> For the complete documentation index, see [llms.txt](https://book.onosh.ovh/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://book.onosh.ovh/ctf/cnssis2022/donnees-de-sante-exposees....md). # Données de santé exposées... ### Contexte Un lanceur d’alerte vous informe qu’il est facilement possible d’accéder aux données de santé d’un patient à partir d’un serveur de votre infrastructure, exposé sur Internet. Pour valider ce challenge, à partir de la capture d’écran qu’il vous a fournie, retrouvez le nom et le prénom du patient concerné. ### Analyse de l'image ![challengelanceur\_d\_alerte.jpg](/files/Vt56eVtufQbxCMCAsUhg) Cet image représente une capture de trames entre un client et un serveur PACS (imagerie médicale). Le serveur est accessible sur l'IP 51.83.97.109 via le port 1984 Les deux machines discutent en DICOM. Le client utilise l'AE (Application Entity Title) : AET
SignificationReprésentationValeur
Specific Character SetCSISO_IR_100
Study DateDA20211207
Study TimeTM102726.000
Accession NumberSHA10072678912
Query/Retrieve LevelCSSTUDY
Modalities in StudyCSCR
SOP Classes in StudyUI1.2.840.10008.5.1.4.1.1.1
Study DescriptionLOPOUMONS
Patient's NamePN?
Patient IDLO19841987
### Connexion au serveur PACS Le serveur PACS fonctionne bien après une tentative de communication : ``` nc 51.83.97.109 1984 -v Connection to 51.83.97.109 1984 port [tcp/*] succeeded! ``` Pour pouvoir interroger le serveur, je décide de chercher un client DICOM ou un client PACS. Le plus fonctionnel semblait être MicroDicom : Dans MicroDicom, je configure mon serveur PACS : ![](/files/eoVdQUPsyQnHlf78T7EX) Puis, je cherche le "Accession Number" du patient : ![](/files/FTccYgrxM8LLAJmyF0wi) On récupère alors les données de la patiente : Qui ? JANINE MELNITZ Date de naissance ? 9-July-1960 Radio de ? POUMONS Quand précisément ? 7-December-2021 10:27:26 Où ? APSSIS ![Janine Melnitez - Ghostbusters](/files/d1ivL1e6kjAGqpRvbREu) ### Et sur internet ? Le France est dans le top 10 des pays, qui exposent des serveurs d'imagerie médicale (d'après Shodan) sur internet :smile: ! ![](/files/jiKORLPlx5ntC5Fdlewq) Mais les champions restent les US... exemples de données accessibles 24h/24H : ![](/files/Q9deJPFOn37nelL5dwlM) --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://book.onosh.ovh/ctf/cnssis2022/donnees-de-sante-exposees....md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.