Table of Contents

Comprendre le paysage de la cybermenace pour OpenAPS

OpenAPS (Open Artificial Pancreas System) est une technologie ouverte axée sur la communauté qui automatise la livraison d'insuline pour les diabétiques. En connectant un moniteur de glucose continu (CGM), une pompe à insuline et un petit ordinateur (comme un Raspberry Pi ou Intel Edison) utilisant des algorithmes personnalisés, il crée un système en boucle fermée qui ajuste l'insuline en temps réel. Bien que cela améliore considérablement le contrôle glycémique et la qualité de vie, il introduit également un ensemble unique de risques de cybersécurité. Le système est construit sur des protocoles de communication sans fil (Bluetooth, RF, Wi-Fi) et une connectivité Internet pour le partage de données et la surveillance à distance.

Conserver le logiciel et le micrologiciel mis à jour

Les fabricants de composants (pompe, CGM, radio bridge) de la communauté OpenAPS publient régulièrement des correctifs qui corrigent les vulnérabilités de sécurité, améliorent le chiffrement et améliorent la stabilité.

Mettre à jour votre construction OpenAPS

Le logiciel OpenAPS principal est mis à jour via les versions GitHub. Surveillez le officiel OpenAPS de dépôt et inscrivez-vous pour publier des notifications. Lorsqu'une nouvelle version est annoncée, testez-la d'abord sur un environnement de non-production, puis appliquez-la à votre système en direct. Utilisez des outils comme et rebâtissez l'image. De nombreux utilisateurs utilisent des scripts automatisés pour vérifier les mises à jour quotidiennes.

Firmware pour périphériques

Votre pompe à insuline, émetteur CGM et pont radio (par exemple RileyLink, EmaLink ou similaire) ont chacun leur propre firmware. Vérifiez les pages de support du fabricant ou les forums communautaires pour les mises à jour de sécurité. Par exemple, les anciennes versions du firmware RileyLink peuvent avoir un faible appariement Bluetooth; les versions plus récentes imposent une authentification plus forte. De même, les émetteurs Dexcom G6 et G7 reçoivent des mises à jour en direct du firmware via l'application officielle – assurez-vous que votre smartphone ou récepteur les applique rapidement. Si votre pompe est une série Medtronic 7xx, notez que les modèles plus anciens ne sont pas cryptés; envisagez de mettre à niveau une pompe plus récente qui supporte la communication authentifiée.

Activer les mises à jour automatiques en lieu sûr

Pour les composants qui le supportent (par exemple, le système d'exploitation Raspberry Pi ou le système d'exploitation rig), activez les mises à jour de sécurité automatiques. Utilisez le paquet sur Debian/Ubuntu. Pour l'application OpenAPS elle-même, créez une tâche cron pour vérifier les nouvelles versions et vous en informer.

Utilisez des mots de passe forts et uniques

Les mots de passe faibles sont le deuxième vecteur le plus courant après un logiciel obsolète. Votre système OpenAPS peut avoir plusieurs comptes : l'utilisateur Linux rig, le site Nightscout, le compte Dexcom, le code PIN à distance de la pompe et les identifiants Wi-Fi. Chacun doit être distinct et cryptographiquement fort.

Meilleures pratiques en matière de mot de passe

Générer des mots de passe d'au moins 16 caractères, mélanger majuscules, minuscules, chiffres et symboles. Éviter les mots de dictionnaire, les dates ou les modèles de clavier. Utilisez un gestionnaire de mots de passe comme Bitwarden, 1Mot de passe ou KeePassXC pour les stocker en toute sécurité. Ne jamais réutiliser les mots de passe sur différents systèmes.

Sécuriser l'utilisateur Linux de Rig.

Par défaut, le système OpenAPS a souvent un utilisateur nommé avec un mot de passe standard. Changez cela immédiatement. Désactivez également le login SSH basé sur un mot de passe et utilisez uniquement l'authentification par clé. Générez une paire de clés Ed25519 forte et copiez la clé publique sur le système.

Pompe à distance Bolus PIN

Si votre pompe supporte le bolus à distance via le système OpenAPS, le NIP doit être au moins 6 chiffres, pas votre anniversaire ou une séquence commune. Certaines pompes permettent des longueurs variables du NIP; utilisez le maximum. Changez le NIP périodiquement et ne le partagez jamais avec des parties non-fiduelles.

Mettre en œuvre des mesures de sécurité du réseau

Le système OpenAPS communique sur Wi-Fi pour télécharger les données sur Nightscout et recevoir des modifications de configuration. Un réseau d'habitation non sécurisé expose le système aux attaquants locaux ou aux appareils IoT malveillants. Sécurisez le réseau à chaque couche.

Chiffrement Wi-Fi et durcissement du routeur

Utilisez le chiffrement WPA3 si votre routeur le supporte; sinon, WPA2 avec AES seulement (éviter TKIP). Désactiver WPS et UPN, qui sont connus pour être exploitables. Changer le mot de passe SSID et administrateur par défaut. Définissez le pare-feu routeur pour bloquer les connexions entrantes depuis Internet. Si votre routeur ISP est limité, envisagez de placer un routeur plus capable derrière lui ou en utilisant un pare-feu dédié comme pfSense.

