Un pirate informatique australien a passé des milliers d'heures à pirater des DRM installés par des fabricants d'équipements médicaux sur des machines CPAP pour créer un programme gratuit qui permet aux patients de réguler le processus de traitement.
Christy Lynn était constamment fatiguée et aprÚs plusieurs mois à essayer de diagnostiquer le problÚme, l'un des médecins a décidé qu'elle avait deviné quel était le problÚme.
«Je ne correspondais à aucune des descriptions des symptÎmes de l'apnée», m'a-t-elle dit par téléphone. - Je suis une femme, je n'ai pas d'excÚs de poids. Personne n'a pensé à me consulter, sauf un médecin qui avait des antécédents médicaux similaires. "
Lynn, qui vit dans l'Arizona rural, a effectué
une oxymétrie de
pouls à la maison pour mesurer les niveaux d'oxygÚne dans le sang, puis a effectué une étude du sommeil. On lui a diagnostiqué une
apnĂ©e , une maladie Ă cause de laquelle les patients arrĂȘtent soudainement de respirer pendant leur temps et qui persĂ©cute le plus souvent les hommes en surpoids. Elle a reçu une machine CPAP (un appareil de ventilation artificielle des poumons Ă pression positive constante) avec un masque - cet appareil souffle de l'air dans la gorge respiratoire afin que les voies respiratoires restent ouvertes - et renvoyĂ©e Ă la maison.
Cependant, un an et demi et trois
somnologues plus tard, ses symptĂŽmes ne se sont pas amĂ©liorĂ©s. Son indice d'apnĂ©e-hypopnĂ©e (AHI), qui dĂ©crit le nombre d'arrĂȘts respiratoires dans un rĂȘve, Ă©tait Ă un niveau «terrible».
«Pas un seul médecin n'a été en mesure de réduire mon AHI et, franchement, aucun d'entre eux n'était particuliÚrement inquiet à ce sujet», a-t-elle déclaré. Elle a commencé à chercher de l'aide sur Google et est
tombée sur le forum
CPAPtalk.com . à ce sujet, les utilisateurs ont parlé du programme SleepyHead.
Ce programme gratuit,
ouvert et certainement non approuvĂ© par la Food and Drug Administration des Ătats-Unis (FDA)
a été le résultat de milliers d'heures de piratage et de développement passées par le seul développeur australien Mark Watkins. En conséquence, il a aidé des milliers de patients souffrant d'apnée à prendre le contrÎle de leur propre traitement auprÚs de médecins surmenés et sous-payés. Le logiciel permet au patient d'accéder aux données de sommeil générées par sa machine CPAP, mais qui se révÚlent généralement inaccessibles, cachées
derriĂšre des formats de donnĂ©es propriĂ©taires qui ne peuvent ĂȘtre lus que par un utilisateur autorisĂ© (mĂ©decin) Ă l'aide d'un programme propriĂ©taire que les patients ne peuvent pas tĂ©lĂ©charger ni mĂȘme acheter. . SleepyHead et les forums soutenus par la communautĂ© tels que CPAPtalk.com et
ApneaBoard.com ont aidé les patients à contourner les fabricants de dispositifs médicaux qui préfÚrent ne pas avoir de tels programmes du tout.
"Je ne peux pas dire Ă quel point mon expĂ©rience dans l'utilisation de CPAP a changĂ© grĂące Ă ce programme. C'est juste le jour et la nuit », a dĂ©clarĂ© Lynn. "Peut-ĂȘtre que je ne suis vivant qu'Ă cause d'elle."
La plupart des machines CPAP modernes gĂ©nĂšrent une Ă©norme quantitĂ© de donnĂ©es lors de leur utilisation. Ils suivent des indicateurs tels que la pression atmosphĂ©rique moyenne, AHI, le nombre moyen d'utilisations par nuit, le taux de fuite d'air sous le masque, «l'indice de restriction de dĂ©bit» et d'autres donnĂ©es dĂ©crivant le fonctionnement de la machine et la qualitĂ© du sommeil du patient. Habituellement, ils sont enregistrĂ©s sur une carte SD, que le patient amĂšne au mĂ©decin tous les six mois (certains appareils modernes peuvent transfĂ©rer des donnĂ©es sans fil vers l'application; mais les donnĂ©es disponibles pour la visualisation dans l'application, comme les patients me l'ont dit, sont rarement aussi dĂ©taillĂ©es que ceux que la voiture recueille rĂ©ellement). Ces donnĂ©es peuvent ĂȘtre utilisĂ©es pour modifier le processus de traitement, augmenter ou diminuer les indicateurs de pression de seuil et d'autres paramĂštres de la machine, ce qui peut amĂ©liorer le rĂ©sultat.
