| | | Y’aura-t-il un scandale Sesam Vitale ? |  |
| | | Auteur | Message |
|---|
wapasha
Langue pendue
Nombre de messages : 4560
Localisation : Pays des Abers
Date d'inscription : 30/04/2005
| | Sujet: Y’aura-t-il un scandale Sesam Vitale ? Ven 9 Sep à 14:14 | |
| internetactu-09/09/2005 Y’aura-t-il un scandale Sesam Vitale ? - Citation :
- Fin 1998, Serge Humpich, un informaticien, était arrêté par une armada composée d’une trentaine de policiers et d’experts. Son crime : avoir tenté de négocier avec le Groupement des Cartes Bancaires la découverte d’une faille de sécurité dans les CB, qui les rendait facilement falsifiables. Le Groupement CB aurait pu traiter le problème de façon relativement discrète, il préféra diaboliser l’informaticien. La médiatisation de l’affaire fut telle que l’affaire Humpich fut désastreuse pour le commerce électronique, nombreux étant ceux qui pensèrent dès lors qu’il était risqué d’acheter sur l’internet, alors que ce qu’avait démontré Humpich n’avait strictement rien à voir.
Cet été, deux ingénieurs ont démontré que la carte Sesam Vitale était d’autant plus faillible qu’elle n’était tout simplement pas sécurisée. A ce jour, à l’exception de deux articles publiés par l’un d’entre-eux (Carte Vitale: rien à cacher! et Problèmes de sécurité de la carte Vitale : suite… mais pas fin !) dans Pirates Mag’, d’une dépêche de l’Agence de Presse Médicale (republiée sur ce blog), et de plusieurs billets parus sur le site de l’Association de Défense des Assurés Sociaux (ADAS), personne n’en parle. Ce qu’ont découvert les deux ingénieurs a pourtant de quoi laisser pantois.
Jérome Crétaux, un informaticien indépendant auteur de logiciels médicaux, domaine auquel il se consacre depuis 10 ans, affirme avoir prévenu le GIE Sesam Vitale, dès l’an 2000, de la présence d’un bogue qui permet de lire et de copier l’ensemble des données -y compris confidentielles- présentes dans la carte santé. Patrick Gueulle, ingénieur radio-électronicien et informaticien spécialiste, entre autres, des carte à puces, auteur de nombreux livres sur le sujet et collaborateur régulier de Pirates Mag’, avait de son côté consacré un article, en 2002, au fait qu’il était possible de cloner une carte Sesam Vitale.
Cet été, ils ont tous deux démontré qu’il était possible d’avoir accès aux données confidentielles présentes dans la carte, mais aussi de créer des cartes “compatibles” acceptées par les professionnels de santé.
Le problème tient au fait que les données sont codées, mais pas chiffrées. Autrement dit, au lieu d’être protégées par un algorithme de cryptographie -comme c’est généralement le cas dès qu’il est question de sécurité informatique-, elles ne sont protégées que du regard de ceux qui ne maîtrisent pas le langage machine…
Patrick Gueulle avance ainsi que “la carte vitale ressemble a une affiche placardée dans la rue avec une partie normale et une partie en jaune où il est écrit “ne pas lire"; nous n’avons rien craqué, puisqu’il n’y a rien a craquer : nous avons lu et recopié des données en lecture libre, photocopié une carte papier“. Ce type d’opération nécessite certes quelques connaissances en électronique, mais est d’autant plus aisé à mettre en oeuvre qu’il ne nécessite donc aucune espèce de “piratage“.
L’Agence de Presse Médicale rapporte pour sa part que “dans un rapport rendu en avril, l’Inspection générale des affaires sociales (Igas) et l’Inspection générale des finances (IGF) avaient noté que la carte Vitale 1 présentait “plusieurs inconvénients du point de vue de la sécurité” et non des moindres, puisqu’ils concluaient notamment qu’elle “ne permet pas d’authentification du porteur” et qu’elle “est falsifiable”“.
Pis, si l’on peut dire : les deux ingénieurs ont découvert qu’aucune protection n’empêche de modifier les données contenues dans les cartes clonées. En effet, les mécanismes existent, mais ils n’ont pas été activés… Cette absence de sécurité relève donc d’un choix délibéré, pas d’une faille de sécurité.
Le problème est d’autant plus grave qu’en avançant que le contenu de la carte était “codé“, le GIE Sesam Vitale laissait croire qu’il était illisible, alors qu’il ne jouait pas carte sur table. Que les données aient été inscrites en clair n’est pas scandaleux en soi : elles l’étaient déjà du temps de la carte papier. Qu’on nous ait fait croire qu’elles étaient sécurisées alors que les mécanismes de sécurité n’ont délibérément pas été activés, par contre, est beaucoup plus choquant. Qu’on puisse les modifier, consternant.
Or, on sait qu’en matière de sécurité informatique, mais aussi de données médicales, la confiance est fondamentale. Alors qu’il est question de lier l’accès au Dossier Médical Personnel à la future carte Sesam Vitale 2, et que cette affaire pourrait jeter un relatif discrédit sur la compétence du GIE, Cretaux et Gueulle avancent pour leur part qu’il n’est nul besoin de dépenser les centaines de millions d’euros prévus à cet effet.
