Greenbone Networks GmbH a publié le 16 septembre dernier un rapport détaillé de leurs recherches. Le sujet porte sur les systèmes PACS qui servent à stocker l’imagerie médicale produite par les examens radiologiques. Ces serveurs partagent leurs données avec d’autres serveurs au moyen du protocole DICOM. Un médecin qui demande une radio du thorax pour son patient peut ainsi voir les résultats sur son propre ordinateur dès que les clichés ont été traités dans le centre radiologique où sont patient a été envoyé.
Malheureusement, et comme bon nombre d’autres équipements connectés à des réseaux informatiques internes, les serveurs PACS sont souvent mal protégés et exposés. Ce domaine de recherche a déjà été régulièrement étudié mais Greenbone a pour la première fois établi une cartographie presque exhaustive de l’ensemble des serveurs accessibles.
Il en ressort que plusieurs centaines de millions (!!) de données sont visibles sans authentification. Sur les 2’300 serveurs repérés, près de 600 ne sont pas protégés contre les accès extérieurs et ils partagent plus de 400 millions de documents. Et parmi ces 600 serveurs, deux se trouvent en Suisse !
Les documents « partagés » renseignent notamment sur l’identité du patient (nom, prénom, date de naissance) mais aussi sur la date de l’examen radiologique et sur la pathologie qui l’a motivé. D’après des travaux de recherches datant de début 2019, il est estimé que la valeur d’un dossier médial d’un patient sur le Darknet se situe entre $250 et $1’000. Voilà qui laisse songeur non ?
Il existe bon nombre de logiciels supportant le protocole DICOM, souvent gratuits, et on peut ainsi très facilement visualiser ses propres examens radiologiques chez soi. Si votre centre radiologique vous remet un CD/DVD (ou une clé USB s’ils sont plus modernes), vous pourrez voir les images sur votre PC ou votre Mac sans difficulté. Nous avons notamment testé Horos sur Mac qui est plutôt impressionnant. Synology intègre même un serveur PACS prêt à l’emploi qui s’installe en 1 clic.