Selon une enquête du média américain ProPublica et du média allemand Bayerischer Rundfunk, 187 serveurs utilisés pour stocker des données médicales aux États-Unis ne sont protégés ni par des mots de passe, ni par les précautions basiques de sécurité.
Les ordinateurs concernés se trouvent dans des cabinets médicaux, des centres d'imagerie médicale ou des services de radiographie mobile dans tout le pays.
Alors que la plupart des failles informatiques sont mises à jour ou exploitées par des équipes de hackers pénétrant les défenses de cybersécurité d'une entreprise, rien de tel en l'espèce.
«Ce n'est pas du hacking, souligne pour ProPublica Jackie Singh, chercheuse en cybersécurité et directrice de l'agence de conseil Spyglass Security. C'est comme enfoncer une porte grande ouverte.»
Dates de naissance et numéros de sécu
Une simple recherche sur Google, DuckDuckGo, Yahoo ou Bing permet d'accéder aux données médicales de plus d'un million de personnes conservées sur des serveurs de l'entreprise MobilexUSA, y compris leur dates de naissance, le nom de leurs médecins et les traitements suivis.
Un autre centre d'imagerie laisse un accès presque libre aux échocardiogrammes de ses patient·es. Il est possible de consulter plus de seize millions de scans en ligne, mentionnant le nom, la date de naissance et parfois même le numéro de sécurité sociale de chaque malade.
Ces deux exemples ne sont que la partie émergée de l'iceberg: dans leur enquête, ProPublica et le Bayerischer Rundfunk dévoilent une dizaine de cas similaires.
«La sécurité des données médicales n'a jamais été intégrée correctement dans les données cliniques ou les appareils électroniques. Elle est encore largement théorique et n'existe pas en pratique», avertissait déjà le chercheur Oleg Pianykh dans un article de recherche paru en 2016.
Irresponsabilité collective
Aux États-Unis, les entreprises sont légalement responsables de la sécurité des données de leur patientèle. «C'est complètement irresponsable», commente Cooper Quintin, chercheur en sécurité et membre de l'équipe d'Electronic Frontier Foundation.
Les données médicales font partie des plus sensibles et des plus prisées des cybercriminel·les, pour qui elles peuvent s'avérer très lucratives. Ces informations risquent également d'être utilisées par nombre d'institutions et entreprises pour cibler ou exclure une partie spécifique de la population.
Ces révélations ne font que s'ajouter à la longue liste de brèches de cybersécurité observées chez des organismes publics comme privés. Des hôpitaux à Facebook, en passant par les sites d'archives gouvernementaux, internet est une décharge à ciel ouvert pour nos données numériques.
Le 16 septembre, ZDNet révélait la fuite de données gouvernementales concernant une grande majorité des citoyen·nes d'Équateur, y compris 6,7 millions d'enfants et des personnes décédées.
