Des millions de dossiers médicaux et de données personnelles ont été stockés de manière non sécurisée, selon des chercheurs en cybersécurité.

En effet, plus de 45 millions d’images médicales, dont des radiographies, des IRM et des scanners, ainsi que les données d’accompagnement pouvant identifier les individus qui figurent sur ces images, ont été exposés en ligne sur des serveurs et des dispositifs de stockage non sécurisés. Ces données exposées provenaient d’hôpitaux et de centres médicaux à l’échelle mondiale. Cette fuite a été découverte par l’entreprise spécialisée en cybersécurité CybelAngel, lors d’une enquête qui a duré 6 mois sur la sécurité des dispositifs médicaux. L’enquête a aussi révélé que des individus extérieurs avaient la possibilité d’accéder facilement à des données médicales sensibles.

Si des pirates accédaient à des données médicales sensibles, ils auraient la possibilité de les exploiter et les vendre sur le dark web, en faisant du chantage à des individus identifiables ou encore en utilisant les serveurs exposés comme moyen de livraison des ransomwares aux réseaux hospitaliers. Un grand nombre d’appareils médicaux sont vulnérables aux attaques informatiques ou à l’exposition de données car la technologie est généralement obsolète, et les budgets consacrés aux technologies de l’information et à la sécurité des soins de santé sont souvent tendus.

Les chercheurs déclarent que dans certains cas identifiés, le stockage en réseau non sécurisé (NAS) est la raison pour laquelle des fichiers sensibles peuvent devenir accessibles. Le fait d’utiliser des protocoles FTP ou SMB ainsi que les failles de sécurité non corrigées peuvent permettre à des individus extérieurs d’avoir accès aux machines ainsi qu’aux données qui y sont stockées. Tandis que dans d’autres cas, les serveurs et le stockage sont connectés à d’autres périphériques réseau pour répondre à un besoin fonctionnel, tel que l’impression de fichiers. Mais la façon dont ils ont été configurés les transforme en portes dérobées au sein même des réseaux.

Afin d’éviter une quelconque exposition des données, il est recommandé d’assurer une segmentation correcte des réseaux pour que les équipements de diagnostic critiques, tel que les appareils à rayons X et les systèmes de soutien, ne soient pas connectés aux réseaux commerciaux ou publics plus larges, de telle sorte à les rendre inaccessibles directement de l’extérieur.