AccueilActualités informatiquec't révèle une faille de sécurité dans les dossiers médicaux électroniques

c’t révèle une faille de sécurité dans les dossiers médicaux électroniques

Les systèmes de fichiers qui ont un rapport avec les données de santé sont particulièrement bien sécurisés, pourrait-on penser. Ce n’est pas le cas du dossier médical électronique (DME). Les médecins y enregistrent généralement les résultats sous forme de documents et d’images. Pour garantir au moins une protection formelle contre les virus et les chevaux de Troie, seuls certains types de fichiers peuvent être chargés dans l’ePA.

Selon la spécification de Gematik (PDF), les types de fichiers autorisés sont PDF, JPEG, PNG, TIFF, text/plain et text/rtf, XML, HL7-V3, PKCS7-mime et FHIR+XML. Les conteneurs Zip sont interdits, car ils pourraient contenir non seulement des fichiers quelconques contenant des codes malveillants, mais aussi des « bombes de décompression ». Celles-ci écrivent sur tout le disque dur lors du déballage et paralysent l’ordinateur.

Actuellement, il existe en Allemagne trois serveurs backend de l’ePA, exploités par Bitmarck/Rise, IBM et ITSG. Les médecins peuvent y déposer et télécharger des résultats via leur logiciel de gestion de cabinet. Les patients y ont accès via les applications de leurs caisses d’assurance maladie et peuvent également télécharger et charger des fichiers – et, avec le lancement de la nouvelle version 2.0 de l’ePA, autoriser ou bloquer l’accès des médecins.

Sommaire

Parmi les applications ePA les plus populaires, on trouve actuellement « L’application TK » pour smartphones Android et iOS de la caisse d’assurance maladie Techniker Krankenkasse. Fin novembre, nous avons reçu une information anonyme selon laquelle la version 3.15.0 d’Android (version 3.1.0.13 du produit) de l’application TK permettrait, via sa fonction TK-Safe, de charger des conteneurs Zip en principe interdits dans l’ePA. Lors du contrôle qui a suivi, nous avons effectivement réussi à télécharger un fichier zip dans l’ePA et à le re-télécharger.

En fait, l’application devrait empêcher un tel téléchargement en vérifiant le type du fichier. Mais pour cela, elle ne contrôle apparemment que son type MIME dans les métadonnées. Pour contourner ce problème, nous avons construit un conteneur zip « Röntgenbilder.zip », ajouté l’extension supplémentaire « .txt » et téléchargé le fichier sur Google Drive. Celui-ci a classé le fichier en tant que type MIME « text/plain » sur la base de l’extension du nom de fichier. Nous avons ensuite retiré l’extension .txt du nom et avons pu télécharger le fichier « Röntgenbilder.zip » de Google Drive vers l’ePA via TK-Safe en tant que « document sans forme particulière ».

Nous avons informé début décembre Gematik et la caisse d’assurance maladie Techniker Krankenkasse, qui a confirmé la faille. Selon ces informations, l’application TK a repris le type MIME « text/plain » identifié par Google Drive lors du premier téléchargement et que Google Drive a conservé lors du changement de nom. Le 15 décembre, la caisse d’assurance maladie Techniker Krankenkasse nous a informés que la faille avait été comblée dans la version 4.1 de l’application TK (version 4.0.0.1 du produit).


  • Sur l’état de la numérisation dans le secteur de la santé

Les fabricants d’une application ePA doivent la faire certifier par Gematik. Cependant, cela ne s’applique pas aux « mises à jour avec des modifications mineures ». Selon ce document, Gematik n’avait certifié que la version 3.1.0 du produit de l’application TK et n’y avait pas trouvé la faille que nous avons décrite.

En raison d’une faille de sécurité dans l’application Android « La TK-App », nous avons réussi à télécharger un fichier zip interdit dans l’ePA.

