Un rapport édifiant sur les failles de cybersécurité des applications mobiles en santé

Dans le domaine de la santé mobile (définie par InnovateMedTech comme la pratique de la médecine et de la santé publique via des appareils mobiles – smartphone, tablette, assistant numérique personnel, infrastructure sans fil – comprenant toutes les applis de télécommunications et des technologies multimédias de prestation d’informations sur la santé : des vérificateurs de symptômes, à la gestion des dossiers cliniques, en passant par l’autosurveillance et la communication avec un professionnel de santé), en 2018, 84 000 éditeurs mettaient à disposition 318 000 applications. Le nombre de téléchargement de ces dernières s’élevant à 3,7 Mds en 2017, d’après le rapport diffusé par APProov le 3 février 2021. En testant les capacités de sécurité de 30 applications de santé mobile, cette enquête a mis en évidence un risque considérable d’exposition d’informations sensibles sur la santé et l’identité des utilisateurs. Le nom des applications ou de leurs développeurs n’est pas révélé mais les données proviennent de “sociétés dont les revenus vont de 600 M$ à 8 Mds $ avec un effectif moyen de 15 000 employés.” Les applis collectant des millions de données de santé, un datalake massif de données monétisables est généré, attirant l’attention de hackers internationaux. Or, 48 % des consommateurs préfèrent contrôler eux-mêmes leur santé via des applis connectées à des dispositifs, contre 16 % en 2014 selon un rapport d’Accenture daté de 2018. Experian, société spécialisée dans la gestion de la fraude, estimait en 2017 qu’un numéro de sécurité sociale coûterait 1 $, un dossier médical complet jusqu’à 1 000 $ ! 

D’inquiétantes failles de sécurité

Le rapport d’APProov révèle qu’en procédant par rétro-ingénierie -analyse d’un programme depuis l’extérieur, encadré par la loi et autorisé à des fins d’interopérabilité- 5 minutes ont suffi pour accéder aux API (Application Programming Interface, passerelle permettant à deux applis (mobile ou site internet) de communiquer et faciliter l’échange de données entre client et serveur). 100 % des applis testées s’avéraient vulnérables à des attaques “BOLA” (Broken Object Level Authorization, exploitation d’une faille de vérification des paramètres transmis à l’API pour accéder à une donnée non autorisée.) Vulnérabilité la plus commune et grave selon l’OWASP, (Open Web Application Security Project), menant à l’accès non autorisé à des dossiers patients complets, résultats de laboratoires téléchargeables, imageries, test sanguin et des informations d’identification individuelle/personnelle. Des clefs API et des tokens (jeton d’authentification) ont été découverts pour Google, Microsoft App Center, Amazon et Facebook, sachant que 50% des API testées n’ont pas authentifié les requêtes avec des tokens. Globalement, les résultats de l’étude montrent que les standards de sécurité requis pour se conformer aux FHIR (Fast Healthcare Interoperability Resources) du gouvernement américain “ne représentent qu’un sous-ensemble d’étapes nécessaires à la sécurité des applis et leurs API, alors que les cyberattaques contre les établissements de santé deviennent plus fréquentes.