Mais de nombreux médecins, comme plusieurs utilisateurs de SleepyHead me l'ont dit, regardent ces chiffres en passant, puis renvoient les patients chez eux. Plusieurs
Ă©tudes de l' industrie ont constatĂ© une pĂ©nurie de somnologues, ce qui signifie que trĂšs peu de mĂ©decins peuvent fournir aux patients les soins spĂ©ciaux dont beaucoup ont besoin. Une Ă©tude de 2015 de l'American Academy of Sleep Medicine a rĂ©vĂ©lĂ© "une grave pĂ©nurie de professionnels certifiĂ©s de la mĂ©decine du sommeil" et a notĂ© que "dans certaines rĂ©gions des Ătats-Unis, ce domaine de la mĂ©decine est mal ou pas du tout soutenu".
Thomas Penzel, physiologiste du sommeil, directeur de recherche Ă l'European Society for Sleep Research, m'a dit par courrier "qu'il pense que tout patient intelligent peut faire ce qu'il veut".
«Le patient peut ajuster la pression s'il comprend ce qu'il fait. Certains de nos patients ont ajustĂ© leur pression par eux-mĂȘmes », a-t-il ajoutĂ©. "Si quelque chose ne va pas, ils peuvent mourir au lit." C'est leur risque personnel. Le CPAP n'est pas un jouet, mais un outil mĂ©dical. »
Il a reconnu que la plupart des patients souffrant d'apnée dans le monde ne reçoivent pas suffisamment de soins. "Les médecins ne les écoutent pas et ils n'ont pas le temps - et ainsi de suite dans le monde."
«Le médecin vous demande d'apporter une puce ou une carte, la lit, mais ne lit pas pour le diagnostic. Il le lit pour suivre les rÚgles de la compagnie d'assurance afin de s'assurer que vous utilisez la voiture », m'a dit Steve Levin, un utilisateur de SleepyHead en Californie. "Tout le monde essaie de vous accepter, de vous envoyer et de réaliser un profit à vos dépens."
Certaines machines CPAP permettent aux patients de voir des données fragmentaires sur l'écran, mais peu de machines donnent aux patients un accÚs réel à toutes les données qu'ils collectent. Un fabricant de CPAP populaire, ResMed, lance le logiciel d'analyse de données ResScan, qui, en raison
des exigences lĂ©gales, ne peut ĂȘtre obtenu que si vous ĂȘtes un professionnel de la santĂ© ou «sur ordre d'un mĂ©decin».
Une telle approche prohibitive du traitement des données d'apnée et de CPAP a conduit à l'émergence de toute une direction de CPAP auto-cassante et de changements de paramÚtres.
La plupart des discussions sur les forums CPAPtalk.com et ApneaBoard.com, dont le dernier compte environ 71000 utilisateurs enregistrĂ©s, tournent autour de SleepyHead, qui dĂ©code les donnĂ©es crĂ©Ă©es par les machines CPAP et permet aux patients ordinaires de les utiliser. Le logiciel dĂ©chiffre littĂ©ralement les donnĂ©es: Watkins a trĂšs difficilement craquĂ© les formats de donnĂ©es propriĂ©taires pour chaque machine CPAP individuelle que le logiciel prend dĂ©sormais en charge. Ces formats sont destinĂ©s Ă ĂȘtre lus uniquement par les propres programmes des fabricants.
"Toutes les machines ont des contrĂŽles intĂ©grĂ©s avec des signatures et des sommes de contrĂŽle des formats de donnĂ©es, certains sont plus difficiles, certains sont plus simples", m'a dit Watkins. - Le piratage du format de fichier est un processus complexe qui nĂ©cessite des donnĂ©es pour la comparaison, Ă la suite de quoi il est nĂ©cessaire de modifier les paramĂštres dans le menu de la machine ou de travailler sur des rapports PDF crĂ©Ă©s par des programmes commerciaux basĂ©s sur des ensembles de donnĂ©es connus qui doivent d'abord ĂȘtre mendiĂ©s et collectĂ©s auprĂšs de personnes ayant accĂšs Ă machine et logiciel. "
Watkins a commencé à travailler sur le projet SleepyHead il y a sept ans, en s'intéressant aux «secrets interdits» de la carte SD de sa propre machine. Depuis lors, SleepyHead est devenu vital pour la communauté de l'apnée.
