Greenbone - Découverte d'une faille de sécurité massive dans les bases de données médicales

Comme vous l'avez certainement remarqué cette semaine, des chercheurs en sécurité de Greenbone Networks ont découvert que des données de patients étaient librement accessibles sur Internet dans le monde entier. Il s'agit de plus de 24 millions de données avec plus de 700 millions d'images liées, réparties dans 52 pays. Rien qu'en Allemagne, il y a 15.000 enregistrements de citoyens allemands avec 2,85 millions d'images, dont beaucoup sont accessibles sans mot de passe ou authentification. Ces informations ont été signalées par le CMO Dirk Schrader au Bayerischer Rundfunk, puis vérifiées et confirmées par BR Recherche.

Les serveurs concernés étaient des serveurs PACS (Picture Archiving and Communication Systems) qui communiquent entre eux via le protocole DICOM (Digital Imaging and Communications in Medicine). Ceux-ci sont utilisés dans le monde entier et sont considérés comme des standards dans le secteur médical.

Les données des patients contenaient au moins le nom, la date de naissance, la date de l'examen, ainsi que des remarques médicales sur la raison de l'examen. Selon l'ensemble de données, d'autres informations et images pouvaient également y figurer.

Il s'agit non seulement d'une infraction fatale du point de vue du RGPD, mais aussi d'un problème potentiellement important pour les patients concernés. Cela commence par la simplification des attaques de phising avec des salutations et des adresses personnalisées, ce que l'on appelle le spear phising. Mais cela va plus loin que l'usurpation d'identité jusqu'au chantage ou à l'exhibition publique en cas de visites médicales potentiellement embarrassantes. L'éventail des utilisations possibles est très large. On estime que cette quantité d'informations sur le darknet aurait une contre-valeur de plus d'un milliard d'euros.

Greenbone a également réalisé une analyse de la sécurité des systèmes ouverts à l'aide de Greenbone Security Manager. Cette analyse a permis d'identifier plus de 10.000 vulnérabilités, dont plus de 20% présentaient un niveau de dangerosité élevé. Plus de 500 vulnérabilités ont même été identifiées avec le degré de gravité le plus élevé dans le Common Vulnerability Scoring System (CVSS 10,0). Cela signifie que n'importe qui pourrait prendre le contrôle complet du système à distance.

Même si la plupart du temps, un logiciel bien documenté sur Internet est nécessaire et peut être utilisé par un profane en matière technique, différents systèmes étaient également accessibles directement via un navigateur Web et/ou FTP.

Quelles sont les contre-mesures possibles ?

Comme il ne s'agit pas d'une faille de sécurité classique qui peut être éliminée par une simple mise à jour du logiciel, l'infrastructure doit être adaptée. Par exemple avec des listes de contrôle d'accès pour que seules certaines adresses IP ou zones IP aient accès aux systèmes. Pour cela, il faut impérativement utiliser un système d'authentification qui n'autorise les connexions entrantes qu'après une inscription réussie.
L'utilisation de connexions VPN pour les personnes autorisées est également fortement recommandée, car elle permet de mettre en place un cryptage de bout en bout.
En outre, le système correspondant doit être mis à jour sur le plan logiciel afin d'éviter que d'éventuelles failles de sécurité ne soient exploitées.

Qui est Greenbone Networks ?

Greenbone Networks a été fondé en 2008 à Osnabrück et propose une solution open source pour l'analyse et la gestion des vulnérabilités, le Greenbone Security Manager (GSM). Grâce à celui-ci, on est en mesure de contrôler en permanence le réseau et les appareils de l'entreprise pour détecter les vulnérabilités connues. Il peut s'agir non seulement de failles de sécurité, mais aussi de mauvaises configurations, comme par exemple des mots de passe par défaut non modifiés. Celles-ci sont ensuite rassemblées dans un rapport et des recommandations sont émises sur la manière d'éliminer le problème. En dehors du scan, le GSM agit de manière purement passive et n'effectue lui-même aucune modification sur l'appareil ou le réseau. Greenbone propose des appliances matérielles et virtuelles qui peuvent couvrir tous les domaines, aussi bien pour les petites entreprises que pour les grandes sociétés. En outre, Greenbone Netzworks a l'avantage, en matière de licences, d'accorder une licence pour la performance de l'appareil et non pour le nombre d'appareils/IP dans l'entreprise. Cela vous permet par exemple d'acheter une appliance avec une performance allant jusqu'à 500 IP par jour, même si vous avez 2.000 IP dans l'entreprise. Vous pourriez ainsi scanner chaque IP tous les 4 jours.

Si vous êtes intéressé par un essai ou un projet avec Greenbone Security Manager, n'hésitez pas à nous contacter par téléphone, par e-mail ou via notre formulaire de contact.