Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Un milliard d'images médicales sont exposées en ligne
    Un milliard d'images médicales sont exposées en ligne,
    Car de nombreux cabinets médicaux ne tiennent pas compte des meilleures pratiques en matière de sécurité

    Le fait que les serveurs utilisés dans le secteur de la santé pour archiver les images créées par les processus radiologiques soient vulnérables aux attaques ou soient accessibles sur Internet n'est plus une nouvelle information. De nombreux rapports ont traité de ce sujet dans le passé. Cependant, un récent rapport publié par Greenbone Networks, une société de sécurité allemande, montre que le problème associé aux serveurs PACS (Picture Archiving and Communication Systems) non sécurisés est aussi profond qu’on le croit. Selon le rapport, des millions de nouvelles images médicales contenant les renseignements personnels sur la santé des patients se répandent sur Internet, chaque jour dans le monde.

    En effet, des centaines d'hôpitaux, de cabinets médicaux et de centres d'imagerie utilisent des systèmes de stockage non sécurisés, permettant à toute personne disposant d'une connexion Internet et d'un logiciel de téléchargement gratuit d'accéder à plus d'un milliard d'images médicales de patients à travers le monde. Cependant, malgré les avertissements des chercheurs en sécurité, qui ont alerté les hôpitaux et les cabinets médicaux sur le problème pendant plusieurs semaines, beaucoup d’entre eux ont ignoré leurs avertissements et continuent à exposer les informations médicales privées de leurs patients.


    « Cela semble s'aggraver chaque jour », a déclaré Dirk Schrader, qui a dirigé les recherches de Greenbone Networks et qui surveille de nombreux serveurs exposés depuis un an. « La quantité de données exposées continue d'augmenter, même si l'on considère la quantité de données mises hors ligne en raison de nos divulgations », a ajouté M. Schrader. Le chercheur a averti que si les médecins ne prennent pas de mesures, le nombre d'images médicales exposées atteindra un nouveau sommet « en un rien de temps ».

    Le problème des données exposées a été découvert l’an dernier, lorsque Greenbone Networks a réalisé une analyse d'environ 2 300 systèmes d'archivage d'images médicales connectés à l'Internet dans le monde entier, dont 590 ont été identifiés comme accessibles. La société a trouvé 24 millions d'examens de patients stockant plus de 720 millions d'images médicales en septembre, ce qui a permis de découvrir pour la première fois l'ampleur du problème de confidentialité et de sécurité de données de santé. Selon le rapport, deux mois plus tard, le nombre de serveurs exposés avait augmenté de plus de la moitié, pour atteindre 35 millions d'examens de patients, exposant 1,19 milliard de scans, représentant une violation considérable de la vie privée des patients.

    Les images exposées, qui comprennent des radiographies, des échographies et des tomodensitogrammes, appartiennent à des patients de 52 pays dans le monde entier, dont la majorité pour les États-Unis. Au Royaume-Uni, environ 1 500 dossiers de données de patients sont accessibles au public, ainsi qu'environ 5 000 images associées à ces dossiers. Aux États-Unis, le nombre est d'un ordre de grandeur supérieur avec 13,7 millions d'ensembles de données et 45,8 millions d'images librement accessibles sur Internet. Selon le rapport, une estimation dérivée d'attaques précédentes et d'enquêtes menées par diverses autorités de sécurité, la valeur de ces données sur le Darknet dépasserait probablement le milliard de dollars US.


    De mauvaises pratiques en matière de sécurité informatique sur les serveurs de nombreux cabinets médicaux sont à l’origine du problème

    Selon le rapport, le problème est causé par une faiblesse commune que l'on retrouve sur les serveurs utilisés par les hôpitaux, les cabinets de médecins et les centres de radiologie pour stocker les images médicales des patients. DICOM (Digital Imaging and Communications in Medicine), un format de fichier et une norme industrielle datant de plusieurs décennies, est utilisé pour stocker des images médicales dans un seul fichier dans un système d'archivage et de communication d'images, connu sous le nom de serveur PACS, ce qui permet un stockage et un partage faciles.

    Le problème est que de nombreux cabinets médicaux ne tiennent pas compte des meilleures pratiques en matière de sécurité et connectent leur serveur PACS directement à Internet sans mot de passe, dans une violation flagrante de la confidentialité des données de santé. Aussi, DICOM comprend une définition du format de fichier et un protocole de communication en réseau, et les images DICOM peuvent être visualisées à l'aide de n'importe quelle application gratuite, comme le ferait n'importe quel radiologue, ont dit les chercheurs.

