Recevez chaque jour toute l'actualité du numérique

x

A cause de serveurs mal sécurisés, plus d'un milliard d'images médicales sont exposées sur internet

Vu ailleurs Plus d'un milliard d'images médicales – dont la majorité concerne des patients américains – sont librement accessibles en ligne, selon un rapport de la société allemande spécialiste en cybersécurité Greenbone. La faute à des serveurs mal sécurisés par les hôpitaux et les centres médicaux ou d'imagerie. 
Twitter Facebook Linkedin Flipboard Email
×

A cause de serveurs mal sécurisés, plus d'un milliard d'images médicales sont exposées sur internet
A cause de serveurs mal sécurisés, plus d'un milliard d'images médicales sont exposées sur internet © Unsplash/Umanoide

Chaque jour, des millions de nouvelles images médicales se répandent sur internet, rapporte TechCrunch dans un article publié le 10 janvier 2020. Et l'explication n'a rien de compliqué : les hôpitaux, les centres médicaux et d'imagerie sécurisent mal leurs serveurs. En conséquence, plus d'un milliard d'images médicales de patients sont librement accessibles sur internet.

 

Les Etats-Unis sont les premiers concernés

On trouve principalement des images de radiographies, d'IRM et d'échographies qui proviennent de 52 pays. Les Etats-Unis arrivent en tête avec 13,7 millions d'ensembles de données et 45,8 millions d'images librement accessibles. En Europe, cinq serveurs allemands seraient concernés et 5000 images au Royaume-Uni. Aucune information n'a été donnée sur la situation en France.

 

TechCrunch fonde son enquête sur un rapport de Greenbone Networks, une société allemande de sécurité en ligne, qui a trouvé 720 millions d'images médicales en ligne en septembre 2019. Deux mois plus tard, en novembre 2019, Greenbone affirme que la situation a empiré. Le nombre de serveurs exposés avait augmenté de moitié pour arriver à plus d'un milliard de données.

 

Suite à cette découverte, le spécialiste allemand a alerté une centaine d'hôpitaux et centres médicaux. Et leur réaction est assez inquiétante. Les plus petites structures ont globalement pris en compte les remarques et ont sécurisé leur système. A l'inverse, les plus gros acteurs – qui comptent pour 20% des images exposées – n'ont eu aucune réaction.

 

En cause : des serveurs mal sécurisés

"Cela semble empirer chaque jour. La quantité de données exposées continue d'augmenter même si l'on considère celles mises hors ligne en raison de nos découvertes", s'est inquiété Dirk Schrader, directeur de la recherche à Greenbone. Si le personnel médical n'agit pas, il estime que le nombre pourrait atteindre très rapidement "des sommets".

 

Seule solution : sécuriser les serveurs qui stockent les images médicales. En effet, le problème vient d'une faille de sécurité liée au format des fichiers, le "Digital imaging and communications in medicine" (DICOM). Il s'agit d'une norme internationale pour la gestion informatique des données issues de l'imagerie médicale. Lors de sa création en 1985, l'American College of Radiology et la National Electric Manufacturers Association voulaient simplifier le stockage des images médicales et le partage entre cabinets médicaux.

 

Les données DICOM sont généralement stockées dans un serveur d'images baptisé "Picture Archiving and Communication Systems" (PACS) qui facilite le stockage. Mais de nombreux cabinets de médecins ne respectent pas les règles élémentaires de sécurité et connectent leur PACS directement à internet sans mot de passe ni VPN. Ces serveurs mal protégés exposent non seulement les images médicales de nombreux patients mais également leur nom, prénom, date de naissance, diagnostic… En bref, des données extrêmement sensibles dont l'utilisation frauduleuse pourrait avoir de graves conséquences.

 

Des données extrêmement sensibles

En effet, ces données pourraient être utilisées à mauvais escient pour faire chanter leurs propriétaires, mais pas que. Que se passerait-il si des banques mettaient leur nez dans ces informations pour refuser l'attribution d'un prêt ? D'après les informations de TechCrunch, aucune action en justice n'a été intentée pour l'instant. Déjà faudrait-il que les patients aient connaissance de cette situation.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media