A priori, ils savaient qu’ils allaient forcément tomber sur quelque chose, mais il semble qu’ils aient été vraiment surpris par l’ampleur des fuites de données médicales qu’ils ont découvertes.
Sur les 2 300 systèmes d’archivage examinés, 590 étaient accessibles depuis Internet, révélant ainsi 24 millions de dossiers médicaux dans 52 pays.
Ces données médicales étaient associées à 737 millions d’images de type rayons X, scanner et IRM, dont 400 millions dans un état tel qu’elles pouvaient être téléchargées et visualisées à l’aide d’un logiciel facilement disponible.
Juste pour souligner un peu plus le manque de soin et d’attention constaté, 39 autres systèmes étaient si faiblement sécurisés qu’ils permettaient l’accès aux données médicales en utilisant un moyen pas plus sophistiqué qu’un navigateur web avec un protocole HTTP basique.
Aux États-Unis, les données médicales exposées concernaient 45,8 millions d’images médicales, associées à 13,7 millions de dossiers, donnant ainsi presque l’impression que les chiffres du Royaume-Uni, soit 5 000 images et 1 500 dossiers médicaux, n’étaient pas si mauvais que cela.
Il est clair qu’une telle situation n’est pas acceptable, non seulement parce qu’un volume important de données médicales et d’images ont été exposées, mais aussi parce qu’il a fallu attendre qu’une entreprise de sécurité tire la sonnette d’alarme.
Internet peut vous voir à présent !
Mais qu’est devenu le secret médical ?
Et pourquoi ne disposons-nous pas de réglementations aussi strictes que le HIPAA (Health Insurance Portability and Accountability Act) américain et le RGPD de l’Union européenne pour empêcher qu’une telle situation ne se produise ?
En fait, de telles protections existent certainement, mais l’ampleur du problème et la possibilité que les contrôles techniques soient mal configurés ou oubliés ont tout simplement laissé trop de failles, impossibles à gérer par une simple réglementation.
Commençons par le système utilisé pour rendre toutes ces images accessibles aux personnes mal intentionnées, le PACS (Picture Archiving and Communication Systems) qui repose sur un protocole appelé DICOM (Digital Imaging and Communications in Medicine).
En termes simples, PACS désignent les serveurs sur lesquels les images sont stockées, tandis que DICOM offre un moyen universel de stocker, transmettre et visualiser des images médicales dans un format standard.
Toutefois, cette standardisation et l’utilisation de 2 300 adresses IP connues communiquant entre les ports 104 et 11112 facilitent l’utilisation d’outils tels que Shodan et Censys pour rechercher des serveurs exposés.
Une fois qu’une telle recherche est effectuée, il vous suffit de visualiser les images exposées et les données médicales associées, et de disposer d’un peu de temps pour vous y consacrer.
Entre-temps, les hôpitaux et les médecins ont pris l’habitude de pouvoir déplacer des images et de les stocker dans des bases de données interconnectées.
Selon Greenbone, les données médicales stockées liées à des images exposées pourraient contenir les éléments suivants :
- Nom et prénom
- Date de naissance
- Date d’examen
- But de l’examen
- Type de protocole d’imagerie
- Médecin présent
- Institut/clinique
- Nombre d’images générées
Des Vulnérabilités (encore et toujours !)
Comme avec tout système de serveur, les systèmes PACS et DICO peuvent présenter des vulnérabilités logicielles compromettant la sécurité. Ainsi, l’entreprise en a trouvé 10 000 sur les serveurs, dont 2 000 classées dans les catégories “gravité élevée” et “critique”.
Cette découverte, et le nombre de serveurs offrant toute une série de problèmes de sécurité et de mauvaises configurations, peut donner une idée des réelles causes.
Pour être franc, nous pensons que bon nombre de ces serveurs sont configurés puis oubliés ou du moins patchés de manière irrégulière.
Il s’agit peut-être d’un problème causé par la fragmentation des soins de santé privés dans des pays tels que les États-Unis, ou bien peut-être que les équipes IT médicales sont débordées et partent du principe, plutôt dangereux, que personne n’a encore essayé de lancer une attaque à grande échelle sur ces données médicales, car tout simplement elles n’intéressent par de potentiels cybercriminels.
Pour les organisations médicales qui ont la chance d’être passées à côté de ces attaques jusqu’à présent, il est encore temps d’agir !
Billet inspiré de Researchers find 737 million medical images exposed on the internet, sur Sophos nakedsecurity.