blood-sugar-management
Conseils pour maintenir la sécurité du système Openaps contre les cybermenaces
Table of Contents
Comprendre le paysage de la cybermenace pour OpenAPS
OpenAPS (Open Artificial Pancreas System) est une technologie ouverte axée sur la communauté qui automatise la livraison d'insuline pour les diabétiques. En connectant un moniteur de glucose continu (CGM), une pompe à insuline et un petit ordinateur (comme un Raspberry Pi ou Intel Edison) utilisant des algorithmes personnalisés, il crée un système en boucle fermée qui ajuste l'insuline en temps réel. Bien que cela améliore considérablement le contrôle glycémique et la qualité de vie, il introduit également un ensemble unique de risques de cybersécurité. Le système est construit sur des protocoles de communication sans fil (Bluetooth, RF, Wi-Fi) et une connectivité Internet pour le partage de données et la surveillance à distance.
Conserver le logiciel et le micrologiciel mis à jour
Les fabricants de composants (pompe, CGM, radio bridge) de la communauté OpenAPS publient régulièrement des correctifs qui corrigent les vulnérabilités de sécurité, améliorent le chiffrement et améliorent la stabilité.
Mettre à jour votre construction OpenAPS
Le logiciel OpenAPS principal est mis à jour via les versions GitHub. Surveillez le officiel OpenAPS de dépôt et inscrivez-vous pour publier des notifications. Lorsqu'une nouvelle version est annoncée, testez-la d'abord sur un environnement de non-production, puis appliquez-la à votre système en direct. Utilisez des outils comme et rebâtissez l'image. De nombreux utilisateurs utilisent des scripts automatisés pour vérifier les mises à jour quotidiennes.
Firmware pour périphériques
Votre pompe à insuline, émetteur CGM et pont radio (par exemple RileyLink, EmaLink ou similaire) ont chacun leur propre firmware. Vérifiez les pages de support du fabricant ou les forums communautaires pour les mises à jour de sécurité. Par exemple, les anciennes versions du firmware RileyLink peuvent avoir un faible appariement Bluetooth; les versions plus récentes imposent une authentification plus forte. De même, les émetteurs Dexcom G6 et G7 reçoivent des mises à jour en direct du firmware via l'application officielle – assurez-vous que votre smartphone ou récepteur les applique rapidement. Si votre pompe est une série Medtronic 7xx, notez que les modèles plus anciens ne sont pas cryptés; envisagez de mettre à niveau une pompe plus récente qui supporte la communication authentifiée.
Activer les mises à jour automatiques en lieu sûr
Pour les composants qui le supportent (par exemple, le système d'exploitation Raspberry Pi ou le système d'exploitation rig), activez les mises à jour de sécurité automatiques. Utilisez le paquet sur Debian/Ubuntu. Pour l'application OpenAPS elle-même, créez une tâche cron pour vérifier les nouvelles versions et vous en informer.
Utilisez des mots de passe forts et uniques
Les mots de passe faibles sont le deuxième vecteur le plus courant après un logiciel obsolète. Votre système OpenAPS peut avoir plusieurs comptes : l'utilisateur Linux rig, le site Nightscout, le compte Dexcom, le code PIN à distance de la pompe et les identifiants Wi-Fi. Chacun doit être distinct et cryptographiquement fort.
Meilleures pratiques en matière de mot de passe
Générer des mots de passe d'au moins 16 caractères, mélanger majuscules, minuscules, chiffres et symboles. Éviter les mots de dictionnaire, les dates ou les modèles de clavier. Utilisez un gestionnaire de mots de passe comme Bitwarden, 1Mot de passe ou KeePassXC pour les stocker en toute sécurité. Ne jamais réutiliser les mots de passe sur différents systèmes.
Sécuriser l'utilisateur Linux de Rig.
