- Lorsque des dispositifs d’assistance médicale sont liés à un logiciel propriétaire, leur fonctionnement, leur réparation et leur support dépendent des décisions du fabricant, qu’il s’agisse d’apps de surveillance de la glycémie, d’aides auditives ou d’implants rétiniens directement connectés au corps
- La panne de LibreLink et l’avertissement autour d’iOS 17 montrent qu’une simple mise à jour d’app ou un changement de système d’exploitation peuvent perturber la consultation de la glycémie et les alertes pour les personnes diabétiques
- Après iOS 15.4, certains utilisateurs d’aides auditives Bluetooth ont rencontré des problèmes d’appairage et de réglages, et dans le cas de Resound, il a fallu attendre des semaines la réponse du fabricant pour une résolution
- Quand Second Sight Medical Products a abandonné la technologie de l’implant rétinien Argus, certains utilisateurs ont perdu toute voie de réparation en cas de panne, et le cas Medtronic montre aussi que les risques de cybersécurité restent liés à la confiance accordée au fabricant
- La FSF estime que le logiciel des dispositifs d’assistance médicale devrait être distribué comme logiciel libre afin que la communauté puisse participer à la correction des bugs, au support de long terme et aux réparations, et cite déjà des exemples comme Tympan, openMHA et OpenAPS
Le contrôle du logiciel qui assiste le corps
- Les logiciels qui contrôlent ou assistent le corps devraient pouvoir être contrôlés par leurs utilisateurs, qui doivent disposer d’un moyen d’agir eux-mêmes quand un appareil cesse de fonctionner ou qu’une mise à jour échoue
- Cela concerne des appareils directement liés au quotidien et aux soins, comme les aides auditives, les pompes à insuline, les yeux bioniques et les pacemakers
- Lorsqu’on dépend d’un logiciel propriétaire, il est difficile de vérifier la cause d’un problème, de le corriger ou de revenir à une version antérieure
- Le logiciel libre signifie que les utilisateurs ont la liberté d’exécuter, copier, distribuer, étudier, modifier et améliorer le logiciel
Panne de LibreLink et risques liés aux mises à jour iOS
- En juillet 2023 au Royaume-Uni, des utilisateurs d’appareils Apple ont subi un dysfonctionnement de leur app de surveillance de la glycémie après qu’Abbott a déployé une mise à jour de l’app LibreLink
- La surveillance de la glycémie est un élément essentiel du traitement permettant aux personnes diabétiques de savoir quand leur taux de sucre est trop bas ou trop élevé
- David Burchell, atteint de diabète de type 1, raconte avoir paniqué lorsque l’app n’affichait plus qu’un écran blanc, et explique qu’après l’avoir supprimée pour tenter de la réinstaller, il n’a plus pu la retélécharger car elle avait été retirée de l’App Store
- Malgré son nom, LibreLink n’est pas une app libre, mais un logiciel propriétaire
- Les utilisateurs dépendent de l’entreprise pour sa maintenance et sa distribution
- Si c’était un logiciel libre, les utilisateurs pourraient eux-mêmes l’exécuter, le copier, le distribuer, l’étudier, le modifier et l’améliorer, ou espérer des correctifs et des partages via une communauté de développeurs et d’utilisateurs
- Si une ancienne version avait été conservée, il aurait aussi été possible d’annuler la mise à jour problématique
- Deux mois plus tard, à l’approche de la mise à jour iOS 17, les utilisateurs des apps FreeStyle LibreLink et Libre 2 se sont retrouvés face au même type de risque
- En septembre 2023, Abbott a averti les utilisateurs Apple qu’iOS 17, via StandBy Mode et Assistive Access Mode, pouvait affecter l’expérience d’utilisation de FreeStyle Libre 2, FreeStyle LibreLink et FreeStyle LibreLinkUp
- Il a été recommandé de désactiver les mises à jour automatiques du système d’exploitation sur les smartphones utilisant ces apps
- StandBy Mode peut parfois bloquer des notifications sensibles au temps, comme les alertes de glycémie, et Assistive Access Mode peut affecter l’activation du capteur ainsi que la modification des réglages d’alerte de l’app
Problèmes d’aides auditives Bluetooth après iOS 15.4
- Au printemps 2022, après la mise à jour de l’iPhone vers iOS 15.4, certains utilisateurs d’aides auditives connectées au téléphone via Bluetooth ont eu des difficultés à appairer leurs aides auditives avec l’app mobile
- Un utilisateur sous le pseudonyme Bushness a rencontré un problème où les curseurs des basses et des aigus de ses aides auditives de marque Resound bougeaient de manière aléatoire après la mise à jour iOS 15.4
- Il a signalé le problème à la fois à Resound et à Apple
- Il a essayé plusieurs solutions sans parvenir à corriger le problème
- Sur les forums Apple non plus, il n’a pas obtenu d’aide au-delà des méthodes déjà tentées
