Y’aura-t-il un scandale Sesam Vitale ?

Fin 1998, Serge Humpich, un informaticien, était arrêté par une armada composée d’une trentaine de policiers et d’experts. Son crime : avoir tenté de négocier avec le Groupement des Cartes Bancaires la découverte d’une faille de sécurité dans les CB, qui les rendait facilement falsifiables. Le Groupement CB aurait pu traiter le problème de façon relativement discrète, il préféra diaboliser l’informaticien. La médiatisation de l’affaire fut telle que l’affaire Humpich fut désastreuse pour le commerce électronique, nombreux étant ceux qui pensèrent dès lors qu’il était risqué d’acheter sur l’internet, alors que ce qu’avait démontré Humpich n’avait strictement rien à voir.

Reprise d’un article publié par Internet actu
Dans : Opinions/ Politiques publiques, gouvernance/ Confiance et sécurité/ Droits numériques/ eAdministration/ Identité numérique/ Santé - Par Jean-Marc Manach le 09/09/2005

(magazine en ligne sous licence Creative Commons)

Cet été, deux ingénieurs ont démontré que la carte Sesam Vitale était d’autant plus faillible qu’elle n’était tout simplement pas sécurisée. A ce jour, à l’exception de deux articles publiés par l’un d’entre-eux (Carte Vitale : rien à cacher ! et Problèmes de sécurité de la carte Vitale : suite... mais pas fin !) dans Pirates Mag’, d’une dépêche de l’Agence de Presse Médicale (republiée sur ce blog), et de plusieurs billets parus sur le site de l’Association de Défense des Assurés Sociaux (ADAS), personne n’en parle. Ce qu’ont découvert les deux ingénieurs a pourtant de quoi laisser pantois.

Jérome Crétaux, un informaticien indépendant auteur de logiciels médicaux, domaine auquel il se consacre depuis 10 ans, affirme avoir prévenu le GIE Sesam Vitale, dès l’an 2000, de la présence d’un bogue qui permet de lire et de copier l’ensemble des données -y compris confidentielles- présentes dans la carte santé. Patrick Gueulle, ingénieur radio-électronicien et informaticien spécialiste, entre autres, des carte à puces, auteur de nombreux livres sur le sujet et collaborateur régulier de Pirates Mag’, avait de son côté consacré un article, en 2002, au fait qu’il était possible de cloner une carte Sesam Vitale.

Cet été, ils ont tous deux démontré qu’il était possible d’avoir accès aux données confidentielles présentes dans la carte, mais aussi de créer des cartes "compatibles" acceptées par les professionnels de santé.

Le problème tient au fait que les données sont codées, mais pas chiffrées. Autrement dit, au lieu d’être protégées par un algorithme de cryptographie -comme c’est généralement le cas dès qu’il est question de sécurité informatique-, elles ne sont protégées que du regard de ceux qui ne maîtrisent pas le langage machine...

Patrick Gueulle avance ainsi que "la carte vitale ressemble a une affiche placardée dans la rue avec une partie normale et une partie en jaune où il est écrit "ne pas lire" ; nous n’avons rien craqué, puisqu’il n’y a rien a craquer : nous avons lu et recopié des données en lecture libre, photocopié une carte papier". Ce type d’opération nécessite certes quelques connaissances en électronique, mais est d’autant plus aisé à mettre en oeuvre qu’il ne nécessite donc aucune espèce de "piratage".

L’Agence de Presse Médicale rapporte pour sa part que "dans un rapport rendu en avril, l’Inspection générale des affaires sociales (Igas) et l’Inspection générale des finances (IGF) avaient noté que la carte Vitale 1 présentait “plusieurs inconvénients du point de vue de la sécurité” et non des moindres, puisqu’ils concluaient notamment qu’elle “ne permet pas d’authentification du porteur” et qu’elle “est falsifiable”".

Pis, si l’on peut dire : les deux ingénieurs ont découvert qu’aucune protection n’empêche de modifier les données contenues dans les cartes clonées. En effet, les mécanismes existent, mais ils n’ont pas été activés... Cette absence de sécurité relève donc d’un choix délibéré, pas d’une faille de sécurité.

