avec une société tierce indépendante, une vulnérabilité potentielle de sécurité a été découverte dans le système de gestion d’insuline Omnipod® que nous souhaitons porter à votre attention.

Cette vulnérabilité peut permettre à un utilisateur non autorisé d’accéder au Pod afin d’intercepter, de modifier ou d’interférer avec les communications RF (radiofréquence) sans fil vers ou depuis le Personal Diabetes Manager (Gestionnaire personnel de diabète, PDM). Cela peut permettre à un utilisateur non autorisé de contrôler l’administration d’insuline.

Il est important de noter qu’Insulet n’a reçu aucun rapport confirmé de personnes non autorisées contrôlant l’administration d’insuline par le biais de cette vulnérabilité.

Cette vulnérabilité est susceptible de permettre à une tierce personne de contrôler le Pod à l’aide d’un dispositif autre que le PDM. Insulet a connaissance d’un groupe spécifique de personnes diabétiques qui ont pu dupliquer le protocole de communication du Pod à l’aide d’un smartphone et d’un pont, ce qui permet ensuite de contrôler le Pod à l’aide d’un dispositif non autorisé. Cette pratique est communément appelée « Do-It-Yourself » (DIY) et ne constitue pas l’utilisation prévue du système de gestion d’insuline Omnipod. Insulet n’a fourni à la communauté DIY aucun type d’information ou de commentaire sur le produit, et n’a reçu aucune information qui prouve que cette forme d’utilisation non autorisée est une utilisation sûre du système.

Cette vulnérabilité n’existe PAS dans le système de gestion d’insuline Omnipod DASH®.

 

Mesures d’atténuation

Le système de gestion d’insuline Omnipod est fiable et peut être utilisé conformément à l’usage prévu sur ordonnance. Cependant, Insulet recommande aux clients qui utilisent actuellement le produit concerné et qui ont des questions à ce sujet de contacter le service clients d’Insulet ou de se rapprocher de leur professionnel de santé afin de se renseigner sur les risques liés à l’utilisation continue du produit concerné.

En outre, Insulet recommande à tous les patients de prendre en compte les précautions de cybersécurité indiquées ci-dessous :

  • Ne pas se connecter ou permettre la connexion de dispositifs tiers et ne pas utiliser de logiciels non autorisés par Insulet.
  • Être attentif aux notifications, alarmes et alertes de la pompe.
  • Annuler immédiatement tout bolus involontaire (une dose unique d’insuline administrée en une seule fois).
  • Surveiller rigoureusement la glycémie et agir en conséquence.
  • Consulter immédiatement un médecin en cas de symptômes d’hypoglycémie sévère ou d’acidocétose diabétique, ou si l’administration d’insuline a changé de façon inattendue.

L’avis complet émis par l’ICS-CERT peut être consulté ici

 

Affected Products

The following pump model is vulnerable to this potential issue:

  • Omnipod® Insulin Management System

Product ID/Reorder number: 19191 and 40160

Numéro UDI/Modèle/NDC : ZXP425 (boîte de 10) et ZXR425 (boîte de 10 au Canada).

 

Ressources supplémentaires

États-Unis : veuillez appeler l’équipe du service clients d’Insulet disponible 24 h/24 au 800-591-3455

 

International : veuillez appeler l’équipe du service clients de votre pays disponible 24 h/24, 7 j/7, au numéro suivant :