Réseau IoT séparé

Créez un VLAN invité ou IoT pour le système OpenAPS et d'autres appareils à domicile intelligents. Cela les isole de vos ordinateurs et téléphones principaux. Même si le système est compromis, l'attaquant ne peut accéder à vos fichiers personnels. Configurez le routeur pour permettre au système d'atteindre uniquement l'internet et votre serveur Nightscout (ou votre instance Nightscout locale) sur des ports spécifiques.

VPN pour l'accès à distance

Si vous avez besoin d'accéder à distance à la plateforme (par exemple pour le dépannage ou les redéfinitions manuelles), utilisez un VPN au lieu d'exposer directement SSH ou l'interface web sur Internet. Configurez WireGuard ou OpenVPN sur la plateforme, ou utilisez un service de tunnelage sécurisé comme Tailscale ou ZeroTier. Ne faites jamais avancer les ports 22, 443, ou 8080 de votre routeur vers la plateforme.

Activité du système de surveillance

OpenAPS enregistre une multitude de données : doses d'insuline, lectures de MCC, décisions de boucles et événements système. Revoyez régulièrement ces journaux pour connaître les tendances inattendues.

Analyse automatisée des registres

Installez un watcher comme sur le rig pour bloquer les tentatives de SSH répétées. Utilisez des outils comme ou pour envoyer des journaux à un serveur central ou envoyez-vous un résumé quotidien. Recherchez des signes d'accès non autorisé : adresses IP inconnues, exécution de commandes inhabituelles ou modifications de configuration en dehors des fenêtres de mise à jour normales.

Mettre en place des alertes

Nightscout peut être configuré pour envoyer des alertes pour des motifs inhabituels, comme des erreurs de communication de pompe répétées ou des changements inattendus dans le taux de base. Intégrez avec IFTTT ou Pushover pour recevoir des notifications de poussée. Si votre appareil le supporte, activez les alertes par e-mail ou SMS lorsque le système détecte un nouveau périphérique sur le réseau Bluetooth ou lorsque la connexion Wi-Fi tombe de façon inattendue.

Registres d'examen Périodiquement

Configurez un rappel hebdomadaire ou bihebdomadaire pour analyser manuellement les journaux. Attention aux messages d'erreur qui indiquent un décryptage échoué, des paquets invalides ou des échecs d'authentification. La communauté OpenAPS a des modèles pour analyser les journaux – utilisez-les pour signaler les événements suspects.

Limiter l'accès et l'utilisation de l'authentification à deux facteurs

Restreindre qui peut interagir avec le système OpenAPS. La plate-forme devrait être physiquement sécurisée, et l'accès à distance devrait nécessiter de multiples preuves d'identité.

Authentification à deux facteurs (2FA) pour la garde-robe

Activez 2FA via votre hébergeur (par exemple Google, GitHub ou Azure AD) ou utilisez un service tiers comme Auth0. Pour vous-même, implémentez TOTP en utilisant des outils comme sur le serveur. Cela empêche un mot de passe divulgué d'accorder l'accès aux données de glucose ou la possibilité de modifier les profils de traitement.

Privilège le moins élevé pour les utilisateurs

Créer des comptes séparés pour chaque personne qui a besoin d'accès (p. ex., soignant, endocrinologue) et attribuer des privilèges minimaux. Par exemple, un compte de visionneur ne devrait lire que des données, et non pas modifier des profils ou déclencher des bolus manuels.

Contrôle de l'accès physique

Si le dispositif est dans un espace partagé, le verrouiller dans une boîte verrouillée ou un tiroir. Désactivez les ports USB et le bouton de remise à zéro si possible. Considérez l'utilisation d'un sceau de faux-sens pour détecter les interférences physiques.

Chiffrement des données au repos et en transit

Les données sanitaires sensibles doivent être chiffrées où qu'elles se trouvent – sur la carte SD rig, lors du téléchargement sur Nightscout et dans les sauvegardes. OpenAPS prend en charge le chiffrement de certains chemins, mais vous devrez peut-être l'étendre.

Chiffrer le stockage Rig=s

Utilisez LUKS (Linux Unified Key Setup) pour chiffrer le système de fichiers racine de rig. Ceci protège les données si la carte SD est volée ou si le rig est perdu. Sur Raspberry Pi, démarrez depuis une racine chiffrée en utilisant – la communauté fournit des scripts. Entrez la phrase de passe manuellement au démarrage, ou utilisez un module TPM pour le décryptage automatisé dans des environnements de confiance.

Chiffrer les transmissions de la veille

Toujours se connecter à Nightscout sur HTTPS/TLS. Utilisez un certificat valide de Let crypt ou un CA de bonne réputation. Évitez les certificats autosignés à moins que vous ayez un réseau interne strict. Pour plus de confidentialité, envisagez d'héberger Nightscout sur votre propre domaine avec une configuration HTTPS forte (TLS 1.3, secret d'avant parfait).