Le problème est d’autant plus grave qu’en avançant que le contenu de la carte était "codé", le GIE Sesam Vitale laissait croire qu’il était illisible, alors qu’il ne jouait pas carte sur table. Que les données aient été inscrites en clair n’est pas scandaleux en soi : elles l’étaient déjà du temps de la carte papier. Qu’on nous ait fait croire qu’elles étaient sécurisées alors que les mécanismes de sécurité n’ont délibérément pas été activés, par contre, est beaucoup plus choquant. Qu’on puisse les modifier, consternant.

Or, on sait qu’en matière de sécurité informatique, mais aussi de données médicales, la confiance est fondamentale. Alors qu’il est question de lier l’accès au Dossier Médical Personnel à la future carte Sesam Vitale 2, et que cette affaire pourrait jeter un relatif discrédit sur la compétence du GIE, Cretaux et Gueulle avancent pour leur part qu’il n’est nul besoin de dépenser les centaines de millions d’euros prévus à cet effet.

Très critiques envers le GIE, qu’ils accusent de ne pas avoir fait son boulot correctement, ils remettent en efffet en question le projet Sesam Vitale 2 de renouvellement des cartes. A les en croire, il suffirait en effet de se servir proprement de la carte actuelle, de demander aux assurés de la mettre à jour de sorte d’activer les mécanismes de sécurité, ce qui permettrait de remplacer les données en clair par des données chiffrées, et on pourrait basculer d’un système non sécurisé à un système sécurisé rendant possible la consultation des données, mais pas leur modification. L’espace inoccupé dans la carte actuelle est tel qu’on pourrait même y insérer une photo d’identité, Vitale 1 pouvant également servir de clef d’accès au DMP.

En attendant de savoir si scandale il y aura, ou si, plus sereinement, un débat pourra avoir lieu, la réaction du GIE Sesam Vitale n’est pas pour rassurer : parce qu’il a démontré la viabilité de sa "carte compatible" en se faisant remettre des médicaments dans une pharmacie, Jérome Crétaux se retrouve aujourd’hui poursuivi par le GIE pour fabrication de fausse carte et escroquerie en bande organisée...

Jean-Marc Manach

Posté le 11 septembre 2005

©© a-brest, article sous licence creative common info

Accès aux droits et inclusion numérique : venez découvrir les lieux ressources
Une carte collaborative des structures et services ressources en matière d’accès aux droits et d’inclusion numérique a été réalisée dans le cadre du Chantier multipartenarial et métropolitain initié en 2019. 400 (…)
Animacoop : inscriptions ouvertes pour la session de l’automne 2024 à Brest
Développez vos compétences collaboratives ! Vous souhaitez Développer des compétences collaboratives en associant : Compréhension des dynamiques de groupe Méthodes d’intelligence collective Émancipation de (…)
Déjà 84 PAPI (points d’accès publics à internet) sur la carte collaborative gogocarto
Le multimédia, outil valorisant de communication peut être un facteur de lien social et de reconquête de l’estime de soi. D’où le réseau de plus d’une centaine de Papi, points d’accès public à internet, au plus près (…)
La nouvelle édition du guide de la fabrication et de la fabrication numérique est disponible !
La nouvelle édition du guide est arrivée, et sera notamment distribuée à la Fête de la science dans le Fabuleux Laboratoire aux ateliers des Capucins du jeudi 7 au dimanche 10 octobre !!!! La ville de Brest et ses (…)
Daniel et Mylène Larvor, une contribution exceptionnelle sur l’histoire de Brest à travers 27 modélisations mises en partage sur wiki-brest
Une interview pour mettre en valeur des années de travail publiées sur wiki-brest parce que le partage leur est important. Une posture inspirante de contributions aux communs bien en phase avec cette écriture ouverte (…)
Premier pas vers une gouvernance contributive (1)
En développant une politique publique du numérique à Brest , l’intention première visait à réduire les inégalités, favoriser l’inclusion sociale et développer les usages. Et puis petit à petit, nous avons appris « (…)
Brest Creative : une soixantaine d’innovations sociales ouvertes publiées
Première étape de Brest Creative, réseau de l’innovation sociale ouverte, voici les fiches descriptives d’une soixantaine d’innovations sociales à Brest et au pays de Brest publiées sur la plate forme Imagination (…)
Anime-fr : Réseau francophone des animateurs de projets collaboratifs
Lorsque nous avions initié Intercooop aux ETES TIC de Rennes en 2007 nous exprimions l’envie d’interconnecter des réseaux coopératifs. Prolongement du groupe IC-Fing, duForum des usages coopératifs, des ateliers (…)