Depuis le 11 février 2020, plus de 300 serveurs d’imagerie médicale ont été facilement accessibles en Inde. 193 d’entre eux ont pu être consultés sans aucune restriction. Pour visualiser ces images, il a suffi de télécharger des logiciels prenant en compte les formats de ces fichiers médicaux. Des chercheurs affirment que le problème est causé par des serveurs peu sécurisés utilisés par les hôpitaux pour stocker les images médicales des patients.

Des serveurs non sécurisés au détriment de la vie privée

DICOM est à la fois un format de fichier et une norme industrielle connue depuis des décennies. Il a été conçu pour permettre aux médecins de stocker plus facilement des images médicales dans un seul fichier. Les images DICOM peuvent être visualisées à l’aide de n’importe quelle application gratuite, comme le ferait tout radiologue. En général, ces images sont stockées dans une base de données appelée serveur PACS, donnant un accès plus rapide par l’ensemble du personnel hospitalier.

Le rôle d'un serveur d'image PACS

Le rôle d’un serveur d’image PACS. Illustration : Softneta

Ces serveurs non protégés exposent non seulement l’imagerie médicale, mais aussi les informations de santé personnelles des patients. De nombreux scanners et radios de patients comportent des pages de garde intégrées au fichier DICOM. Ces pages contiennent le nom du patient, sa date de naissance et des informations sensibles sur ses diagnostics. Dans certains cas, les hôpitaux utilisent même le numéro de sécurité sociale pour identifier les patients dans ces systèmes.

Des risques réels pour les patients

Certains des plus grands hôpitaux et centres d’imagerie en Inde s’avèrent être les principaux responsables de la divulgation de données médicales. Malheureusement, les patients ne savent pas que les détails de leur vie privée pourraient désormais être affichés sur le web.

L’exposition des informations censées rester privées peut conduire à une fraude à l’assurance, à une usurpation d’identité ou à des actes cybercriminels. En outre, ces données peuvent compromettre la relation entre les patients et leurs médecins. Effectivement, les malades seront moins disposés à communiquer des informations pourtant indispensables dans le cadre de leur traitement.

Il est vrai que les fraudes à l’assurance et l’usurpation d’identité peuvent se régler facilement en portant plainte auprès de l’Administration publique. En revanche, des méfaits pourraient être perpétrés jusqu’à ce que la procédure soit bloquée. Le danger est encore plus grand si les patients en question sont des personnalités éminentes du pays. Cela pourrait encourager des actes terroristes de grande envergure.