Une omelette sécuritaire, les FSE sont brouillées...

fulmedico- jeudi 2 juin 2005.
Une omelette sécuritaire, les FSE sont brouillées...

Sur internet, puis sur le Réseau SESAM-Vitale, transitent près de 1 milliard de Feuilles de Soins Electroniques (FSE)par an.
Environ la moitié vient des pharmacies ou des laboratoires de biologie.

Citation :: Les informations médicales confidentielles suintent de ces FSE !

En effet à partir des codes CIP [1] contenues dans les FSE pharmaciens, on peut retrouver très facilement l’affection dont souffre le patient.
Ainsi par exemple :
- "563 275 6" indique que le patient suit un trithérapie par une association d’abacavir, de lamivudine et de zidovudine, c’est à dire qu’il présente un SIDA.
- "339 163 3" qu’il prend du Casodex dont la seule indication est le cancer de la prostate métastasé,
- "340 409 2", qu’il a une sclérose en plaque,
- "347 945 7", qu’il présente une artériopathie oblitérante des MI, ou qu’il vient de faire un AVC ou un infarctus...
- etc...

Selon la CNAM, 90 % des FSE pharmaciens sont "protégées" actuellement par un brouillage sommaire effectuée par l’algorithme maison GOC, mais il y en aurait encore 10 % voyageant en clair sur internet !

La CNIL veut la ceinture et les bretelles pour les FSE !
Début août 2004, la CNIL considèrait que l’algorithme GOC utilisé pour certaines zones hautement sensibles (Code médicament CIP, [2] et des actes de biologie) n’était qu’un "simple dispositif de brouillage qui n’équivaut cependant pas à une procédure de chiffrement".

Mais depuis 1998, des milliards de FSE pharmacie ou biologie ont été adressés sur internet protégé par ce banal brouillage GOC...

Nul ne peut ignorer que le brouillage GOC ne vaut rien.
C’est d’ailleurs écrit dans le fameux rapport Babusiaux publié en mai 2003 dans une pertinente note au bas de la page 3 du chapitre 4 :
Plus précisément, les FSE sont « brouillées » à l’aide d’un dispositif spécifique à SESAM Vitale intégré au lecteur de carte, alors qu’elles devraient, selon la réglementation, être chiffrées par la clé de chiffrement CPS. Les conditions de lancement de l’opération n’ont pas permis la mise en oeuvre immédiate du chiffrement qui doit devenir opérationnel avec la version 1.40 de SESAM Vitale. Le dispositf de brouillage actuel n’a pas fait l’objet d’une évaluation sécuritaire : il est considéré par les hommes de l’art comme offrant un niveau de sécurité « moyen ».
Ce niveau de sécurité qualifié de moyen début 2003, n’a pas dû se bonifier en deux ans !

Chaque utilisateur d’internet sait qu’il existe des risques viraux ou d’attaques de son réseau par des hackers.

out le monde se protége d’internet, sauf Sesam-Vitale....

Avec le cahier des charges 1.40, les FSE contiendront aussi les codes CCAM qui permettent comme les codes CIP de retrouver facilement les maladies du patient.
Afin d’améliorer enfin la sécurité des informations confidentielles contenues dans les FSE, la CNIL préconisait clairement :
- le chiffrement 3DES des zones confidentielles de chaque FSE
- associé au chiffrement S/MIME du transport des flux de FSE vers les Caisses.

Or dans le dernier projet correctif du cahier des charges 1.4, ce chiffrement du transport devient optionnel.

Le futur chiffrement 3-DES des FSE/CCAM est-il sûr ?
Le 3-DES est un progrés net par rapport au brouillage GOC, mais c’est une technologie qui sera dépassée quand Sesam-Vitale 1.4 sera totalement déployé.

[1] Code CIP : code numérique à 7 chiffres identifiant une présentation d’une spécialité pharmaceutique.

[2] LLP Liste des Produits et Prestations remboursables inscrits sur la liste prévue à l’article L.165.1 du Code de la Sécurité Sociale.
Code référence L.P.P. : (code à barres et deux lignes de légende relatives à ce code et au libellé réduit du produit), sous forme d’étiquette apposée sur la feuille de soins ou par impression de la facture,

source : http://www2.fulmedico.org/a/article.php?id_article=255

@+