La Techniker Krankenkasse a toutefois déclaré que la sécurité des cabinets médicaux n’avait pas été menacée par un éventuel téléchargement de fichiers zip dans l’ePA. Comme tous les fichiers dans l’ePA sont transmis cryptés de bout en bout, ils doivent être vérifiés dans le frontend. Et comme l’application TK n’est qu’une possibilité parmi d’autres de remplir l’ePA, les médecins doivent impérativement vérifier que les fichiers ePA ne contiennent pas de code malveillant lors de leur téléchargement.

Une prescription correspondante se trouve dans le guide d’implémentation de l’ePA (gemILF_PS_ePA_V2.0.0.pdf, PDF) de Gematik. On peut y lire sous le nouveau point A_17769 : « Le PS doit prendre des mesures pour se prémunir contre d’éventuels logiciels malveillants dans les documents téléchargés, si le format ou le contenu du document téléchargé ne correspond pas au type de document indiqué dans les métadonnées ». PS signifie ici système primaire et signifie systèmes d’information de gestion de cabinet médical ou d’hôpital.

Selon les informations fournies par la caisse d’assurance maladie Techniker Krankenkasse, il doit effectuer un « contrôle de plausibilité et prendre les mesures appropriées ». Les applications telles que l’application TK, qui permettent aux assurés de télécharger des fichiers de manière autonome dans l’ePA, ne font toutefois pas partie des systèmes primaires.

Selon Gematik, il n’existe pas de risque de sécurité accru avec l’ePA. Elle préfère parler d’une « limite de la prestation de sécurité » et écrit à ce sujet : « Le contrôle de ces fichiers incombe à l’assuré lui-même, ce qui signifie que seul l’assuré lui-même peut le déjouer et porter sciemment atteinte au médecin de confiance avec un fichier. Ce scénario plutôt irréaliste ne concerne pas seulement l’utilisation de l’ePA, mais existe déjà aujourd’hui, par exemple lors de la transmission de résultats (comme des radiographies) sur un support de données que l’assuré apporte au cabinet médical ».

Manifestement, le fait que les chevaux de Troie peuvent tout à fait infecter des fichiers sans que leurs propriétaires (médecins ou patients) en soient informés ne s’est pas encore répandu jusqu’à la Gematik.

La question se pose donc de savoir qui portera la responsabilité si un code malveillant parvient tout de même à s’introduire dans l’ePA et à contourner le « contrôle de plausibilité » et les « mesures appropriées ». Comme il est toujours possible de prouver qui a introduit un fichier dans le système, le système ePA est plus sûr qu’une transmission par e-mail, argumente Gematik. C’est pourquoi il n’y a pas non plus d’évaluation des dommages qui pourraient résulter de l’introduction de codes malveillants dans l’ePA. Selon Gematik, les médecins sont tenus, en vertu du § 75b SGB V, de respecter des « mesures de sécurité standard contre les logiciels malveillants ».

Les médecins et autres prestataires de soins devraient donc avoir des antivirus mis à jour et des lecteurs de PDF fraîchement patchés sur leurs systèmes. En outre, c’est une bonne idée d’ouvrir les données ePA ainsi que les pièces jointes aux courriels dans une machine virtuelle qui rend au moins beaucoup plus difficile la propagation d’un éventuel code malveillant.

Plus d’informations

De nombreuses enquêtes d’investigation de c’t ne sont possibles que grâce aux informations anonymes fournies par les lanceurs d’alerte.

Si vous avez connaissance d’une irrégularité qui devrait être portée à la connaissance du public, vous pouvez nous faire parvenir des informations et du matériel. Pour ce faire, utilisez notre boîte aux lettres anonyme et sécurisée.

https://heise.de/investigativ

Certains médecins ne veulent même pas soutenir l’ePA par crainte des conséquences possibles en matière de responsabilité. Ainsi, un médecin nous a écrit : « Une première étape serait de faire prendre connaissance au patient, par une signature, du fait que l’on n’accepte pas son DPI parce que les risques juridiques et techniques sont trop élevés pour le médecin et que, dans cette mesure, le patient libère le médecin des conséquences de la responsabilité en ne prenant pas connaissance de son DPI ».