"Au fil du temps, j'ai été de plus en plus dégoûté par la façon dont l'industrie CPAP utilise et abuse des problÚmes des gens, et le besoin d'un outil d'analyse CPAP gratuit qui se concentre sur les données et prend en charge tous les formats est devenu apparent."
*
Les mesures techniques de protection des droits d'auteur utilisées pour restreindre l'accÚs aux données aux utilisateurs d'appareils sont répandues dans une grande variété d'industries. Le problÚme auquel les utilisateurs du CIPAP sont confrontés est similaire aux problÚmes des
agriculteurs qui doivent réparer les tracteurs John Deere, aux problÚmes des propriétaires de
machines à café
Keurig qui ne préparent le café qu'à partir de capsules autorisées, et aux problÚmes des
spĂ©cialistes indĂ©pendants en rĂ©paration d'Ă©lectronique qui sont de plus en plus gĂȘnĂ©s dans la rĂ©paration des
iPhones ,
Macbooks , serveurs, climatiseurs,
aspirateurs et appareils connectés à l'Internet des objets.
Les utilisateurs de CPAP, en particulier Watkins, font partie d'un nouveau mouvement de patients essayant de reprendre le contrÎle de leurs données. Hugo Campos, un activiste, a
parlé à TEDx en 2011 de son droit d'accéder aux données générées par son stimulateur cardiaque, et
Nightscout a lancĂ© une application de craquage DRM qui empĂȘchait les patients de surveiller Ă distance la glycĂ©mie de leurs enfants.
Les fabricants d'appareils médicaux sont généralement mécontents du mouvement naissant, mais ce que Watkins fait pour le projet SleepyHead ne viole pas la loi.
En 2015, la Coalition des chercheurs en dispositifs médicaux dirigée par Campos a
adressé une pétition à la Library of Congress et au U.S. Copyright Office pour exiger une exception
à la Digital Age Copyright Act (DMCA), la plus importante loi américaine sur le droit d'auteur qui autoriserait les patients. casser légalement leurs dispositifs médicaux pour la recherche en matiÚre de sécurité et pour accéder aux données qu'ils créent.
L'industrie mĂ©dicale a fait valoir que «les patients qui accĂšdent directement aux donnĂ©es de leurs appareils peuvent ne pas comprendre le format des donnĂ©es ou ne pas les interprĂ©ter de maniĂšre incorrecte. Les droits d'accĂšs aux donnĂ©es doivent ĂȘtre garantis par les prestataires de soins de santĂ©. »
Campos "a suivi ses donnĂ©es de stimulateur cardiaque avec Google Spreadsheet - ce n'est pas la meilleure option pour le patient", a dĂ©clarĂ© Andrew Sellars, un avocat du Berkman Center for Internet and Community Ă Harvard, reprĂ©sentant les droits de Campos. - Le stimulateur cardiaque transmet des donnĂ©es Ă la station de base. Il a inventĂ© pour intercepter ce signal afin de dĂ©couvrir ce que faisait son cĆur. »
Les fabricants de dispositifs médicaux ont lutté frénétiquement contre la pétition Campos et Sellars: «Les fabricants de dispositifs médicaux ont adopté la position suivante: les données sont dans un format protégé par le droit d'auteur qui relÚve du DMCA», a ajouté Sellars, désormais directeur de la Clinique de droit cybernétique et technologique.
Lâorganisation professionnelle AdvaMed, faisant pression pour les intĂ©rĂȘts de lâindustrie mĂ©dicale, a lancĂ© une
pĂ©tition bloquant la demande de Kampos, dĂ©clarant que «les patients qui ont un accĂšs direct aux donnĂ©es sur leurs appareils peuvent ne pas comprendre le format des donnĂ©es ou lâinterprĂ©ter de maniĂšre incorrecte. "Les droits d'accĂšs aux donnĂ©es doivent ĂȘtre garantis (et sont dĂ©jĂ garantis) par le biais d'un personnel mĂ©dical disposant des outils appropriĂ©s, formĂ© pour collecter et protĂ©ger les donnĂ©es des patients qui ne violent pas la sĂ©curitĂ© et le fonctionnement Ă long terme de leurs appareils."