    En plus de l’exposition d’imageries médicales, les serveurs non protégés ont également divulgué d’autres renseignements personnels sur les patients. L’analyse des 24,3 millions d'enregistrements a permis aux chercheurs de déterminer que la majorité d’entre eux était associée aux informations privées telles que : prénom et nom de famille, date de naissance, date de l'examen, type de procédure d'imagerie, Institut/clinique où le patient est suivi, nombre d'images générées. Dans certains cas, les hôpitaux utilisent le numéro de sécurité sociale d'un patient pour identifier les patients dans ces systèmes, d’après le rapport.

    Cette fuite de données mondiale affecte les réglementations de protection des données en Europe (GDPR) ainsi que la HIPAA (Health Insurance Portability and Accountability Act) aux Etats-Unis, et toute une série de réglementations légales dans d'autres pays. Par exemple, pour la République d'Afrique du Sud, la Loi sur la protection des renseignements personnels (POPI Act) ; pour le Brésil, le LGPD ; pour l'Inde, les règles de confidentialité des données (Information Technology Act 2000) et la Turquie, la Loi sur la protection des données personnelles no. 6698.


    Selon le rapport, certains des plus grands hôpitaux et centres d'imagerie aux États-Unis sont les plus grands coupables de l'exposition de données médicales. Les données exposées mettent les patients en danger de devenir « des victimes parfaites pour la fraude à l'assurance médicale », a dit M. Schrader. Dans le cadre de leur enquête, les chercheurs ont découvert un certain nombre de centres d'imagerie américains qui stockent des décennies de scans de patients, pendant que, les patients ne savent même pas qu’une petite partie de leurs données pourrait être exposées sur Internet pour que quiconque puisse les trouver.

    Le problème persiste, car les grandes organisations ignorent l’avertissement d’exposition des données et refusent de sécuriser leurs systèmes informatiques

    Après la découverte du problème de sécurité, Greenbone, dans un effort de sécurisation des serveurs accessibles sur Internet, a contacté plus d'une centaine d'organisations le mois dernier au sujet de leurs serveurs exposés. Mais, seulement les plus petites organisations ont répondu et sécurisé leurs systèmes, entrainant une légère baisse du nombre total d'images exposées. Par contre, parmi les 10 plus grandes organisations contactées, qui représentaient environ une image médicale exposée sur cinq, une seule organisation, avec plus de 61 millions d'images sur environ 1,2 million de patients dans ses cinq bureaux, a sécurisé ses serveurs.

    Dans son analyse, la société de sécurité a déterminé sur les systèmes vérifiés que des vulnérabilités, dont certaines datent de plusieurs années, ont été identifiées. Selon le rapport, au total, Greenbone a identifié plus de 10 000 vulnérabilités sur les systèmes. Un peu plus de 2 000 d’entre elles sont cataloguées comme "haute gravité" et cette catégorie comprend plus de 500 vulnérabilités avec la gravité de score CVSS 10.0.


    Yisroel Mirsky, un chercheur en sécurité, qui a étudié les vulnérabilités des équipements médicaux, a déclaré l'année dernière que les caractéristiques de sécurité établies par l'organisme de normalisation qui a créé et maintient la norme DICOM ont été "largement ignorées" par les fabricants d'appareils. Cependant, M. Schrader n'a pas blâmé les fabricants d'appareils. Au contraire, il a dit que c'était une "pure négligence" que les cabinets médicaux n'aient pas réussi à configurer et à sécuriser correctement leurs serveurs.

    Selon le rapport, le gouvernement a condamné une société d'imagerie médicale du Tennessee à une amende de 3 millions de dollars, l'an dernier, pour avoir exposé par inadvertance un serveur contenant plus de 300 000 données protégées sur des patients, en vertu de la loi sur la transférabilité et la responsabilité en matière d'assurance maladie (HIPAA) – qui comprend des mesures de protection techniques et physiques conçues pour protéger les informations médicales personnelles électroniques en veillant à ce que les données restent privées et sécurisées.