Les médecins ne peuvent toutefois pas se simplifier la tâche à ce point. Car si l’utilisation d’un ePA est facultative pour les assurés (opt-out), le médecin a, selon le § 291a SGB V, un devoir de coopération si quelqu’un a rempli ou veut remplir un ePA avec des données médicales. Le médecin traitant doit en outre prouver qu’il a examiné l’ensemble des données. Dans le cas contraire, on pourrait lui reprocher une erreur de constatation. Contrairement au reproche d’une erreur de diagnostic, la charge de la preuve peut alors être renversée : Le médecin doit prouver qu’il a effectivement pris en compte tous les résultats.

C’est pourquoi l’avocat Dirk Wachendorf a qualifié l’ePA d' »offre empoisonnée en matière de responsabilité » lors du dernier congrès des médecins libéraux. Il a donc recommandé aux médecins réunis de souscrire une « assurance cyberrisque » en plus de la police d’assurance responsabilité civile professionnelle.

Une telle police serait probablement aussi la bienvenue pour les assurés de l’assurance maladie, afin de se prémunir contre d’éventuelles demandes de dommages et intérêts si l’un de leurs fichiers ePA venait à paralyser un cabinet avec un code malveillant. Ceux qui ne veulent pas accepter les coûts supplémentaires qui en découlent ont toujours la possibilité d’opter pour l’ePA.

Les personnes qui souhaitent utiliser le DPA à l’avenir devraient toujours disposer d’une sauvegarde au cas où les serveurs du DPA tomberaient en panne. C’est ce qui s’est passé le 13 décembre, lorsque toute l’infrastructure télématique (TI) est tombée en panne à cause de la faille log4j, ou encore le 16 décembre, lorsqu’IBM a changé son backend pour l’ePA 2.0 et qu’un tiers de tous les ePA étaient inaccessibles.

Comme d’autres services de la TI ne répondent actuellement pas non plus aux exigences des systèmes à haute disponibilité, l’association fédérale des médecins conventionnés (KBV) s’est rebellée mi-décembre contre l’introduction obligatoire de l’ordonnance électronique. Comme elle ne fonctionne pas encore sans erreur dans ses processus de fond et qu’elle n’est pas disponible sur tout le territoire malgré son lancement prévu pour janvier 2022, les représentants des médecins voulaient transformer les dispositions strictes de la numérisation en dispositions facultatives. Le communiqué de la KV Westfalen-Lippe indiquait par exemple : « Dans la mesure où les pharmacies situées à proximité du cabinet ne sont pas en mesure de recevoir et d’honorer les ordonnances électroniques ou ne sont pas disposées à le faire, vous pouvez délivrer à l’assuré une ordonnance papier sur le modèle 16 ».

De même, des impressions papier alternatives doivent rester possibles pour les certificats électroniques d’incapacité de travail (eAU). La KBV s’est ainsi engagée dans une confrontation directe avec Gematik et le ministère fédéral de la Santé (BMG). Le 20 décembre, le BMG a tiré le frein d’urgence et a stoppé l’introduction prévue de l’ordonnance électronique dans toute l’Allemagne au 1er janvier. En raison de « doutes importants », « le test et l’exploitation pilote doivent maintenant être poursuivis et étendus progressivement », a déclaré un porte-parole du BMG – sans indiquer de nouvelle date d’introduction.

c’t édition 2/2022

Dans c’t 2/2022, nous avons composé pour vous le Windows d’urgence c’t 2022. Avec le kit pour le système fonctionnant à partir d’une clé USB, vous trouverez des virus, sauverez des données ou réinitialiserez des mots de passe. Nous mettons en lumière la manière dont l’UE veut utiliser les failles du RGPD pour les scanners de contenu, nous avons testé des smartphones haut de gamme, des moniteurs mobiles USB-C et des logiciels serveur pour la collection de médias privée. Vous trouverez le numéro 2/2022 à partir du 31 décembre dans la boutique et dans les kiosques à journaux bien achalandés.

Plus d'articles