Disons le d’emblée, malgré le titre tapageur de nos confrères de Bleeping, les données médicales de 400 millions de patients (essentiellement Européens) n’ont pas « fuité » mais seraient, sous certaines conditions, accessibles sur internet. Faille de sécurité, certes, mais intrusion, non.
A l’origine de cette révélation, une série de recherches et de « Google hacking » conduite par l’équipe de Greenbone, un spécialiste Allemand de la gestion/supervision de la sécurité des S.I. en entreprise. Le communiqué original est tout de même un peu anxiogène. Plus de 2300 systèmes d’archivage d’imageries médicales passés au crible, et 600 serveurs répartis dans 52 pays présentant soit des niveaux de protection insuffisants, soit des négligences en matière de colmatage de brèches connues.
Pourquoi cette attention particulière à l’imagerie médicale ? Parce qu’elle s’est « unifiée » autour d’un standard de fait, le format Dicom, dont l’en-tête peut contenir une foultitude d’informations à caractère personnel, relevant indiscutablement du secret médical, et qui n’est pas nécessairement chiffré. La liste des informations s’étend à l’identité du patient, à sa pathologie, au nom du médecin traitant et autres détails administratifs, le tout suivi par l’information graphique (thermographie, radiographie, RMN, tomographie etc.) devant a priori n’être vues que par le ou les praticiens chargés du dossier.
En Italie, ce seraient plus de 5,8 millions d’images qui seraient détectées, dont 1,15 million accessibles, 5,3 millions visibles en France dont 2,6M accessibles, 2,85 millions en Allemagne, « ma in Spagna son gia 53 000 » mais aucune accessible.
Ce pavé dans la mare n’est que le énième concernant le domaine médical qui, de pompes à insuline piratables en stimulateurs cardiaques télé-hackables, de ransomwares (rançongiciels) ciblés en usurpation d’images par les Spam King du monde entier, n’en finit pas de se noyer dans le bourbier de l’informatique « spécifique, taillée sur mesure »… donc propriétaire, hors de contrôle réel en matière de suivi du cycle de vie logiciel.
L’intégralité du rapport via le site Greenbone.