- Si Resound avait libéré son logiciel, la communauté aurait peut-être pu examiner le code et trouver l’origine du problème
- Avec un logiciel propriétaire, personne en dehors de l’entreprise ne peut facilement examiner le code pour comprendre ce qui ne va pas
- Les utilisateurs doivent attendre la réponse du fabricant au lieu de pouvoir compter sur l’aide de la communauté
- Le blogueur spécialisé dans les aides auditives Goeffrey Cooling écrit que, ces dernières années, des mises à jour de firmware ont commencé à être déployées pour les aides auditives, en particulier pour les modèles Bluetooth et les aides auditives « Made For iPhone »
- Les marques d’aides auditives n’expliquent pas toujours le contenu des mises à jour
- Ces mises à jour semblent être diffusées autour des changements du système d’exploitation de l’iPhone
- Il écrit que, chaque fois qu’Apple modifie l’iPhone, des problèmes de connexion avec les aides auditives apparaissent
- Resound a fini par résoudre les problèmes rencontrés par Bushness et d’autres utilisateurs après iOS 15.4, mais cela a pris plusieurs semaines
- Quand un matériel indispensable au quotidien dépend d’un logiciel propriétaire, l’utilisateur reste fortement tributaire du calendrier du fabricant
Quand l’arrêt du support mène à l’impossibilité de réparer
- Si un fabricant d’aides auditives Bluetooth ne fournit pas de mises à jour pour un modèle hors garantie, il peut devenir nécessaire d’acheter un nouvel appareil même si le matériel fonctionne encore parfaitement
- Si les aides auditives embarquaient du logiciel libre, la communauté du logiciel libre pourrait contribuer à la maintenance des mises à jour
- Le cas des implants oculaires de Second Sight Medical Products montre concrètement les risques que l’arrêt du support fait peser sur les utilisateurs
- L’entreprise a abandonné cette technologie en 2020 alors qu’elle faisait face à un risque de faillite
- Terry Byland explique qu’il dépend de la vision fournie par l’implant Argus de première génération depuis 2004 et qu’en cas de problème il n’existe aucun moyen de le réparer
- Barbara Campbell raconte que son implant rétinien a soudainement cessé de fonctionner alors qu’elle se trouvait dans le métro
- Si l’entreprise de dispositifs d’assistance médicale avait publié le code source du logiciel sous une licence libre comme la GNU General Public License v3.0 or later, des développeurs tiers auraient pu aider des utilisateurs comme Terry et Barbara
Pourquoi la législation sur la cybersécurité ne suffit pas
- Avec des dispositifs d’assistance médicale reposant sur un logiciel propriétaire, les utilisateurs dépendent du fabricant non seulement pour les bugs et les mises à jour, mais aussi pour la cybersécurité
- Certains gouvernements tentent de corriger par la loi les problèmes de sécurité des dispositifs médicaux fondés sur des logiciels propriétaires
- Le PATCH Act exige des fabricants demandant l’approbation de la FDA américaine qu’ils démontrent un niveau raisonnable de sûreté et d’efficacité tout au long du cycle de vie des appareils cybernétiques
- Ces lois visent à éviter des cas comme ceux de 2019 et 2021, où des vulnérabilités exposant les pacemakers et les pompes à insuline de Medtronic à des attaques ont été révélées
- Mais avec un logiciel propriétaire, il faut croire que le fabricant détectera, signalera et corrigera les bugs
- La législation seule supprime difficilement cette dépendance, alors que le logiciel libre permet une participation extérieure pour tester les appareils et rechercher des vulnérabilités
Les effets du logiciel libre sur le support de long terme
- Le logiciel libre dans les dispositifs d’assistance médicale peut bénéficier aux patients, à l’environnement et au système de santé
- Le logiciel présent dans les aides auditives, les pompes à insuline et les pacemakers contrôle une partie du corps, donc les utilisateurs devraient pouvoir contrôler ce logiciel
- Le logiciel libre contribue à prolonger la durée de vie des dispositifs médicaux
- La communauté peut corriger des bugs et fournir des mises à jour
- Les patients n’ont pas à dépendre d’un seul fabricant
- Au lieu de jeter un appareil, ils peuvent exercer leur droit à la réparation
- Un support de long terme peut réduire les coûts pour le système de santé et pour les patients
Des exemples existent déjà, mais des lacunes demeurent
- Du côté des aides auditives, il existe déjà des exemples de logiciel libre, comme le logiciel développé par le projet Tympan
- Le projet Open Community Platform for Hearing Aid Algorithm Research, financé par les National Institutes of Health aux États-Unis, a développé la plateforme openMHA pour le traitement des signaux audio en temps réel
- openMHA est sous licence GNU Affero General Public License v3.0
- L’objectif est d’améliorer les systèmes auditifs d’assistance
