Des millions de données médicales, dont des images de radiologie ou des mammographies, ont été mises en ligne sans mesures basiques de protection, selon une enquête de deux médias publiée mardi et confirmée par les autorités allemandes.
Selon ProPublica et la télévision publique allemande BR, au total 16 millions de documents médicaux ont été accessibles « sans protection« , c’est-à-dire sans mots de passe ou chiffrage, et un nombre indéterminé d’entre eux le sont encore. « Plusieurs milliers de données de patients sont accessibles librement sur Internet« , écrit de son côté l’office allemand de la sécurité informatique (BSI) dans un communiqué, ne faisant référence qu’aux 13 000 cas allemands.
Le BSI déplore que « des mesures basiques de sécurité informatique » n’aient pas été « mises en place », mais ne dispose « pas d’informations laissant penser que des données de patients ont été copiées avec un mobile criminel. »
Parmi les éléments cités par l’enquête de BR et ProPublica: noms, dates de naissance, numéros de sécurité sociale, ainsi que des images de radiologie, de mammographies ou encore de scans IRM. Selon les deux médias, au moins 187 serveurs aux Etats-Unis et cinq en Allemagne ont été librement accessibles, même si toutes les données allemandes et certaines américaines sont protégées depuis la semaine dernière. Au total, des lacunes de sécurité ont été identifiées dans près de 50 pays, dont au Brésil, en Turquie et en Inde.
Le BSI a informé des « organisations partenaires » dans 46 pays des problèmes, ajoute l’autorité allemande.
Jusqu’à 24,3 millions de patients concernés
L’information des deux médias se fait l’écho d’une analyse effectuée par des chercheurs de Greenbone Networks. Des centaines de serveurs informatiques qui stockaient les radiographies et les IRM de millions de patients (certains évoquent le nombre de 24,3 millions) seraient si peu protégés que quiconque possédant un navigateur Web ou quelques lignes de code informatique peut consulter les dossiers des patients. Pour tirer ces conclusions, ils ont analysé 2 300 systèmes d’archive d’images médicales dans le monde au cours des deux derniers mois.
David Emm, chercheur en sécurité chez l’expert en cybersécurité Kaspersky, rappelle que le secteur de la santé est une cible pour les cybercriminels : « Selon nos analyses, en 2018, les organismes de santé ont observé que 28 % de leurs appareils médicaux avaient été attaqués. Tous ces dispositifs peuvent devenir la porte d’entrée par laquelle un intrus accède à d’autres parties du système.» Le chercheur rappelle également l’épisode du ransomware Wannacry qui « a paralysé des établissements médicaux et d’autres organisations dans le monde entier. De tels cas pourraient avoir des conséquences humaines dramatiques, en particulier maintenant que l’infrastructure médicale est composée de nombreux appareils, certains d’entre eux portables, connectés à Internet. »