    Depuis que Greenbone a révélé l'ampleur des serveurs médicaux exposés pour la première fois en septembre, le sénateur Mark Warner a demandé des réponses aux services de santé et aux services sociaux. M. Warner a reconnu que le nombre de serveurs exposés aux États-Unis avait diminué, mais il a dit dans un communiqué qu'il fallait « faire plus ».

    « A ma connaissance, les services de santé et les services sociaux n'ont rien fait à ce sujet », a déclaré M. Warner. « Alors que les services de santé et les services sociaux font pression pour permettre à un plus grand nombre de parties d'avoir accès aux informations médicales sensibles des patients américains sans les protections traditionnelles de la vie privée attachées à ces informations, l'inattention du HHS (Département de Santé et des Services sociaux des Etats-Unis) à cet incident particulier devient encore plus troublante », a-t-il ajouté.

    Le dirigeant des recherches a dit qu’il ne blâmait pas les fournisseurs, mais les médecins et les hôpitaux qui ne sécurisent pas correctement le logiciel. Cependant, selon un commentateur du sujet, qui se présente comme ayant de l’expérience dans le domaine de la santé, peu de cabinets gèrent leurs propres systèmes informatiques. « Ils paient une tierce partie - généralement le fournisseur - pour installer, configurer et les guider ». Les responsabilités devraient donc être partagées.

    Source : Rapport sur la sécurité de l'information

    Et vous ?

    Qu’en pensez-vous ?
    Que pensez-vous de l’ampleur des serveurs laissés sans aucune protection sur Internet ?
    Les chercheurs blâment les cabinets médicaux au lieu des fabricants d’équipements médicaux qui ne respectent pas les caractéristiques de sécurité établies par l'organisme de normalisation. Quel commentaire en faites-vous ?
    Selon vous, pourquoi des structures médicales ne répondent-elles pas aux alertes de sécurité des données de leur propre établissement ?

    Lire aussi

    Des millions de données médicales dont des images de radiologie ou de mammographies ont été mises en ligne, sans mesures de protection élémentaires et sont accessibles à tous
    France : IBM obtient la certification d'hébergeur de données de santé (HDS), qui atteste que l'entreprise respecte à la fois la confidentialité, l'intégrité et la disponibilité des données des clients
    Singapour : la séropositivité de plus de 14 000 personnes a été divulguée en ligne, avec leurs noms, contacts et autres informations d'identification
    Suède : 2,7 millions d'enregistrements d'appels médicaux au format mp3 exposés sur internet, sur un serveur web non sécurisé
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre confirmé
    Au contraire, il a dit que c'était une "pure négligence" que les cabinets médicaux n'aient pas réussi à configurer et à sécuriser correctement leurs serveurs.
    Ce sont des cabinets médicaux, il y a déjà bien des entreprises du domaines informatique qui ont vu leur données exposés, alors ce n'est pas vraiment étonnant.


    Le dirigeant des recherches a dit qu’il ne blâmait pas les fournisseurs, mais les médecins et les hôpitaux qui ne sécurisent pas correctement le logiciel. Cependant, selon un commentateur du sujet, qui se présente comme ayant de l’expérience dans le domaine de la santé, peu de cabinets gèrent leurs propres systèmes informatiques. « Ils paient une tierce partie - généralement le fournisseur - pour installer, configurer et les guider ». Les responsabilités devraient donc être partagées.
    Et bien je ne suis pas d'accord, c'est le fournisseur qui devrait s'assurer que leur logiciel (qui coûte sans doute déjà très cher) est correctement déployé. Si je m'en réfère à la situation en France, le personnel médical est déjà constamment sous l'eau rien que pour leur métier, à savoir soigné les patients. Ils n'est donc pas étonnant qu'ils n'ont pas le temps (ni même l'argent) de sécurisé leur infrastructure. C'est trop facile de taper les gens en bout de chaîne.

    Pour les grosses sociétés qui ne sécurisent pas leur infra, j'imagine que leur SI est dans un tel état qu'il est difficile de bouger quelque chose sans tout casser, ce qui est très difficile à justifier dans un domaine comme celui de la santé.

