L’usage de téléavertisseurs expose des données médicales

Daley Borda, un chercheur en sécurité informatique, a rapporté qu’une plateforme de radioamateur exposée sur internet collectait en temps réel les données médicales et les informations de santé diffusées par les hôpitaux et les ambulances à travers le Royaume-Uni.

La plateforme, opérée dans une maison au nord de Londres par un radioamateur, capturait les ondes radio, les traduisait en texte lisible, puis les affichait sur un écran d’ordinateur. Pour des raisons inconnues, le passionné avait mis en place une caméra connectée pointant vers cet écran. La connexion à cette caméra n’était pas protégée par un mot de passe ; elle était accessible publiquement sur internet. N’importe qui pouvait se connecter sur cette caméra et lire l’ensemble des informations affichées sur l’écran. Continuellement, de nouveaux messages étaient affichés et décrivaient des accidents, des incidents et des urgences médicales, parfois avec les noms, prénoms et adresses des personnes impliquées.

L’information a été rapportée au site d’information TechCrunch qui a alerté le fournisseur d’accès à internet du radioamateur. Celui-ci n’était pas au courant de la nature des informations affichées sur son écran. Il a mis fin à leur diffusion.

L’accès à de telles informations est très simple pour un radioamateur. Dans le cas présent, les ondes étaient captées depuis un Service National de Santé (NHS) proche. À l’aide d’un logiciel basique, il est possible pour un amateur d’intercepter et de décoder ces communications radio. Les communications des téléavertisseurs (« Pagers » ou « Bippers ») n’étant pas chiffrées, tout le contenu des messages est lisible.

Les téléavertisseurs sont encore utilisés au Royaume-Uni car, bien qu’ils soient plus rudimentaires que des téléphones, ils ont l’avantage de fonctionner avec des ondes radio de basse fréquence. Celles-ci ont une portée plus importante que les ondes utilisées par les téléphones, et peuvent  également traverser les murs de bâtiments larges, comme par exemple les murs des hôpitaux. Malheureusement, les téléavertisseurs utilisent pour communiquer les protocoles POCSAG et FLEX qui ne sont pas chiffrés. Il est donc aisé pour un radioamateur d’intercepter ces communications et de comprendre les messages diffusés en utilisant des logiciels libres et gratuits.

Ce n’est pas la première fois que les risques liés à l’utilisation des téléavertisseurs sont dévoilés, plusieurs signalements ont déjà eu lieu. En effet, cette vulnérabilité est connue de la communauté des radioamateurs et des institutions de santé, mais aucune décision n’est prise pour protéger les communications, exposant leurs utilisateurs à des amendes découlant du Règlement Général sur la Protection des Données (RGPD). Les NHS utilisent encore environ 130 000 téléavertisseurs d’après le gouvernement du Royaume-Uni, soit 10% des téléavertisseurs mondiaux. Leur utilisation devrait cependant être arrêtée d’ici 2021.