Par défaut, le système OpenAPS a souvent un utilisateur nommé avec un mot de passe standard. Changez cela immédiatement. Désactivez également le login SSH basé sur un mot de passe et utilisez uniquement l'authentification par clé. Générez une paire de clés Ed25519 forte et copiez la clé publique sur le système.
Pompe à distance Bolus PIN
Si votre pompe supporte le bolus à distance via le système OpenAPS, le NIP doit être au moins 6 chiffres, pas votre anniversaire ou une séquence commune. Certaines pompes permettent des longueurs variables du NIP; utilisez le maximum. Changez le NIP périodiquement et ne le partagez jamais avec des parties non-fiduelles.
Mettre en œuvre des mesures de sécurité du réseau
Le système OpenAPS communique sur Wi-Fi pour télécharger les données sur Nightscout et recevoir des modifications de configuration. Un réseau d'habitation non sécurisé expose le système aux attaquants locaux ou aux appareils IoT malveillants. Sécurisez le réseau à chaque couche.
Chiffrement Wi-Fi et durcissement du routeur
Utilisez le chiffrement WPA3 si votre routeur le supporte; sinon, WPA2 avec AES seulement (éviter TKIP). Désactiver WPS et UPN, qui sont connus pour être exploitables. Changer le mot de passe SSID et administrateur par défaut. Définissez le pare-feu routeur pour bloquer les connexions entrantes depuis Internet. Si votre routeur ISP est limité, envisagez de placer un routeur plus capable derrière lui ou en utilisant un pare-feu dédié comme pfSense.
Réseau IoT séparé
Créez un VLAN invité ou IoT pour le système OpenAPS et d'autres appareils à domicile intelligents. Cela les isole de vos ordinateurs et téléphones principaux. Même si le système est compromis, l'attaquant ne peut accéder à vos fichiers personnels. Configurez le routeur pour permettre au système d'atteindre uniquement l'internet et votre serveur Nightscout (ou votre instance Nightscout locale) sur des ports spécifiques.
VPN pour l'accès à distance
Si vous avez besoin d'accéder à distance à la plateforme (par exemple pour le dépannage ou les redéfinitions manuelles), utilisez un VPN au lieu d'exposer directement SSH ou l'interface web sur Internet. Configurez WireGuard ou OpenVPN sur la plateforme, ou utilisez un service de tunnelage sécurisé comme Tailscale ou ZeroTier. Ne faites jamais avancer les ports 22, 443, ou 8080 de votre routeur vers la plateforme.
Activité du système de surveillance
OpenAPS enregistre une multitude de données : doses d'insuline, lectures de MCC, décisions de boucles et événements système. Revoyez régulièrement ces journaux pour connaître les tendances inattendues.
Analyse automatisée des registres
Installez un watcher comme sur le rig pour bloquer les tentatives de SSH répétées. Utilisez des outils comme ou pour envoyer des journaux à un serveur central ou envoyez-vous un résumé quotidien. Recherchez des signes d'accès non autorisé : adresses IP inconnues, exécution de commandes inhabituelles ou modifications de configuration en dehors des fenêtres de mise à jour normales.
Mettre en place des alertes
Nightscout peut être configuré pour envoyer des alertes pour des motifs inhabituels, comme des erreurs de communication de pompe répétées ou des changements inattendus dans le taux de base. Intégrez avec IFTTT ou Pushover pour recevoir des notifications de poussée. Si votre appareil le supporte, activez les alertes par e-mail ou SMS lorsque le système détecte un nouveau périphérique sur le réseau Bluetooth ou lorsque la connexion Wi-Fi tombe de façon inattendue.
Registres d'examen Périodiquement
Configurez un rappel hebdomadaire ou bihebdomadaire pour analyser manuellement les journaux. Attention aux messages d'erreur qui indiquent un décryptage échoué, des paquets invalides ou des échecs d'authentification. La communauté OpenAPS a des modèles pour analyser les journaux – utilisez-les pour signaler les événements suspects.