L'organisation a également fait valoir qu'une exception qui légaliserait l'accÚs des patients aux données présenterait des risques pour la santé et la vie privée des patients et pourrait «accélérer le processus de décharge de la batterie».
La Medical Alley Association , un autre fabricant de dispositifs médicaux, a fait valoir que "si vous acceptez cette exception, elle perturbera directement l'interaction des médecins et des patients, incitant les patients à prendre des décisions sans le soutien de leur fournisseur de soins de santé".
Pendant ce temps, la FDA a
signalĂ© au U.S. Copyright Bureau que tout appareil modifiĂ© par l'utilisateur ne pouvait pas ĂȘtre annoncĂ© ou revendu sans l'approbation de la FDA, et que si le patient Ă©tait blessĂ© en raison de la machine changĂ©e, il serait difficile pour l'agence de dĂ©terminer si le fabricant Ă©tait Ă blĂąmer ou non. qui a modifiĂ© le logiciel. Mais Ă la fin, la FDA n'a pas essayĂ© d'interfĂ©rer avec l'adoption de l'exception: "La FDA recommande que la conclusion finale indique que rien en elle n'affectera la rĂ©glementation des produits dans la juridiction d'autres agences fĂ©dĂ©rales."
La grande victoire du consommateur a été que la BibliothÚque du CongrÚs a
permis de légaliser cette exception, non seulement pour Campos essayant d'accéder aux données du stimulateur cardiaque, mais aussi pour le piratage sur lequel Watkins travaille dans le cadre du projet SleepyHead. Cette année, l'exception a été mise à jour et aucun des fabricants de dispositifs médicaux n'a interféré avec cela. Aucun des fabricants de CPAP n'a accepté de commenter la situation pour cet article.
*
Mais ce n'est pas parce que le piratage des machines CPAP pour accéder aux données est légal que les fabricants faciliteront cette tùche. Watkins dit que sans fuite, le piratage d'un nouveau format de données (et la plupart des fabricants en ont un) peut prendre des centaines d'heures. Il utilise l'éditeur hexadécimal
Synalize It! pour analyser les formats de données et la rétro-ingénierie grùce à des données validées envoyées à Watkins par ses initiés familiers.
"Par expĂ©rience, obtenir la documentation d'un fabricant sans signer un accord de confidentialitĂ© n'est pas plus facile que d'obtenir du sang d'une pierre", a dĂ©clarĂ© Watkins. "La plupart ignorent mes e-mails, certains en veulent mĂȘme Ă mes tentatives."
Les utilisateurs du CIPAP demandent rĂ©guliĂšrement Ă Watkins de pirater leur machine, et il est venu au point que Watkins a dĂ» arrĂȘter de dĂ©velopper le programme principal afin de passer tout le temps Ă supporter de nouveaux appareils. Bien qu'il ait fait la plupart du travail de dĂ©veloppement de logiciels et de piratage, d'autres membres de la communautĂ© l'aident dans certains projets, et parfois il y a des tentatives de piratage conjointes, lorsque les utilisateurs comprennent ensemble des formats de donnĂ©es particuliĂšrement dĂ©licats.
"Les oxymÚtres de Contec étaient trÚs intéressants à casser, j'ai fait le piratage du protocole 7, assis aprÚs toute la nuit, quelques autres pirates m'ont envoyé des données d'interception à partir de ports série, aidant à casser des protocoles en utilisant du code python, vérifier l'importation de données dans SleepyHead", a déclaré il l'est.
Des milliers d'heures de développement n'ont pas été vaines pour Watkins - selon lui, il souffre périodiquement de symptÎmes d'épuisement professionnel, le développement de SleepyHead est saccadé et dépend de sa propre santé et de son emploi (il cherche maintenant un travail de développeur rémunéré).
«Je n'ai pas travaillĂ© parce que j'Ă©tais chef de famille, je me suis assis avec ma fille, et bien que cela ait profitĂ© au projet SleepyHead et Ă ma fille, Ă long terme, cela n'a pas profitĂ© au bien-ĂȘtre de ma famille», a-t-il dĂ©clarĂ©. - Au cours des sept derniĂšres annĂ©es, j'ai Ă©tĂ© principalement soutenue par ma femme, qui m'a patiemment traitĂ© et soutenu mon travail sur le projet, mais maintenant ma santĂ© s'est amĂ©liorĂ©e et ma fille a grandi - et il ne me reste plus qu'Ă assumer la responsabilitĂ© de la famille d'abord et Ă revenir travailler. Et jusqu'Ă ce que j'entre dans le rythme et que je trouve un emploi qui gĂ©nĂšre des revenus et qui convient Ă ma situation, je devrai temporairement retarder le dĂ©veloppement du projet. »
Il a dit qu'il voulait créer une machine CPAP en circuit ouvert, sans DRM, qui serait facile à réparer.
