Un rapport récent testant les capacités de sécurité de plusieurs applications de santé mobiles a mis en évidence des lacunes et des vulnérabilités «systémiques» qui pourraient conduire à l’exposition d’informations sensibles sur la santé et l’identité des utilisateurs.
Menée par la société de marketing de cybersécurité Knight Ink et parrainée par la société de sécurité d’API pour applications mobiles Approov, l’enquête a procédé à la rétro-ingénierie de 30 applications de santé mobiles à l’aide d’un cadre de sécurité open source, a analysé leur code statique, puis a testé leurs API par pénétration.
Le rapport n’a pas révélé les noms des applications ou des développeurs testés (dont certains ont accepté de donner accès à l’enquête sous couvert d’anonymat), mais a noté qu’ils provenaient de sociétés internationales de technologie de l’information sur la santé avec des revenus allant de 600 millions de dollars à 8 dollars. milliards, et un effectif moyen d’environ 15 000 employés.
Les vulnérabilités liées aux API étaient abondantes dans les 30 applications, selon le rapport. Soixante-dix-sept pour cent contenaient des clés API codées en dur et 7% contenaient des noms d’utilisateur et des mots de passe codés en dur. De plus, 7% de ces clés API provenaient de processeurs de paiement tiers qui avertissent spécifiquement les clients de ne pas coder en dur les clés en texte brut. Aucune des applications n’a mis en œuvre l’épinglage de certificat, ce qui a permis au chercheur de mener librement des attaques de personne du milieu contre les communications des applications.
Le fait que chaque point de terminaison d’API testé dans l’enquête était vulnérable à une attaque d’autorisation de niveau d’objet (BOLA) cassée, permettant l’accès à des informations personnellement identifiables, était également préoccupant. [PII] et informations de santé protégées [PHI] qui aurait dû être bloqué du compte attaquant, selon le rapport. La moitié des API testées permettaient un accès non autorisé aux dossiers d’admission, et un nombre équivalent permettait d’accéder aux résultats cliniques tels que la pathologie ou les radiographies.
POURQUOI EST-CE IMPORTANT
Les 30 applications étudiées ont été téléchargées en moyenne 772 619 fois, selon le rapport. Tous permettent aux cliniciens de consulter les horaires et les dossiers des patients, tandis qu’un sous-ensemble permet des fonctionnalités supplémentaires telles que la possibilité d’accéder ou de modifier les données démographiques, les photos, les antécédents cliniques et d’autres éléments des patients.
Selon le rapport. Cela devient particulièrement pertinent au fil du temps, car de plus en plus de données monétisables sont générées et les cyberattaques contre les établissements de santé deviennent plus fréquentes.
« Regardez, montrons l’éléphant rose dans la pièce », a déclaré Alissa Knight, partenaire de Knight Ink et auteur du rapport. « Il y aura toujours des vulnérabilités dans le code tant que les humains l’écriront. Les humains sont faillibles. Mais je ne m’attendais pas à ce que toutes les applications que j’ai testées aient des clés et des jetons codés en dur et que toutes les API soient vulnérables à [BOLA] vulnérabilités me permettant d’accéder aux rapports des patients, aux radiographies, aux rapports de pathologie et aux enregistrements complets de PHI dans leur base de données. Le problème est clairement systémique. »
LA PLUS GRANDE TENDANCE
La cybersécurité est une préoccupation croissante des organisations de soins de santé au fil des ans et 2020 n’a pas fait exception. En plus de la menace d’attaques de ransomwares, la numérisation accrue stimulée par COVID-19 a accru le contrôle de l’accès au DSE et des services de soins virtuels.
L’espace mobile de la santé n’a pas non plus été à l’abri de ces types de problèmes au fil des ans. Alors que les applications destinées aux consommateurs se sont souvent retrouvées dans l’actualité pour exposer des informations sur les utilisateurs ou pour partager des données tierces non divulguées, l’attaque soudaine des applications COVID-19 est venue avec relativement peu de considération pour la transparence de l’utilisation des données.
-
Rapport Fait Au Nom De La Mission D'Information Sur Les Risques Et Les Conséquences De L'Exposition À L'Amiante (Impressions)Binding : Unbekannter Einband, medium : Sonstige Einbände, ISBN : 211118754215,99 €
-
Effets sur la santé des principaux types d'exposition à l'amiante : rapport de l'INSERM Institut national de la santé et de la recherche médicale (France) InsermInstitut national de la santé et de la recherche médicale (France)25,81 €
-
Collectif Nouvelles Technologies De L'Information Et De La Communication Et Travail Social. Rapport Du Conseil Supérieur Du Travail Social. Rapport Du Conseil À La Ministre De L'Emploi Et De La SolidaritéBinding : Taschenbuch, Label : Ecole des Hautes Etudes en Santé Publique, Publisher : Ecole des Hautes Etudes en Santé Publique, medium : Taschenbuch, publicationDate : 2001-10-10, authors : Collectif, Ministère Emploi et Solidarité, CSTS, ISBN : 28595275912,56 €