Limiter l'accès et l'utilisation de l'authentification à deux facteurs
Restreindre qui peut interagir avec le système OpenAPS. La plate-forme devrait être physiquement sécurisée, et l'accès à distance devrait nécessiter de multiples preuves d'identité.
Authentification à deux facteurs (2FA) pour la garde-robe
Activez 2FA via votre hébergeur (par exemple Google, GitHub ou Azure AD) ou utilisez un service tiers comme Auth0. Pour vous-même, implémentez TOTP en utilisant des outils comme sur le serveur. Cela empêche un mot de passe divulgué d'accorder l'accès aux données de glucose ou la possibilité de modifier les profils de traitement.
Privilège le moins élevé pour les utilisateurs
Créer des comptes séparés pour chaque personne qui a besoin d'accès (p. ex., soignant, endocrinologue) et attribuer des privilèges minimaux. Par exemple, un compte de visionneur ne devrait lire que des données, et non pas modifier des profils ou déclencher des bolus manuels.
Contrôle de l'accès physique
Si le dispositif est dans un espace partagé, le verrouiller dans une boîte verrouillée ou un tiroir. Désactivez les ports USB et le bouton de remise à zéro si possible. Considérez l'utilisation d'un sceau de faux-sens pour détecter les interférences physiques.
Chiffrement des données au repos et en transit
Les données sanitaires sensibles doivent être chiffrées où qu'elles se trouvent – sur la carte SD rig, lors du téléchargement sur Nightscout et dans les sauvegardes. OpenAPS prend en charge le chiffrement de certains chemins, mais vous devrez peut-être l'étendre.
Chiffrer le stockage Rig=s
Utilisez LUKS (Linux Unified Key Setup) pour chiffrer le système de fichiers racine de rig. Ceci protège les données si la carte SD est volée ou si le rig est perdu. Sur Raspberry Pi, démarrez depuis une racine chiffrée en utilisant – la communauté fournit des scripts. Entrez la phrase de passe manuellement au démarrage, ou utilisez un module TPM pour le décryptage automatisé dans des environnements de confiance.
Chiffrer les transmissions de la veille
Toujours se connecter à Nightscout sur HTTPS/TLS. Utilisez un certificat valide de Let crypt ou un CA de bonne réputation. Évitez les certificats autosignés à moins que vous ayez un réseau interne strict. Pour plus de confidentialité, envisagez d'héberger Nightscout sur votre propre domaine avec une configuration HTTPS forte (TLS 1.3, secret d'avant parfait).
Chiffrement de sauvegarde
Sauvegardez régulièrement les fichiers et les journaux de configuration de rig. Cryptez l'archive de sauvegarde avec un outil comme GnuPG ou avant de le stocker dans le cloud ou sur un lecteur USB. Utilisez une forte phrase de passe différente du mot de passe de rig. Stockez la phrase de sauvegarde dans un gestionnaire de mot de passe.
Communication Bluetooth et radio sécurisées
OpenAPS s'appuie sur Bluetooth Low Energy (BLE) et sur la radio sous-GHz pour parler à la CGM et à la pompe. Ces liens sans fil peuvent être interceptés ou bloqués.
Utilisation de Bluetooth chiffré
Assurez-vous que votre émetteur et pompe CGM prennent en charge le mode de sécurité BLE 1 niveau 3 (encryptage avec authentification).Les pompes Dexcom G6 et G7 et les nouvelles pompes Medtronic comme le 780G, utilisent des liens chiffrés. Si vous utilisez une pompe plus ancienne (par exemple, Medtronic 7xx série ou Omnipod plus ancienne), le protocole radio peut être non chiffré. Dans ce cas, minimisez la portée en maintenant la plate-forme physiquement proche de la pompe et du CGM, et évitez d'utiliser le système dans les endroits publics bondés où un attaquant pourrait être dans la portée radio.
