Le Monde.fr | 08.03.2014 à 03h59 | Par Alexandre Léchenet (Austin, envoyé spécial)
Un pacemaker.
L'implantation d'un défibrillateur automatique sur le cœur d'une militante du logiciel libre peut devenir un cas de conscience. Karen Sandler, avocate spécialisée dans les questions de logiciel libre, a été diagnostiquée à 31 ans d'une cardiomyopathie hypertrophique, pouvant causer une mort subite. Un des remèdes à ce cœur trop gros est la pose d'un implant médical qui relance son cœur au moindre arrêt. Mais le logiciel à l'intérieur de cet implant n'est pas libre de droit.
Vendredi 7 mars, lors du festival « South by Southwest » consacré aux nouvelles technologiques à Austin, elle a présenté son parcours du combattant pour connaître la manière dont fonctionnait son implant. En bonne militante de l'« open source », lors de sa première rencontre avec son médecin, Mme Sandler s'interroge sur le logiciel faisant fonctionner l'implant qui pourrait lui être posé dans la poitrine.
Le médecin, qui en pose un millier par an, n'en sait rien, pas plus que le représentant de l'entreprise fabriquant ces défibrillateurs. La patiente poursuit alors elle-même sa quête auprès des entreprises. Aucune n'est en mesure de la renseigner sur le logiciel à l'intérieur de ces petits implants.
Karen Sandler en 2010
Cependant, rappelle l'avocate, cet accès au code pourrait être bénéfique aux porteurs d'implants médicaux. En moyenne, une ligne de code sur 100 est défectueuse et responsable de « bug ». Et 98 % des erreurs de code pourraient être corrigées si le code pouvait être révisé par le plus de monde possible.
Surtout qu'il est très facile de tirer profit des « bugs » pour pirater ces appareils médicaux, d'autant que la communication entre l'implant et les médecins n'est pas chiffrée. Ainsi, en 2012, inspiré par sa rencontre avec Karen Sandler, Jack Barnaby avait montré, lors d'un événement sur la sécurité informatique, comment il pouvait provoquer à distance une crise cardiaque en prenant le contrôle d'un pacemaker. Depuis, de nombreux exemples de piratage d'implants médicaux ont été produit, parfois simplement grâce à un iPhone.
« LES FABRICANTS DOIVENT RESTER VIGILANTS »
L'agence américaine des produits alimentaires et médicamenteux (FDA), responsable de la mise sur le marché des produits médicaux aux États-Unis, ne supervise pas ces appareils et n'a pas accès à leur code source, l'empêchant de le réviser ou d'en disposer d'une copie. Car en cas de fermeture de l'entreprise responsable de son pacemaker, le patient ne serait plus « supporté » et son implant deviendra non réparable et inutile, puisque personne ne saura comment fonctionne le logiciel interne.
La FDA a néanmoins reconnu le problème en juin 2013 et émis une communication sur ce sujet :
« Les fabricants doivent rester vigilant sur les risques et les dangers associés à leurs dispositifs médicaux, y compris les risques liés à la cybersécurité. Ils sont par ailleurs responsables de la mise en place de mesures d'atténuation appropriées pour améliorer la sécurité des patients et assurer la performance du dispositif. »
La solution, selon Karen Sandler, devenue depuis présidente de la Fondation GNOME (une suite de logiciels libres), serait de publier l'ensemble du code source opérant ces implants médicaux sous licence libre. Au-delà du seul champ médical, elle a rappelé que les logiciels s'immisçaient de plus en plus dans notre vie, qu'ils étaient utilisés pour de nombreuses applications et qu'il faudrait, selon elle, pouvoir garder la main dessus.