Les hôpitaux laissent des millions d’images médicales sensibles exposées en ligne

Plus de 45 millions d’images médicales, notamment des radiographies, des IRM et des scanners, ainsi que les données d’accompagnement qui pourraient identifier les personnes figurant sur ces images, sont exposées en ligne sur des serveurs et des dispositifs de stockage non sécurisés.

Les données médicales exposées fuitant d’hôpitaux et de centres médicaux du monde entier ont été découvertes par la société de cybersécurité CybelAngel, au cours d’une enquête de six mois sur la sécurité des dispositifs médicaux, qui a également révélé que des personnes extérieures pouvaient facilement accéder à des données médicales sensibles.

Si des cybercriminels accédaient à des informations médicales sensibles, ils pourraient les exploiter en les vendant sur le dark web, en faisant chanter des personnes identifiables ou même en utilisant potentiellement les serveurs exposés comme moyen de livrer des ransomwares aux réseaux hospitaliers.

De nombreux appareils médicaux sont vulnérables aux cyberattaques ou à l’exposition de données parce que la technologie est souvent obsolète, et que les budgets consacrés aux technologies de l’information et à la sécurité des soins de santé sont souvent tendus.

Plus de 45 millions de données exposées

Les chercheurs ont découvert plus de 45 millions de cas uniques de fichiers d’imagerie et de communications numériques en médecine (DICOM) accessibles sans outils de piratage ni même mot de passe, simplement laissés visibles sur le web. « Les 45 millions de fichiers sont sur des serveurs non protégés. Ce que nous avons remarqué, c’est que toutes ces données sont exposées pour n’importe qui », affirme David Sygula, analyste senior de la cybersécurité chez CybelAngel, à ZDNet.

Dans certains cas identifiés par les chercheurs, le stockage en réseau non sécurisé (NAS) est la raison pour laquelle des fichiers sensibles peuvent être potentiellement accessibles. L’utilisation des protocoles FTP ou SMB et les failles de sécurité non corrigées peuvent permettre à des personnes extérieures d’accéder aux machines et aux données qui y sont stockées.

Dans d’autres cas, les serveurs et le stockage sont connectés à d’autres périphériques réseau afin de répondre à un besoin fonctionnel, comme l’impression de fichiers. Mais la façon dont ils ont été configurés les transforment en portes dérobées dans les réseaux.

« Disons que vous avez un NAS et que vous devez partager une imprimante, cela crée un accès invité à l’imprimante et toute votre sécurité s’effondre. Car lorsque l’imprimante accède à votre NAS, elle laisse la porte ouverte », explique David Sygula.

Penser à segmenter correctement les réseaux

CybelAngel a identifié des scripts malveillants sur un certain nombre de serveurs examinés. Ce qui suggère que les chercheurs n’ont pas été les premiers à identifier et à accéder aux dispositifs non sécurisés.

Si fouiner dans des informations médicales sensibles comme les radiographies et les scanners est déjà assez intrusif, il est aussi possible que des acteurs malveillants y ayant accès puissent identifier les patients grâce aux métadonnées stockées dans les images, qui pourraient même inclure le nom du médecin, le centre médical, la partie du corps photographiée et le nom ou la date de naissance du patient. Toutes ces informations pourraient potentiellement être exploitées à des fins de fraude ou à d’autres fins malveillantes.

Les chercheurs ont identifié dans le monde entier des serveurs qui font fuiter des données. Malgré tout, ils n’ont pas pu contacter tous les établissements de santé concernés, et c’est pourquoi toutes les statistiques concernant cette recherche ont été publiées de manière anonyme. Mais tous les prestataires de soins de santé devraient considérer cela comme un avertissement pour vérifier la sécurité de leurs réseaux et de leur stockage.

« Cette découverte est préoccupante et prouve que des processus de sécurité plus stricts doivent être mis en place pour protéger la manière dont les données médicales sensibles sont partagées et stockées par les professionnels de santé. Il est impératif de trouver un équilibre entre sécurité et accessibilité pour éviter que les fuites ne deviennent une violation majeure des données », avertit David Sygula.

Pour éviter que les données ne soient exposées, il est recommandé de segmenter correctement les réseaux afin que les équipements de diagnostic critiques, comme les appareils à rayons X et les systèmes de soutien, ne soient pas connectés aux réseaux commerciaux ou publics plus larges, de sorte qu’ils ne soient pas accessibles directement de l’extérieur.

Source : ZDNet.com