Très critiques envers le GIE, qu’ils accusent de ne pas avoir fait son boulot correctement, ils remettent en efffet en question le projet Sesam Vitale 2 de renouvellement des cartes. A les en croire, il suffirait en effet de se servir proprement de la carte actuelle, de demander aux assurés de la mettre à jour de sorte d’activer les mécanismes de sécurité, ce qui permettrait de remplacer les données en clair par des données chiffrées, et on pourrait basculer d’un système non sécurisé à un système sécurisé rendant possible la consultation des données, mais pas leur modification. L’espace inoccupé dans la carte actuelle est tel qu’on pourrait même y insérer une photo d’identité, Vitale 1 pouvant également servir de clef d’accès au DMP.
En attendant de savoir si scandale il y aura, ou si, plus sereinement, un débat pourra avoir lieu, la réaction du GIE Sesam Vitale n’est pas pour rassurer : parce qu’il a démontré la viabilité de sa “carte compatible” en se faisant remettre des médicaments dans une pharmacie, Jérome Crétaux se retrouve aujourd’hui poursuivi par le GIE pour fabrication de fausse carte et escroquerie en bande organisée… source : http://www.internetactu.net/index.php?p=6114 @+ | |
| | | | wapasha
Langue pendue
Nombre de messages : 4560
Localisation : Pays des Abers
Date d'inscription : 30/04/2005
| | Sujet: La carte Vitale 'crackée' Lun 19 Sep à 15:39 | |
| silicon-dimanche 18 septembre 2005 La carte Vitale 'crackée'
Deux informaticiens ont mis à jour les failles de la carte d'assuré sociale. Une carte absolument pas protégée...
Par la rédaction - Citation :
 La carte Vitale est une passoire. Telle est la conclusion de deux informaticiens qui ont cracké sans aucun problème la célèbre carte verte destinée aux assurés sociaux.
L'affaire a été révélée par le Journal du Dimanche. Jérôme Crêtaux, ingénieur informaticien travaillant pour un éditeur de logiciels médicaux, a fabriqué fin juillet dernier une copie de la carte Vitale.
Plus tard, un de ses amis a utilisée sans problème cette carte copiée chez un médecin et dans une pharmacie. La révélation fait froid dans le dos: la carte Vitale n'est absolument pas protégée car non cryptée.
Certes, cette carte ne contient que des données administratives non sensibles mais dans certains cas, des maladies chroniques ou de longue durée y sont consignées. Et leur accès se fait sans difficultés.
Selon les deux informaticiens, la carte Vitale est codée, mais pas cryptée. Conséquence, il suffit de posséder un lecteur de carte pour avoir accès aux informations contenues. Interrogé début septembre par Internet Actu, un des informaticiens explique: "la carte vitale ressemble a une affiche placardée dans la rue avec une partie normale et une partie en jaune où il est écrit 'ne pas lire'; nous n'avons rien craqué, puisqu'il n'y a rien a craquer : nous avons lu et recopié des données en lecture libre, photocopié une carte papier".
La mise à jour de ces failles n'est pas récente. Jérôme Crêtaux assure avoir prévenu dès l'an 2000 le GIE Sesam-Vitale de la présence de trous de sécurité. L'information circule sur les sites Web spécialisés.
Pour autant, l'assurance maladie n'a pas bougé. Et porte aujourd'hui plainte pour contrefaçon et escroquerie en bande organisée. Le JDD explique: "le 29 août dernier, quatre policiers parisiens de l'OCLC-TIC, la brigade d'élite chargée de traquer les délinquants informatiques, débarquent à Beaulieu-sous-la-Roche, paisible village vendéen". Le dit délinquant plutot étonné explique: "ils m'ont envoyé la police pour me faire taire, mais ça ne marchera pas".
Cette affaire rappelle le dossier Serge Humpich qui avait été condamné en 2000 à dix mois de prison avec sursis pour avoir découvert, et tenté de négocier avec le Groupement des Cartes Bancaires, des informations sur une faille de sécurité des CB qui les rendait faciles à falsifier.
De son côté, la CNAM, la Caisse nationale d'assurance maladie tente de se justifier: "Les fonctions de sécurité sont proportionnées aux informations qu'on veut protéger", assure dans le JDD Joël Dessaint, directeur des finances de la Cnam, pour qui "le bénéfice que peut apporter la fabrication d'une fausse carte est très limité".
Et de mettre en avant la future Carte Vitale 2, dotée d'une photographie et "mieux protégée". Mais cette carte est encore loin d'être prête: elle sera déployée d'ici 2010... source : http://www.silicon.fr/getarticle.asp?id=11528 @+ | |
| | | | | | Y’aura-t-il un scandale Sesam Vitale ? | |
|
Sujets similaires | |
|
| | Permission de ce forum: | Vous ne pouvez pas répondre aux sujets dans ce forum
| |
| |
| |