  3. #3
    Membre confirmé
    Citation Envoyé par walfrat Voir le message
    Et bien je ne suis pas d'accord, c'est le fournisseur qui devrait s'assurer que leur logiciel (qui coûte sans doute déjà très cher) est correctement déployé.
    C'est peut-être aussi un problème de budget, je ne compte plus les fois où j'ai dû expliquer que monter une solution sécurisée nécessite un peu d'investissement... j'ai l'impression que les décideurs n'ont pas conscience que cette solution doit être maintenue, mise à jour, ce qui occasionne inévitablement des coûts... et cet investissement est indirect dans la mesure où il n'apporte rien de visible à ses clients finaux
    laloune
    Consultant B.I.
    Spécialité(s): Excel, SQL, Business Intelligence (Jedox Palo, Talend)

    "A problem worthy of attack proves its worth by fighting back." Piet Hein

  4. #4
    Membre extrêmement actif
    Le fait que les serveurs utilisés dans le secteur de la santé pour archiver les images créées par les processus radiologiques soient vulnérables aux attaques ou soient accessibles sur Internet n'est plus une nouvelle information.
    Cela ne se limite pas au secteur de la santé!

    Que les choses soient franchement dites: Toutes, je dis bien toutes les solutions centralisées qui ont leur serveurs et bases de données accessibles de manière directe ou indirecte via internet sont vulnérables aux attaques et aux fuites de données.

    Seule la cause diverge selon la qualité de la solution concernée, cela passe par:
    • une erreur humaine
    • un système ou logiciel mal configuré
    • une faille présente dans le logiciel ou les hardware utilisés


    Et ce n'est pas uniquement une affaire de budget... Au même titre que la vie se termine immanquablement par la mort, un système connecté sera violé tôt ou tard!

  5. #5
    Membre confirmé
    Citation Envoyé par laloune Voir le message
    C'est peut-être aussi un problème de budget, je ne compte plus les fois où j'ai dû expliquer que monter une solution sécurisée nécessite un peu d'investissement... j'ai l'impression que les décideurs n'ont pas conscience que cette solution doit être maintenue, mise à jour, ce qui occasionne inévitablement des coûts... et cet investissement est indirect dans la mesure où il n'apporte rien de visible à ses clients finaux
    On est d'accord

    Ils n'est donc pas étonnant qu'ils n'ont pas le temps (ni même l'argent) de sécurisé leur infrastructure

  6. #6
    Expert éminent sénior
    Citation Envoyé par walfrat Voir le message
    Et bien je ne suis pas d'accord, c'est le fournisseur qui devrait s'assurer que leur logiciel (qui coûte sans doute déjà très cher) est correctement déployé. Si je m'en réfère à la situation en France, le personnel médical est déjà constamment sous l'eau rien que pour leur métier, à savoir soigné les patients. Ils n'est donc pas étonnant qu'ils n'ont pas le temps (ni même l'argent) de sécurisé leur infrastructure. C'est trop facile de taper les gens en bout de chaîne.
    Les gens en bout de chaîne qui refusent le SAAS alors qu'ils n'ont pas les moyens d'avoir leur propre ferme de serveurs, qui ont une IT très souvent faiblarde, qui ont des normes de sécurité délirantes et contre-productives rendant les maintenances des fournisseurs fort compliquées, et qui sont plus concernées par le fait de savoir si on met le menu "compta hospitalière" à droite ou à gauche du menu "gestion des stocks de médicaments onéreux" que par la sécurité de leurs données. Parfois, on a un client sérieux, et tout se passe bien, mais le plus souvent, on est interdit de faire les choses bien. Moi je veux bien dire qu'on ne sécurise pas l'infrastructure de nos clients hospitaliers, mais en même temps, ce n'est pas comme si ils nous laissaient le choix.

    Citation Envoyé par laloune Voir le message
    C'est peut-être aussi un problème de budget, je ne compte plus les fois où j'ai dû expliquer que monter une solution sécurisée nécessite un peu d'investissement... j'ai l'impression que les décideurs n'ont pas conscience que cette solution doit être maintenue, mise à jour, ce qui occasionne inévitablement des coûts... et cet investissement est indirect dans la mesure où il n'apporte rien de visible à ses clients finaux
    Ce sont les clients finaux qui refusent de payer un centime de plus pour la sécurité. Nous, si on nous laisse faire, on peut les aider à augmenter leur niveau de sécurité(qui ne sera jamais parfait, hein, Anselme à raison) jusqu'à un niveau bien supérieur.
    Les 4 règles d'airain du développement informatique sont, d'après Michael C. Kasten :
    1)on ne peut pas établir un chiffrage tant qu'on a pas finalisé la conception
    2)on ne peut pas finaliser la conception tant qu'on a pas complètement compris toutes les exigences
    3)le temps de comprendre toutes les exigences, le projet est terminé
    4)le temps de terminer le projet, les exigences ont changé
    Et le serment de non-allégiance :
    Je promets de n’exclure aucune idée sur la base de sa source mais de donner toute la considération nécessaire aux idées de toutes les écoles ou lignes de pensées afin de trouver celle qui est la mieux adaptée à une situation donnée.