Gestion de la paire Bluetooth
Gardez le rig , Bluetooth, décelable seulement lors du couplage initial, puis désactivez-le. Audit régulier des périphériques appariés via les paramètres Bluetooth de rig , si vous détectez un périphérique inconnu, retirez-le et repairez tous les périphériques avec des touches fraîches. Certains rigs permettent de régler un NIP Bluetooth – utilisez-le.
Blindage de la radiofréquence
Pour une paranoïa supplémentaire, envisager de fermer le gréement dans une petite cage Faraday (un sac en métal) quand il n'est pas utilisé pendant le sommeil ou le voyage. Cela empêche toute communication radio, mais soyez conscient qu'il arrête également le fonctionnement normal.
Éduquez-vous et restez informés
Le paysage de la menace évolue, et la communauté OpenAPS partage constamment de nouvelles techniques de sécurité.
Rejoignez les canaux sécurisés
Participez aux forums communautaires OpenAPS et au canal #security sur le discord ou le slack OpenAPS. Suivez des chercheurs comme ceux du projet OWASP Medical Device Security. Abonnez-vous à des sources de nouvelles sur la cybersécurité qui couvrent les dispositifs de santé IoT, comme le blog KrebsOnSecurity ou les alertes de rappel d'instruments médicaux de la FDA.
Effectuer des évaluations périodiques des risques
Tous les quelques mois, examinez votre posture de sécurité : vérifiez les mises à jour, testez vos sauvegardes, faites pivoter les mots de passe et confirmez que 2FA est toujours actif. Utilisez des outils open-source comme pour scanner votre réseau pour trouver des ports ouverts et pour surveiller le trafic Bluetooth pour détecter les anomalies.
Apprendre des faits réels
Par exemple, la recherche de 2019 qui a démontré une attaque théorique sur une pompe Medtronic , une radio non cryptée, a entraîné des changements dans l'ensemble de l'industrie. Comprendre ces cas vous aide à comprendre pourquoi certaines mesures d'atténuation sont nécessaires. Partagez vos propres expériences dans la communauté pour aider les autres.
Soutien et planification du relèvement après sinistre
La sécurité ne se limite pas à la prévention, elle concerne aussi la résilience. Si une attaque réussit, un plan de sauvegarde robuste vous assure de pouvoir rapidement rétablir une opération normale sans mettre en danger votre santé.
Sauvegardes de configuration régulières
Sauvegardez l'ensemble du répertoire OpenAPS (généralement ) quotidiennement en utilisant un travail cron. Inclure les fichiers de paramètres, le profil et les fichiers journaux. Conservez au moins les 7 dernières sauvegardes. Sauvegardez également la base de données Nightscout (Export de MongoDB) hebdomadaire.
Copies de sauvegarde hors ligne
Stockez une sauvegarde hors ligne chiffrée sur un lecteur USB qui est normalement déconnecté du système. Étiquetez-la avec la date et stockez-la dans une boîte de sécurité incendie. Si le système est détruit ou corrompu, vous pouvez restaurer à partir de la copie hors ligne.
Mode opérationnel d'urgence
Préparez un plan de repli : sachez comment faire fonctionner votre système en mode ouvert (dosage manuel) si la boucle fermée est compromise. Préparez une pompe de secours, un capteur CGM et une banque d'alimentation téléphonique.
Conclusion
La sécurisation d'un système OpenAPS nécessite une approche en plusieurs couches : maintenir le logiciel à jour, utiliser une authentification forte, durcir votre réseau, chiffrer les données, surveiller les anomalies et se préparer aux urgences. Aucune mesure unique n'est infaillible, mais combinée, ils créent une défense en profondeur qui rend les attaques réussies extrêmement difficiles. La communauté OpenAPS est une ressource puissante – s'y appuyer, apporter vos propres idées, et ensemble, nous pouvons garder cette technologie qui change la vie à l'abri des cybermenaces.