Aux États-Unis et dans le monde entier, des données médicales ont été laissées en libre accès, sur internet. Des radiographies, des IRM, des scanners, mais aussi d’autres données de santés sont concernés. 5 millions de personnes seraient touchées par cette “fuite” de données aux États-Unis, il y aurait également plusieurs autres millions de personnes affectées dans le monde entier. Cette mise à disposition des données serait due à un manque de sécurité des serveurs où elles sont stockées, c’est en tout cas l’avis de ProPublica. Les données auraient été en libre accès sur Internet et cette fois ce n’est pas parce que Google y a eu accès.

187 serveurs de données médicales identifiés, seulement aux États-Unis.

Un expert en cybersécurité aurait prévenu de ce possible incident lié au libre accès des données, il y a quelques années. Le milliard de données exposées en ligne n’émane pas d’une action de la part de hackers, mais bel et bien d’une « porte laissée ouverte » selon Jackie Singh, chercheur en cybersécurité, directeur général de la société de conseil Spyglass Security. C’est sa société qui a découvert cette faille et le manque de sécurité des serveurs sur lesquels se trouvaient de nombreuses informations médicales.

Après avoir révélé l’exposition de ces données, certains fournisseurs de soins médicaux ont sécurisé leurs systèmes. Cependant, tous les fournisseurs n’ont pas vu leurs données exposées de la même façon. Cela dépendrait en effet de leur façon de travailler et particulièrement du logiciel utilisé.

À titre d’exemple, le serveur de la société américaine MobilexUSA laissait le nom de plus d’un million de patients s’afficher, cela accompagné de leur date de naissance et des médecins qui les ont pris en charge. Pour accéder à ces données médicales, seule la recherche d’une simple requête était nécessaire. La société, qui a renforcé la sécurité de ses serveurs la semaine passée, a déclaré : “Nous avons rapidement atténué les vulnérabilités potentielles identifiées par ProPublica et avons immédiatement commencé une enquête approfondie qui est toujours en cours”.

Globalement, dans le monde entier, c’est au moins un milliard de données médicales qui auraient été laissées en libre accès, et le nombre de données lié à des scanners aurait été plus de 16 millions à être disponible en ligne, allant parfois jusqu’à révéler les numéros de sécurité sociale des patients.

Image d'analyse d'un patient obtenue par ProPublica

Crédit : ProPublica / Image d’une analyse obtenue par un chercheur en sécurité

La sécurité des serveurs remise en cause

Selon plusieurs experts en cybersécurité, cette exposition de données médicales enfreint la Health Insurance Portability and Accountability Act, une loi américaine de 1996 qui oblige les prestataires de soins de santé à garder les données concernant leurs patients confidentielles et sécurisées. Et même si ces experts indiquent qu’il est compliqué de déterminer qui est responsable de la mauvaise protection des données stockées sur les serveurs, les prestataires de santés et leurs associés commerciaux pourraient avoir du souci à se faire, notamment en fonction de la législation du pays auquel ils appartiennent.

La sécurité des serveurs aurait été trop légère dans au moins 52 pays, et tous les continents seraient touchés. En Europe, 5 serveurs allemands seraient concernés selon les conclusions de Greenbone Networks, une entreprise de sécurité allemande. Selon cette dernière, les dossiers des patients et leurs données médicales auraient été rendus accessibles sans même la sécurité d’un mot de passe.

Et si la plupart des hôpitaux respectent bien la loi, ce serait de nombreux cabinets indépendants qui auraient laissé ces données sans beaucoup de protection. En effet, les chercheurs en sécurité ont remarqué que la plupart des données non protégées provenaient de cardiologues indépendants, de centres d’imagerie médicale ou de services d’archives.

Finalement, même si les serveurs semblent avoir vu leur sécurité améliorer, il semble indispensable que l’ensemble des structures médicales, privées comme publics, veillent à maintenir la confidentialité et la sécurité de l’endroit où ils stockent ces données sensibles. D’autant plus avec la numérisation de la plupart des dossiers. Selon Cooper Quintin, chercheur en sécurité et technologue dans un groupe de défense des droits numériques, ces données privées pourraient être utilisées à mauvais escient, “pour faire honte aux gens ou pour les faire chanter”. Au-delà de la remise en question de la sécurité des serveurs, c’est donc la vie privée des patients qui est concernée.