- D’autres dispositifs d’assistance médicale, comme les pompes à insuline, peuvent eux aussi fonctionner avec du logiciel libre grâce à des projets comme OpenAPS
- Les pacemakers manquent encore de logiciel libre et restent un domaine où la communauté du logiciel libre pourrait contribuer
Appel à partager son expérience avec les dispositifs d’assistance médicale
- Les défenseurs du logiciel libre peuvent informer leur entourage des problèmes posés par le logiciel propriétaire dans les dispositifs d’assistance médicale
- Ils peuvent encourager leurs amis, leurs parents ou leurs grands-parents à demander à leur médecin quel logiciel utilise leur dispositif médical, et à choisir ou réclamer du logiciel libre plutôt que du logiciel propriétaire
- Les expériences liées aux dispositifs d’assistance médicale peuvent être envoyées à campaigns@fsf.org
- Pourquoi utiliser un dispositif d’assistance médicale avec logiciel libre
- Les frustrations liées à un dispositif d’assistance médicale avec logiciel propriétaire
- Ce que le dispositif d’assistance médicale avec logiciel libre devrait améliorer pour rendre la vie plus facile
- L’e-mail doit préciser s’il est possible de publier une partie du témoignage, et une publication anonyme est également possible si souhaitée
- Si parler publiquement de son expérience avec un dispositif d’assistance médicale ne pose pas de problème, il est possible de proposer une session pour LibrePlanet 2024
1 commentaires
Avis sur Hacker News
Si ces quatre libertés ne s’appliquent pas dans le contexte de l’autonomie corporelle, où pourraient-elles bien être plus importantes ?
Vu à l’inverse, cela signifie qu’une partie de votre propre corps ne vous appartient pas, mais vous est seulement concédée sous licence, et que cette licence peut être modifiée ou révoquée au gré du concédant.
Il faudra peut-être légiférer.
Ajoutons que ce ne serait pas sans précédent. Le droit d’auteur et les brevets ne s’appliquent que de manière très limitée aux biens essentiels à la survie en général, comme les recettes de cuisine ou les modèles de vêtements.
Il devrait être illégal de vendre un logiciel dont dépend la vie d’une personne sans donner à l’utilisateur le droit d’examiner et de modifier le code.
J’ai aussi reçu un appareil propriétaire à garder chez moi, qui lit les données du défibrillateur et les transmet à mon cardiologue via le réseau mobile. Lors des contrôles à distance périodiques, je m’assois à côté et j’appuie sur un bouton ; il envoie alors des informations comme les rythmes cardiaques anormaux détectés, le fait qu’un choc ait été administré, ou que la situation soit revenue à la normale sans traitement. Je dois le faire environ 2 à 4 fois par an.
Or, à chaque pression sur le bouton, on me facture 200 dollars. Même s’il n’y a eu aucun événement, ce qui est le cas dans plus de 90 % des situations.
Il n’existe aucune interface me permettant de lire directement les données. Je n’ai aucun moyen de lire moi-même l’appareil, de constater qu’il n’y a eu aucun événement, puis d’informer mon médecin qu’il n’y a rien de nouveau à diagnostiquer.
Je déteste ce système de santé. L’appareil est excellent pour me sauver la vie, mais je devrais pouvoir lire ses données sans payer.
Les logiciels de contrôle sont beaucoup plus complexes. Imaginons par exemple qu’un membre de la famille ne soit pas à l’aise avec la technologie mais utilise une pompe à insuline, tandis qu’un autre membre, technophile et amateur de bidouille, modifie le logiciel de la pompe à insuline pour l’« améliorer ». Ce changement pourrait accidentellement provoquer, pendant le sommeil, une surdose d’insuline et entraîner la mort du proche.
Les règles et les réglementations existent non pas simplement pour créer des règles, mais parce qu’elles ont été écrites dans le sang.
L’objectif de pouvoir modifier librement les logiciels de contrôle dont des vies dépendent est noble, mais je pense que l’approche est mauvaise. Il serait plus constructif que le secteur de l’informatique trouve d’abord comment produire des logiciels qui ne tuent personne, comment garantir par auto-vérification que « validation réussie == personne ne meurt », etc.
Ce n’est absolument pas trivial, et ce domaine ne me semble pas encore suffisamment mûr ni mainstream par rapport à des disciplines comme le génie civil. Si l’on pouvait facilement garantir qu’une modification logicielle ne mène pas à la mort, il serait aussi plus facile d’imposer légalement ce type de liberté.
Bien sûr, les poursuites et le procès varieraient selon l’intention, la juridiction, le niveau de formation et de connaissances, et le type de modification tenté.
Si le fabricant d’un appareil met à jour le logiciel et blesse ou tue quelqu’un, il engage sa responsabilité pénale et/ou civile.