  7. #7
    Membre averti
    Et encore, leurs travaux portent seulement sur les serveurs en accès libre sur internet d'après ce que l'on comprend.

    Sur les réseaux sécurisés hospitaliers/PACS en France j'ai pu voir localement :
    * un intranet ± connecté à l'internet selon les postes
    * des postes lancés avec des droits admins parfois
    * des postes "héritage" issus de constructeurs externes dont la DSI interne n'a rien à faire car pas dans leur parc (mais souvent lancés en admin et parfois connectés à internet).
    * des outils de contrôle à distance installés partout par la DSI, ou des prestataires externes ou "quelqu'un" (dont les mots de passe sont assez faciles à trouver...)
    * certains constructeurs installent d'ailleurs des accès à distance admin par internet sur toute la france avec le même mot de passe et font peu d'effort pour le garder secret...
    * un pacs local sur lequel plein de vieux matériel est branché (genre sous solaris) avec des authentifications par liste blanche basée sur le nom du matériel en clair sur le réseau ± une MAC
    * des antivirus pas forcément à jour ou pas installés depuis quelques années
    * le personnel qui branche involontairement des clés vérolées ou qui coopère volontiers avec les attaques externes par social engineering.
    * plein de vieux postes hétérogènes sans maintenance ou mise à jour depuis mathusalem mais avec des droits (genre le windows XP directement branché à internet et intranet en 2019)


    Donc autant dire que la politique en général, c'est plus que ça marche que de gérer la sécurité.
    Par contre sur des gros systèmes comme PACS APHP à Paris, le plus grand de France je pense, l'accès et cloisonné par hôpital donc il y a pas d'accès en ligne général, mais vu qu'on trouve un peu de tout ce que j'ai décrit au-dessus sur certains sites, un attaquant qui n'aurait que ça à faire pourrait voler des infos je pense.

  8. #8
    Membre émérite
    Bonjour,

    Qu’en pensez-vous ?
    C'est tout bonnement scandaleux et encore je pèse mes mots ! Une personne gravement malade ou avec des gros problèmes se santé, se retrouvant comme une bête de foire sur la place publique car un pirate aura exposé ces données perso, histoire de bien ruiner le restant de ces jours ruinés , n'a pas l'air de choquer grand monde

    Et il y a de quoi d'être en colère . On dit souvent "cela n'arrive qu'autre" ... J'aimerai bien voir le tronche de certains avec un tel merdier si cela les concernait ou leur famille ...

    Que pensez-vous de l’ampleur des serveurs laissés sans aucune protection sur Internet ?
    Que c'est une vaste blague ... Combien de sites mal protégés ou en open bar sur internet a cause d'une GED mal configurée ? Sous la GED en cause c'est un lien , avec un auto_incremente dans l'url sans restriction d'accès !

    On nage en plein délire

    Les chercheurs blâment les cabinets médicaux au lieu des fabricants d’équipements médicaux qui ne respectent pas les caractéristiques de sécurité établies par l'organisme de normalisation. Quel commentaire en faites-vous ?
    C'est un peu fort de café de se renvoyer la bal ... Cela revient dire " on ne sait pas utiliser les bornes automatiques d'achat de tickets dans le métro ... donc on fraude pour autant ? "

    > mettre la pression sur les décideurs pour qu'ils prennent leurs responsabilité qui refusent obstinément de mettre le paquet sur la sécurité ...

    Selon vous, pourquoi des structures médicales ne répondent-elles pas aux alertes de sécurité des données de leur propre établissement ?
    Le secteur de la santé est vue comme "une charge" ... donc couteux . Pourquoi faire des investissements ? Le personnel médical a la tête sous l'eau ... la sécurité informatique est bien la dernière de ces priorités !