Un rapport récent testant les capacités de sécurité de plusieurs applications de santé mobiles a mis en évidence des lacunes et des vulnérabilités «systémiques» qui pourraient conduire à l’exposition d’informations sensibles sur la santé et l’identité des utilisateurs.
Menée par la société de marketing de cybersécurité Knight Ink et parrainée par la société de sécurité d’API pour applications mobiles Approov, l’enquête a procédé à la rétro-ingénierie de 30 applications de santé mobiles à l’aide d’un cadre de sécurité open source, a analysé leur code statique, puis a testé leurs API par pénétration.
Le rapport n’a pas révélé les noms des applications ou des développeurs testés (dont certains ont accepté de donner accès à l’enquête sous couvert d’anonymat), mais a noté qu’ils provenaient de sociétés internationales de technologie de l’information sur la santé avec des revenus allant de 600 millions de dollars à 8 dollars. milliards, et un effectif moyen d’environ 15 000 employés.
Les vulnérabilités liées aux API étaient abondantes dans les 30 applications, selon le rapport. Soixante-dix-sept pour cent contenaient des clés API codées en dur et 7% contenaient des noms d’utilisateur et des mots de passe codés en dur. De plus, 7% de ces clés API provenaient de processeurs de paiement tiers qui avertissent spécifiquement les clients de ne pas coder en dur les clés en texte brut. Aucune des applications n’a mis en œuvre l’épinglage de certificat, ce qui a permis au chercheur de mener librement des attaques de personne du milieu contre les communications des applications.
Le fait que chaque point de terminaison d’API testé dans l’enquête était vulnérable à une attaque d’autorisation de niveau d’objet (BOLA) cassée, permettant l’accès à des informations personnellement identifiables, était également préoccupant. [PII] et informations de santé protégées [PHI] qui aurait dû être bloqué du compte attaquant, selon le rapport. La moitié des API testées permettaient un accès non autorisé aux dossiers d’admission, et un nombre équivalent permettait d’accéder aux résultats cliniques tels que la pathologie ou les radiographies.
POURQUOI EST-CE IMPORTANT
Les 30 applications étudiées ont été téléchargées en moyenne 772 619 fois, selon le rapport. Tous permettent aux cliniciens de consulter les horaires et les dossiers des patients, tandis qu’un sous-ensemble permet des fonctionnalités supplémentaires telles que la possibilité d’accéder ou de modifier les données démographiques, les photos, les antécédents cliniques et d’autres éléments des patients.
Selon le rapport. Cela devient particulièrement pertinent au fil du temps, car de plus en plus de données monétisables sont générées et les cyberattaques contre les établissements de santé deviennent plus fréquentes.
« Regardez, montrons l’éléphant rose dans la pièce », a déclaré Alissa Knight, partenaire de Knight Ink et auteur du rapport. « Il y aura toujours des vulnérabilités dans le code tant que les humains l’écriront. Les humains sont faillibles. Mais je ne m’attendais pas à ce que toutes les applications que j’ai testées aient des clés et des jetons codés en dur et que toutes les API soient vulnérables à [BOLA] vulnérabilités me permettant d’accéder aux rapports des patients, aux radiographies, aux rapports de pathologie et aux enregistrements complets de PHI dans leur base de données. Le problème est clairement systémique. »
LA PLUS GRANDE TENDANCE
La cybersécurité est une préoccupation croissante des organisations de soins de santé au fil des ans et 2020 n’a pas fait exception. En plus de la menace d’attaques de ransomwares, la numérisation accrue stimulée par COVID-19 a accru le contrôle de l’accès au DSE et des services de soins virtuels.
L’espace mobile de la santé n’a pas non plus été à l’abri de ces types de problèmes au fil des ans. Alors que les applications destinées aux consommateurs se sont souvent retrouvées dans l’actualité pour exposer des informations sur les utilisateurs ou pour partager des données tierces non divulguées, l’attaque soudaine des applications COVID-19 est venue avec relativement peu de considération pour la transparence de l’utilisation des données.
-
Inserm Effets Sur La Santé Des Principaux Types D'Exposition À L'Amiante : Rapport Établi À La Demande De La Direction Des Relations Du Travail Et De La Direction Générale De La SantéBinding : Taschenbuch, Label : EDP sciences, Publisher : EDP sciences, medium : Taschenbuch, publicationDate : 1997-01-01, authors : Inserm, ISBN : 28559870675,49 € -
Collectif Nouvelles Technologies De L'Information Et De La Communication Et Travail Social. Rapport Du Conseil Supérieur Du Travail Social. Rapport Du Conseil À La Ministre De L'Emploi Et De La SolidaritéBinding : Taschenbuch, Label : Ecole des Hautes Etudes en Santé Publique, Publisher : Ecole des Hautes Etudes en Santé Publique, medium : Taschenbuch, publicationDate : 2001-10-10, authors : Collectif, Ministère Emploi et Solidarité, CSTS, ISBN : 28595275912,09 € -
Comodynes Cosmetics Lingettes Autobronzantes 8 monodosesLes lingettes autobronzantes Comodynes Cosmetics, formulées pour le visage, le cou et le décolleté, vous assurent un bronzage naturel et uniforme. Elles agissent dès 3 heures après application, grâce à deux actifs principaux : la DHA et l'erythrulose. Idéales pour intensifier le bronzage, elles vous assurent une joli teint hâlé . Proposées en sachets individuels et pratiques, elles s'emmènent partout (en voyage, en vacances, au bureau...). Le plus de ce produit ? Il ne tache pas. Les Lingettes Autobronzantes Comodynes offre un teint halé naturel et uniforme en seulement 3h et une hydratation de la peau. Leur application est simple, sûre et pratique. Testé dermatologiquement. Fibres 100% naturelles.9,95 €