Doc Cirrus : Une faille de sécurité dans le logiciel du cabinet rend plus d’un million de données de patients visibles

Carte de santé électronique : le manque de puces pourrait retarder la délivrance

Un logiciel pour les cabinets médicaux de la société berlinoise Doc Cirrus est utilisé par de nombreux médecins dans ce pays. C’est tout simplement stupide si les données hautement sensibles sur la santé et les patients ne restent pas aussi privées qu’elles le devraient. Parce qu’une faille de sécurité dans le logiciel rendait les données du patient et de la santé visibles pour les étrangers. Plus d’un million d’enregistrements de données provenant d’environ 60 000 patients seraient touchés.

Doc Cirrus : logiciel de pratique inSuite avec fuite de données

Le logiciel du cabinet inSuite, développé par la société berlinoise, est en effet destiné à faciliter considérablement le travail des médecins. Selon le fabricant, le logiciel basé sur le cloud devrait être entièrement modulaire et extensible, fonctionner sans maintenance et offrir une protection maximale des données, selon la propre page d’accueil de l’entreprise.

Le collectif prouve que ce dernier n’est évidemment pas le cas recherche dans son rapport, tel que rapporté par le Tagesschau. Selon Zerforschung, plus d’un million d’enregistrements de données contenant des données très sensibles sur les patients et la santé ont été perdus en raison de failles de sécurité massives et ont été rendus entièrement accessibles aux personnes non autorisées. Selon les estimations, environ 60 000 patients sont concernés.

Ainsi, le collectif a pu accéder aux comptes de messagerie des cabinets médicaux inscrits au logiciel. Avec inSuite, ils disposent de coffres-forts de données – de petits serveurs privés pour le cabinet respectif, qui ne sont pas accessibles via Internet, mais sont contrôlés de manière centralisée par un service de Doc Cirrus.

Trafic e-mail librement visible

La faille de sécurité se situait précisément dans cet accès externe. Il était ainsi possible pour Zerforschung d’obtenir les données d’accès complètes pour la boîte de réception générale des e-mails du cabinet médical concerné et ainsi de lire tous les e-mails que le cabinet recevait.

« Et il contient souvent les informations les plus privées sur les patients », donc recherche dans le blog. Et cela malgré le cryptage de bout en bout existant, qui ne s’étendait apparemment pas aux documents sensibles. Les données personnelles telles que les noms, les diagnostics, les valeurs sanguines et parfois même les médicaments prescrits peuvent être consultées librement et en clair.

L’entreprise ferme complètement le logiciel

Zerforschung a transmis les résultats recueillis directement à l’Office fédéral de la sécurité de l’information (BSI) et a informé le fabricant Doc Cirrus, qui a également réagi rapidement et a complètement désactivé le portail inSuite.

La société l’a annoncé dans un Communiqué de presse du 11 juillet 2022 sur sa propre page d’accueil et attribue la faille de sécurité à une erreur de programmation dans son propre logiciel.

« Les services concernés ont été désactivés et vérifiés par nous immédiatement après réception du rapport, » donc Doc Cirrus. Cependant, les analyses internes des fichiers journaux et des modèles d’accès n’offrent aucune raison de supposer que les informations sur le cabinet ou les patients ont été consultées ou consultées par des tiers.

Les erreurs de programmation sont maintenant corrigées et les services concernés « sont à nouveau actifs pour la plupart ». Cependant, la société n’a pas voulu révéler combien de cabinets médicaux en France utilisent réellement le logiciel et lesquels d’entre eux étaient concernés par la faille de sécurité.

Il n’a pas non plus été précisé si les patients étaient informés de la lacune de sécurité. Spectacle sous l’égide du Tagesschau NDR et WDR a toutefois souligné que Doc Cirrus faisait de la publicité avec de nombreux certificats pour une sécurité particulièrement élevée de leur solution, mais ceux-ci ne sont pas destinés à la protection des données.

La sécurité informatique des systèmes de gestion des cabinets médicaux est uniquement entre les mains des fournisseurs respectifs, rapporte l’Association nationale des médecins de l’assurance maladie légale (KBV) à la demande de NDR et WDR.