«Je suis trÚs heureux que mon travail aide les autres, je suis heureux de recevoir des paroles de soutien, des dons, des exemples de données de leur part, de ressentir leur désir d'attendre malgré le développement lent - tout cela m'a aidé à rester motivé», a-t-il déclaré. «Je suis fier de mes réalisations, malgré le fait que je l'ai fait sans soutien commercial.»
Lorsqu'une nouvelle machine est piratĂ©e et ajoutĂ©e Ă la liste des machines prises en charge, cela est notĂ© dans le groupe Facebook et sur les forums CPAPtalk et Apnea Board, ce qui est Ă©galement extrĂȘmement important pour les patients: la base d'utilisateurs des forums aide les nouveaux patients Ă comprendre les donnĂ©es fournies par SleepyHead. Il aide Ă©galement les patients Ă dĂ©cider des changements Ă apporter Ă leur thĂ©rapie et de la façon dont leurs machines doivent ĂȘtre rĂ©glĂ©es (les menus avec des changements de paramĂštres sont souvent masquĂ©s, et seuls les mĂ©decins devraient gĂ©nĂ©ralement y avoir accĂšs).
"Le principal objectif du conseil d'apnée est de promouvoir" l'autonomisation des patients "lorsque le patient est activement impliqué dans le traitement de son apnée", m'a dit SuperSleeper, qui a fondé le forum en 2004. - L'industrie de l'apnée dans son ensemble est surchargée et n'est pas en mesure de fournir le service personnalisé dont de nombreux utilisateurs CPAP ont besoin. "Ils font un excellent travail en organisant des événements pour lesquels vous pouvez obtenir de l'argent (recherche sur le sommeil, rendre visite à un médecin, vendre un appareil CPAP et des produits connexes), mais ils n'ont pas le temps et les incitations financiÚres pour aider à résoudre les problÚmes et problÚmes qui surviennent avec les utilisateurs CPAP pendant le traitement."
Le conseil d'apnĂ©e est devenu un bastion d'informations et d'experts en apnĂ©e autodidacte. Le forum a une section privĂ©e oĂč les utilisateurs peuvent tĂ©lĂ©charger des instructions destinĂ©es aux mĂ©decins. Ils ont enregistrĂ© comment entrer dans le «menu clinique», dans lequel ils peuvent modifier les paramĂštres CPAP en fonction des informations sur leur thĂ©rapie disponibles sur SleepyHead.
«Apnea Board distribue librement les instructions cliniques, publie les« secrets »des appareils CPAP afin que nos utilisateurs puissent apprendre et, s'ils le souhaitent, prendre le contrĂŽle de leur propre thĂ©rapie d'apnĂ©e entre leurs mains, m'a dit SuperSleeper. "ConnaĂźtre ces" secrets ", il suffit d'entrer simplement dans le" menu clinique "et de programmer la plupart des machines CPAP, bien que les fabricants compliquent progressivement cette tĂąche pour les patients, et certaines machines devront ĂȘtre un peu" piratĂ©es ".
Levine et Lynn disent que SleepyHead et les forums ont complÚtement changé leur vie et leurs thérapies. "AprÚs avoir posé le premier diagnostic, vous vous sentez seul", a déclaré Levin. - Sur le forum, les gens écrivent: Hé, c'est ce qui m'est arrivé hier soir, et c'est ce que j'ai fait. Que recommandez-vous? "
Lynn a dĂ©clarĂ© que lorsque ses mĂ©decins ont analysĂ© ses donnĂ©es, ils ont examinĂ© la moyenne au cours des six derniers mois, et non des nuits simples, ce qui pourrait ĂȘtre pire que les autres: «Ils ne creusent pas dans les endroits oĂč vos problĂšmes surviennent. SleepyHead , â . â , . , . , ».
, , , , , , ; , , , , , .
, â , , , . « 62, , , , â . â . , , ».