Le chercheur en sécurité Martin Tschirsich a découvert des failles de sécurité dans diverses applications de santé. En plus de l’accès non autorisé à diverses données de santé et aux conversations médecin-patient, l’identité des médecins était également menacée via une fonction de réinitialisation du mot de passe. Les applications de santé populaires telles que “My Pediatrician”, “My GynPraxis” et “My ENT Doctor” sont concernées par cette faille de sécurité. Le développeur de l’application, Monks Ärzte im Netz GmbH, a désactivé la fonction de réinitialisation du mot de passe et prévoit d’utiliser l’authentification à deux facteurs et le chiffrement de bout en bout à l’avenir.
Les moines ont également reconnu que le code avait été accidentellement omis avant le déploiement, provoquant des vulnérabilités de sécurité. Bien que l’entreprise ait rapidement corrigé l’erreur dans les 24 heures, l’incident souligne la nécessité d’une infrastructure numérique sécurisée pour le système de santé. L’absence d’identités numériques sécurisées permet aux attaquants de se faire passer pour des patients ou des cabinets médicaux.
Pour résoudre ce problème, la société de Monks prévoit d’améliorer son processus d’identification des patients. À l’avenir, les assurés téléchargeront l’application et seront répertoriés comme “non vérifiés” par défaut. Ce n’est que dans le cabinet du médecin que l’assuré peut se vérifier à l’aide d’un code QR temporaire. Monks assure qu’il est impossible pour des tiers d’usurper l’identité d’une pratique sans se faire remarquer, car les pratiques médicales sont vérifiées deux fois avant d’utiliser l’application.
Malgré les vulnérabilités, la société Monks ne collecte aucune donnée, ni ne la vend à des tiers. L’objectif de la société est d’offrir aux médecins une plateforme internet qui n’est pas exploitée par des investisseurs.
