Une vulnérabilité découverte sur les pompes à insuline MiniMed 508 et celles de la gamme Paradigm

Risques

• Atteinte à la confidentialité des données.

Criticité

• Score CVSS : 7.10 (Score de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

• Aucun code d'exploitation connu n'a été diffusé.

Composants & versions vulnérables

• Pompes MiniMed 508 – Toutes les versions sont concernées
• Pompes MiniMed Paradigm 511 – Toutes les versions sont concernées
• Pompes MiniMed Paradigm 512/712  – Toutes les versions sont concernées
• Pompes MiniMed Paradigm 712E – Toutes les versions sont concernées
• Pompes MiniMed Paradigm 515/715 – Toutes les versions sont concernées
• Pompes MiniMed Paradigm 522/722 – Toutes les versions sont concernées
• Pompes MiniMed Paradigm 522K/722K – Toutes les versions sont concernées
• Pompes MiniMed Paradigm 523/723 – Version du logiciel 2.4A ou inférieure
• Pompes MiniMed Paradigm 523K/723K – Version du logiciel 2.4A ou inférieure
• Pompes MiniMed Paradigm Veo 554/754 – Version du logiciel 2.6A ou inférieure
• Pompes MiniMed Paradigm Veo 554CM and 754CM – Version du logiciel 2.7A ou inférieure

CVE

• CVE-2019-10964

Mise en place de correctif de sécurité

• Aucun correctif n'a été proposé pour cette vulnérabilité.

Solution de contournement

• Medtronic recommande par ailleurs aux établissements de santé et aux patients de prendre les précautions de cybersécurité indiquées ci-dessous: 
  • Maintenir un contrôle physique serré de la pompe et des dispositifs raccordés à la pompe ;
  • Ne pas partager le numéro de série de la pompe ;
  • Suivre les notifications et alertes faites sur les usages de la pompe ;
  • Ne pas connecter d'appareils ou de logiciels tiers non référencés par Medtronic ;
  • Déconnecter les périphériques USB CareLink des ordinateurs lorsqu'ils ne sont pas utilisés pour télécharger des données de la pompe.