Les données personnelles et médicales de millions de patients en libre accès sur Internet

Greenbone (société allemande de sécurité informatique) a publié hier un article sur l’état de sécurité des serveurs d'archivage et de transmission d’images PACS (Picture Archiving and Communication Systems). Un scan de ces serveurs a permis de mettre en évidence que 590 serveurs dans le monde étaient connectés à Internet sans qu'aucune protection des données personnelles et médicales qui y sont stockées soit mise en place.

Pour réaliser son étude, Greenbone Networks s’est appuyé sur les outils de scan fournis par Shodan.io et Censys.io, pour se focaliser principalement sur les systèmes intégrant le protocole DICOM, un standard technologique basé sur TCP/IP qui permet aux acteurs de la santé d’échanger des données médicales.

Ces 590 serveurs PACS identifiés par Greenbone contiennent plus de 24 millions de données de patients provenant de 52 pays différents. Plus de 737 millions d'images sont liées à des données à caractère personnel, dont environ 400 millions sont accessibles ou facilement téléchargeables sur Internet. De plus, 39 serveurs permettent d'accéder aux données des patients via un Web Viewer HTTP non chiffré et sans aucune protection.

En France, 47.662 dossiers de patients sont accessibles au public, ainsi que plus de 5 millions d’images associées à ces dossiers. Aux États-Unis, ce nombre est supérieur de plusieurs ordres de grandeur avec 13,7 millions de dossiers et 45,8 millions d'images librement accessibles sur Internet.

Il est à noter que parmi les données personnelles divulguées figurent le nom du patient, sa date de naissance, sa date d'examen et certaines informations médicales sur la nature de l'examen. Cette fuite mondiale de données affecte donc les réglementations de protection des données en Europe (RGPD) ainsi qu'aux États-Unis (HIPAA), et toute une série de réglementations légales dans d'autres pays.

D'après une estimation dérivée des précédentes enquêtes sur le vol de données médicales sur menées par diverses autorités de sécurité, la valeur de ces données sur le Darknet serait probablement supérieure à un milliard de dollars US.

Ces données pourraient être exploitées par des attaquants à diverses fins. Il s'agit notamment de publier les noms et les images de personnes afin de nuire à leur réputation, de lier les données à d'autres sources Darknet pour rendre encore plus efficaces l'hameçonnage et le social engineering, de traiter automatiquement ces données pour rechercher des informations sensibles, telles que des numéros de sécurité sociale, afin de préparer un vol d'identité.

L’origine de cette fuite de données étant due à une configuration défectueuse de l'infrastructure et du serveur PACS, plutôt que d'une vulnérabilité logicielle, il est possible de résoudre ce problème par les moyens suivants :

  • Minimiser l'exposition sur le réseau des serveurs d’imagerie;
  • Protéger les serveurs d’imagerie derrière des pare-feu en mettant en place une liste de contrôle d'accès (ACL) pour les adresses IP et/ou les filtres de ports;
  • Mettre en place un accès VPN au serveur PACS pour les accès à distance ;
  • Appliquer le principe du moindre privilège pour les contrôles d'accès ;
  • Appliquer des stratégies de défense en profondeur ;
  • Désactivez les comptes, protocoles et services qui ne sont pas indispensables.

Il est toutefois important de déterminer quelles sont les personnes autorisées à accéder aux données, comme les structures hospitalières ou les médecins généralistes afin de ne pas leur retirer l’accès. Dans tous les cas, Greenbone recommande de faire un inventaire complet des systèmes informatiques et de leurs vulnérabilités, de le tenir à jour, afin de se prémunir de telles configurations défectueuses.