Avant qu’on n’en vienne à dire des choses du genre « il suffit de calculer le coût de la responsabilité et celui d’une ingénierie logicielle correcte… », rappelons qu’au moins dans les procédures civiles américaines, les dommages-intérêts punitifs ont clairement pour but d’aller au-delà du préjudice réel afin de punir le comportement lamentable du défendeur et de l’empêcher, ainsi que d’autres, de recommencer.
Dans la célèbre affaire de la brûlure due au café de McDonald’s, des dommages-intérêts punitifs énormes ont aussi été accordés. Avant le procès, la victime n’avait pas demandé d’indemnisation pour l’immense douleur et les souffrances causées par des brûlures aux organes génitaux ; elle avait seulement demandé la prise en charge des frais médicaux. McDonald’s a refusé.
Le jury a été furieux pour plusieurs raisons : McDonald’s savait que son café était servi à une température bien supérieure aux standards du secteur, savait qu’il avait déjà blessé des personnes, et avait refusé une demande raisonnable d’indemnisation.
Dans ce contexte, le fait que les logiciels médicaux deviennent des logiciels libres/open source semble être une étape nécessaire. Reste à débattre pour savoir si cela suffit à lui seul.
Pour donner un exemple inverse, une pompe à insuline peut avoir un bug, mais si le correctif n’est pas certifié à temps, le patient peut mourir pendant que sa famille regarde sans rien pouvoir faire. Il faut un équilibre.
Je pense que cela relève en partie du droit du patient à choisir d’autres options de traitement[1], une fois qu’on lui a présenté les avantages et les inconvénients. Les patients devraient pouvoir prendre des risques réfléchis.
[1] https://en.wikipedia.org/wiki/Patients'_rights
Je ne sais pas si cela doit passer par la loi, mais il est inacceptable qu’une simple mise à jour logicielle casse une application utilisée par une personne âgée.
Cela dit, l’aspect logiciel libre profite à la communauté et évite que les gens soient liés au destin d’une seule entreprise. Si l’entreprise cesse le support, on peut se tourner vers une société de services en logiciels médicaux qui emploie des experts internes pour aider les utilisateurs d’anciens dispositifs médicaux.
Avec du logiciel libre, c’est au moins possible ; avec du logiciel propriétaire, ça ne l’est pas.
Aucune organisation ne devrait être l’arbitre qui décide de nos informations médicales.
Mais le triste constat, c’est que nous avons toujours sur nous des dispositifs de surveillance portables capables d’accéder à notre état de santé. Nous fournissons volontairement ces informations, et, à force de contenus publicitaires intermittents, cette pratique devient de plus en plus normalisée et acceptée.
Je ne suis pas sûr que ce confort l’emporte sur les problèmes à venir.
Elle permet aux patients de récupérer l’intégralité de leur historique médical auprès de plusieurs établissements de santé et de le stocker localement. Plus besoin de craindre qu’une entreprise monétise les dossiers de santé ou en fasse du data mining.
Apple est bien connu pour gérer la stabilité des logiciels tiers avec une quasi-indifférence. Je n’irais pas jusqu’à dire que ceux qui intègrent Apple dans une stack technologique critique pour la sécurité, font une mise à niveau sans réfléchir, puis se retrouvent avec quelque chose de cassé, « l’ont bien cherché » ; mais c’est un choix vraiment stupide, surtout si l’on a déjà rencontré ce genre de problème auparavant.
Le monde ne tourne pas autour des définitions free/open/libre de la FSF, et LibreLink est lié aux appareils FreeStyle Libre. Ces appareils sont commercialisés autour de l’idée qu’ils vous permettent de « revenir à ce qui compte le plus ».
On devrait évidemment pouvoir acheter une version qui ne repose pas sur un smartphone, non ? Les smartphones ne sont pas assez fiables, et ne pourront pas l’être.
Cet été, mon lecteur externe est tombé en panne, et j’ai dû utiliser une application tierce pour lire les données d’un capteur qui fonctionnait encore.
Je n’utilise pas l’application officielle parce qu’il est impossible de la rendre silencieuse. Dexcom était encore pire : l’application comme le lecteur externe déclenchaient sans arrêt une notification fixe « le capteur expire dans 6 heures », sans aucun moyen de la mettre en sourdine ou de l’ajuster. Elle sonnait à n’importe quel moment de la nuit.
Je vis très bien avec une dépendance à l’insuline depuis 40 ans, et le confort comme les données supplémentaires, notamment les graphiques nocturnes, sont excellents. Que le son soit activé par défaut, c’est normal et cela devrait l’être, mais je dois pouvoir le couper. Je peux aussi accepter une décharge de responsabilité. Ces appareils doivent s’adapter à la vie, pas l’inverse.