Le logiciel médical OpenEMR vient de faire l’objet d’une analyse approfondie par des experts en cybersécurité. Il a été mis au jour une série de failles de sécurité majeures.
Utilisé mondialement par plus de 100 000 professionnels de santé pour gérer les dossiers de plus de 200 millions de patients, ce logiciel libre présente des vulnérabilités pouvant compromettre la confidentialité des données. Disséqué par la société Aisle, en collaboration avec les développeurs d’OpenEMR, ce logiciel a vu ses problématiques sécuritaires révélées puis corrigées grâce à une série de patchs de sécurité.
Impact des vulnérabilités identifiées sur la protection des données
L’analyse menée a dévoilé 39 failles distinctes, dont 38 recensées officiellement via des CVE, portant principalement sur des erreurs d’authentification et de gestion des accès. Les vulnérabilités incluent notamment des attaques par SQL injection, des attaques par cross-site scripting (XSS) et des possibilités de contournement d’autorisation. Dans certains cas critiques, un acteur malveillant authentifié pourrait exfiltrer des données de santé à grande échelle et même exécuter un code arbitraire sur les serveurs.
Les attaques par injection SQL – spécifiquement les CVE-2026-24908 et CVE-2026-23627 – sont au cœur des risques majeurs soulignés. Ces failles permettent de compromettre la base de données des patients, ouvrant la porte à un vol massif d’informations médicales et à des manipulations potentiellement dévastatrices. L’existence d’une faille d’autorisation, CVE-2026-24487, vient encore renforcer la menace, donnée sensible accessible sans contrôle adéquat.
Renforcer la cybersécurité du logiciel médical OpenEMR
Face à ces découvertes, les développeurs ont réagi en publiant rapidement une série de correctifs, indispensables à appliquer. Le secteur médical, souvent en première ligne face aux tentatives d’intrusions, doit intégrer ces mises à jour dans ses processus de gestion des accès et de protection des données. Maintenir des systèmes à jour demeure la meilleure barrière contre les attaques ciblées visant des plateformes critiques comme OpenEMR.
La vigilance portée sur OpenEMR illustre la nécessité d’une stratégie globale de cybersécurité en santé, englobant la surveillance continue, l’audit régulier et la sensibilisation aux risques. Pour approfondir la compréhension des enjeux actuels et les risques relatifs aux failles de sécurité, il est utile d’explorer les récents articles sur les failles invisibles dans la cybersécurité des PME ou consulter les mesures à prendre sur la sécurité informatique en entreprise.
