Il a été maintes et maintes fois prouvé que les bases de données accessibles sur Internet ne sont pas toutes aussi sécurisées qu’elles devraient l’être. Ce qui ne les empêche pas de servir à stocker des millions d’informations, souvent personnelles, sur des millions de gens à travers le monde.
Mais certaines bases de données sont tellement peu protégées, voire même pas du tout, que leur contenu se retrouve à la portée de tous, pro en informatique ou pas.
C’est ce qu’a découvert le média d’investigation ProPublica, en partenariat avec Bayerischer Rundfunk, la télévision publique allemande. Le duo a dévoilé qu’une importante base de données médicale était actuellement libre d’accès sur Internet.
Des millions de données à la portée de tous
ProPublica et Bayerischer Rundfunk ont indiqué avoir découvert près de 187 serveurs non sécurisés aux États-Unis. Ces derniers étaient librement accessibles sur Internet, car ils n’étaient pas protégés par des mots de passe.
Les bases de données impliquées contiennent des millions de dossiers médicaux, dont des images de radiologie ou des mammographies, appartenant à plus de cinq millions de patients américains. ProPublica et Bayerischer Rundfunk ont également constaté que les données non protégées concernaient principalement « des radiologistes indépendants, des centres d’imagerie médicale ou des services d’archivage ».
Pas besoin d’être un pro pour y accéder
Pour Jackie Singh, chercheur en cyber sécurité et directeur général du cabinet de conseil Spyglass Security, la situation est très inquiétante, car « ce n’est même pas du piratage informatique. C’est tout simplement une porte ouverte. » Il suffit juste d’avoir des connaissances de base en informatique pour accéder aux contenus des bases de données.
Or, comme l’explique Cooper Quintin, chercheur en sécurité et technologue principal chez Electronic Frontier Foundation, cela n’augure absolument rien de bon, car « les dossiers médicaux sont l’un des domaines les plus importants pour la confidentialité, car ils sont si sensibles. Les connaissances médicales peuvent être utilisées contre vous de manière malveillante: pour faire honte aux gens, pour faire chanter des gens. »
ProPublica et Bayerischer Rundfunk ont immédiatement alerté les responsables des serveurs concernés par le problème. C’est le cas de la société américaine MobilexUSA qui s’est empressée de renforcer la sécurité de ses serveurs. « Nous avons rapidement limité les vulnérabilités identifiées par ProPublica et immédiatement ouvert une enquête approfondie en cours », a indiqué la société, désireuse de redorer son image auprès de ses clients.a