Suivi du rythme cardiaque... et des données de paiement ?

La pandémie actuelle a entraîné une numérisation rapide du secteur médical. Saturation des hôpitaux, surcharge de travail du personnel de santé et multiplication des mises en quarantaine à domicile ont imposé la nécessité de repenser la manière de délivrer les soins aux patients. De fait, une récente étude Kaspersky a établi que 91 % des prestataires de services médicaux du monde se sont dotés de capacités de télémédecine. Cependant, ce passage accéléré au numérique a créé de nouveaux risques de sécurité auxquels sont particulièrement exposées les données des patients.

Ce contenu est une communication d’entreprise. Il n’a pas été rédigé par les journalistes de TelQuel

Le suivi des patients à distance fait appel à des moniteurs portatifs et à des dispositifs connectés permettant de surveiller en continu ou par intervalles les indicateurs de santé, comme l’activité cardiaque.

Simple et pratique, le protocole MQTT est le plus souvent utilisé pour transmettre des données à partir de dispositifs et de capteurs portatifs. On le trouve dans presque tous les objets connectés, avec malheureusement une authentification entièrement facultative et un chiffrement peu fréquent. Il est donc très vulnérable aux attaques de type « man in the middle », lors desquelles un pirate interceptant les communications entre deux parties via Internet peut voler des données médicales très sensibles, des informations personnelles et même la géolocalisation d’un patient.

Depuis 2014, 90 vulnérabilités ont été détectées dans MQTT, dont certaines sont critiques et beaucoup ne sont pas encore patchées. L’année 2021 totalise 33 nouvelles vulnérabilités découvertes, dont 18 critiques, soit 10 de plus qu’en 2020, d’où un risque accru de vol des données.

Les chercheurs de Kaspersky ont identifié des vulnérabilités non seulement dans le protocole MQTT, mais aussi dans l’une des plateformes les plus prisées pour les dispositifs connectés, Qualcomm Snapdragon Wearable. Depuis son lancement, plus de 400 vulnérabilités ont été mises en évidence, mais toutes n’ont pas été patchées, y compris certaines remontant à 2020.

Il est important de savoir que la plupart des dispositifs connectés portatifs effectuent le suivi des données de santé, mais aussi de la géolocalisation et des déplacements, ce qui expose les patients au vol de données mais aussi au stalking.

« La pandémie a entraîné une forte croissance du marché de la télémédecine, qui ne se résume pas aux téléconsultations avec un médecin. Cela implique toute une série de technologies et de produits complexes, qui évoluent rapidement, notamment des applications spécialisées, des dispositifs portatifs, des capteurs implantables et des bases de données dans le cloud. Toutefois, de nombreux hôpitaux ont encore recours à des services tiers non testés pour stocker les données des patients, tandis que les dispositifs et capteurs portatifs utilisés dans le domaine médical restent vulnérables. Avant leur mise en œuvre, vous devez vous renseigner au maximum sur leur niveau de sécurité afin de préserver les données de votre établissement et de vos patients », souligne Maria Namestnikova, qui dirige la Global Research and Analysis Team (GReAT) de Kaspersky en Russie.

Pour consulter l’intégralité du rapport sur la sécurité dans la télémédecine, rendez-vous sur Securelist.

Pour en savoir plus sur l’adoption internationale des services de télémédecine, lisez l’étude mondiale de Kaspersky.

Afin d’assurer la sécurité des données des patients, Kaspersky fait les recommandations suivantes aux prestataires de services médicaux :

·       Vérifiez la sécurité de l’application ou du dispositif proposé par l’hôpital ou l’organisation médicale.

·       Limitez si possible les données transférées par les applications de télémédecine (par exemple, désactivez la géolocalisation si elle n’est pas utile).

·       Changez les mots de passe par défaut et utilisez le chiffrement si le dispositif le permet.