Chiffrement de sauvegarde

Sauvegardez régulièrement les fichiers et les journaux de configuration de rig. Cryptez l'archive de sauvegarde avec un outil comme GnuPG ou avant de le stocker dans le cloud ou sur un lecteur USB. Utilisez une forte phrase de passe différente du mot de passe de rig. Stockez la phrase de sauvegarde dans un gestionnaire de mot de passe.

Communication Bluetooth et radio sécurisées

OpenAPS s'appuie sur Bluetooth Low Energy (BLE) et sur la radio sous-GHz pour parler à la CGM et à la pompe. Ces liens sans fil peuvent être interceptés ou bloqués.

Utilisation de Bluetooth chiffré

Assurez-vous que votre émetteur et pompe CGM prennent en charge le mode de sécurité BLE 1 niveau 3 (encryptage avec authentification).Les pompes Dexcom G6 et G7 et les nouvelles pompes Medtronic comme le 780G, utilisent des liens chiffrés. Si vous utilisez une pompe plus ancienne (par exemple, Medtronic 7xx série ou Omnipod plus ancienne), le protocole radio peut être non chiffré. Dans ce cas, minimisez la portée en maintenant la plate-forme physiquement proche de la pompe et du CGM, et évitez d'utiliser le système dans les endroits publics bondés où un attaquant pourrait être dans la portée radio.

Gestion de la paire Bluetooth

Gardez le rig , Bluetooth, décelable seulement lors du couplage initial, puis désactivez-le. Audit régulier des périphériques appariés via les paramètres Bluetooth de rig , si vous détectez un périphérique inconnu, retirez-le et repairez tous les périphériques avec des touches fraîches. Certains rigs permettent de régler un NIP Bluetooth – utilisez-le.

Blindage de la radiofréquence

Pour une paranoïa supplémentaire, envisager de fermer le gréement dans une petite cage Faraday (un sac en métal) quand il n'est pas utilisé pendant le sommeil ou le voyage. Cela empêche toute communication radio, mais soyez conscient qu'il arrête également le fonctionnement normal.

Éduquez-vous et restez informés

Le paysage de la menace évolue, et la communauté OpenAPS partage constamment de nouvelles techniques de sécurité.

Rejoignez les canaux sécurisés

Participez aux forums communautaires OpenAPS et au canal #security sur le discord ou le slack OpenAPS. Suivez des chercheurs comme ceux du projet OWASP Medical Device Security. Abonnez-vous à des sources de nouvelles sur la cybersécurité qui couvrent les dispositifs de santé IoT, comme le blog KrebsOnSecurity ou les alertes de rappel d'instruments médicaux de la FDA.

Effectuer des évaluations périodiques des risques

Tous les quelques mois, examinez votre posture de sécurité : vérifiez les mises à jour, testez vos sauvegardes, faites pivoter les mots de passe et confirmez que 2FA est toujours actif. Utilisez des outils open-source comme pour scanner votre réseau pour trouver des ports ouverts et pour surveiller le trafic Bluetooth pour détecter les anomalies.

Apprendre des faits réels

Par exemple, la recherche de 2019 qui a démontré une attaque théorique sur une pompe Medtronic , une radio non cryptée, a entraîné des changements dans l'ensemble de l'industrie. Comprendre ces cas vous aide à comprendre pourquoi certaines mesures d'atténuation sont nécessaires. Partagez vos propres expériences dans la communauté pour aider les autres.

Soutien et planification du relèvement après sinistre

La sécurité ne se limite pas à la prévention, elle concerne aussi la résilience. Si une attaque réussit, un plan de sauvegarde robuste vous assure de pouvoir rapidement rétablir une opération normale sans mettre en danger votre santé.

Sauvegardes de configuration régulières

Sauvegardez l'ensemble du répertoire OpenAPS (généralement ) quotidiennement en utilisant un travail cron. Inclure les fichiers de paramètres, le profil et les fichiers journaux. Conservez au moins les 7 dernières sauvegardes. Sauvegardez également la base de données Nightscout (Export de MongoDB) hebdomadaire.

Copies de sauvegarde hors ligne

Stockez une sauvegarde hors ligne chiffrée sur un lecteur USB qui est normalement déconnecté du système. Étiquetez-la avec la date et stockez-la dans une boîte de sécurité incendie. Si le système est détruit ou corrompu, vous pouvez restaurer à partir de la copie hors ligne.

Mode opérationnel d'urgence

Préparez un plan de repli : sachez comment faire fonctionner votre système en mode ouvert (dosage manuel) si la boucle fermée est compromise. Préparez une pompe de secours, un capteur CGM et une banque d'alimentation téléphonique.

Conclusion

La sécurisation d'un système OpenAPS nécessite une approche en plusieurs couches : maintenir le logiciel à jour, utiliser une authentification forte, durcir votre réseau, chiffrer les données, surveiller les anomalies et se préparer aux urgences. Aucune mesure unique n'est infaillible, mais combinée, ils créent une défense en profondeur qui rend les attaques réussies extrêmement difficiles. La communauté OpenAPS est une ressource puissante – s'y appuyer, apporter vos propres idées, et ensemble, nous pouvons garder cette technologie qui change la vie à l'abri des cybermenaces.