«Récupération de hacker» Alissa Knight considère les informations personnelles sur la santé comme les données les plus précieuses du dark web. Le chercheur en cybersécurité de Knight Ink déclare: «C’est 10 fois plus cher qu’une carte de crédit pour un seul enregistrement PHI.»
Knight s’est associé à une société de sécurité mobile Approov pour pirater 30 applications de santé mobile pour mettre en évidence les menaces auxquelles elles sont confrontées via des interfaces de programme d’application (API). Les résultats ont été publiés dans un rapport récent, « Tout ce que nous laissons entrer. »
Toutes les applications se sont révélées vulnérables aux attaques API et certaines ont permis l’accès aux dossiers de santé électroniques (DSE). Les 30 applications exposent collectivement 23 millions d’utilisateurs de la santé mobile à des attaques, a rapporté Knight. Sur les 30 tests d’applications, 77% contenaient des clés API codées en dur, dont certaines n’expirent pas, selon le rapport, et 7% avaient des noms d’utilisateur et des mots de passe codés en dur.
Les API sont les canaux de communication entre une application mobile et un service cloud, un serveur physique ou une infrastructure hospitalière, a expliqué David Stewart, fondateur et PDG d’Approov.
La menace pour les API est réelle car Gartner prédit que d’ici 2022, les attaques API ne seront plus rares mais deviendront le vecteur d’attaque le plus fréquent pour les violations d’applications. Les API permettent aux téléphones portables d’accéder aux radiographies, aux rapports de pathologie et aux données sur les allergies. La pandémie COVID-19 a accéléré l’utilisation des applications de santé mobiles et des soins virtuels, et cette poussée a motivé Approov et Knight Ink à collaborer à l’étude, selon Stewart.
Stewart a noté le large éventail d’applications de santé mobiles qui font face à des menaces lorsque la société de sécurité a testé des applications de grands systèmes de soins de santé ainsi que de fournisseurs de services de santé mobiles. Knight a également testé des applications permettant aux cliniciens de se connecter et de gérer les données des patients. Knight et Approov ont gardé les noms des applications de test anonymes.
«Il existe de nombreuses applications mobiles de soins de santé qui n’accèdent peut-être pas directement aux dossiers médicaux du patient, mais qui continuent d’accéder à des informations extrêmement sensibles, comme les prescriptions qu’elles prennent régulièrement pour quels médicaments», a déclaré Stewart. D’autres applications qui pourraient faire face à des menaces incluent des applications pour les services de santé mentale, a-t-il ajouté.
Au cours de ses recherches, Knight a piraté le système d’un hôpital, modifiant les valeurs d’un DSE d’un chiffre, puis a pu accéder aux dossiers de santé des membres de la famille du patient et à d’autres informations que le bureau d’enregistrement d’un hôpital avait capturées pour un patient. Knight a utilisé un outil de piratage qui semble générer des données à partir d’une application de santé mobile.
«Le trafic est exactement le même que le trafic provenant de l’application mobile réelle, et cela donne aux pirates informatiques beaucoup plus de flexibilité sur les choses qu’ils peuvent faire», a expliqué Stewart.
En outre, Knight a constaté que 100% des points de terminaison d’API étaient sensibles aux attaques BOLA (Broken Object Level Authorization). La Fondation OWASP, qui organise des projets open source menés par la communauté, a classé BOLA comme le principal risque de sécurité pour les API. Les attaques BOLA ont permis à Knight d’afficher des informations d’identification personnelle et des informations de santé personnelles qui n’étaient pas autorisées dans le compte clinicien utilisé par le chercheur.
De plus, dans 50% des API testées, les professionnels de la santé ont pu accéder à la pathologie, aux radiographies et aux résultats d’autres patients.
«Avec les API donnant accès aux données de santé les plus convoitées, il est urgent de sécuriser ces API», a déclaré Ben Denkers, vice-président senior des services de sécurité et de confidentialité chez Cybersecurity Consulting Form. CynergisTek.
Comment protéger les données de santé mobiles contre les attaques d’API
Les Denkers recommandent des outils tels que APIsec qui utilisent l’automatisation des tests de sécurité pour trouver des vulnérabilités dans les API. Les boîtes à outils de sécurité des applications mobiles comme APIsec fournissent des tests de pénétration des API de soins de santé.
«Nous utilisons cela dans le cadre de nos évaluations avec les organisations de soins de santé, puis nous leur recommandons de l’intégrer plus profondément dans leurs processus de développement et de publication», a déclaré Denkers. «Si vous commencez par créer des API sécurisées, vous obtiendrez des applications mobiles sécurisées et des applications Web sécurisées seront la valeur par défaut.»
Le rapport Approov a suggéré l’épinglage de certificats comme stratégie pour protéger les API afin d’empêcher les certificats expirés de bloquer l’accès aux données de santé critiques. En outre, les développeurs de logiciels et les organisations de soins de santé doivent surveiller les contrôles qu’ils mettent en œuvre pour les applications et les ajuster pour se conformer aux lois telles que la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA).
Knight reconnaît la valeur de l’innovation dans le domaine de la santé malgré les menaces qui pèsent sur la sécurité des applications mobiles. Pour poursuivre l’innovation tout en protégeant les données sensibles, les organisations doivent mettre en œuvre la sécurité dans le code dès le début lors de la conception d’applications de santé mobiles, selon Knight.
«Nous devons juste faire un meilleur travail pour garantir [apps] avant leur mise en production, avant de les lancer et de les rendre accessibles au grand public, car ce sont nos données les plus sensibles », a déclaré Knight.
.
