[accueil]
Paru dans Pirates Magazine n°20
Carte Vitale : le scandale !
Suite de l'article paru dans Pirates Mag' 19
Maintenant que l'effarante insécurité de la carte Vitale 1 s'étale enfin sur la place publique (lire Le Journal du Dimanche du 18 septembre), il est grand temps d'en tirer les leçons pour remettre en question le projet Vitale 2 et son dossier médical partagé. Ne commettez pas deux fois de telles bourdes, Messieurs les experts : soyez sûrs que nous vérifierons !
La carte Vitale 1 n'aurait-elle pas été déployée dans la précipitation ? Sous prétexte de sécuriser la télétransmission des feuilles de soins électroniques, on a fait l'impasse sur le secret médical. Plutôt que de rappeler, en catastrophe, des dizaines de millions de cartes qui avaient déjà coûté exagérément cher, on a « bricolé » les fameuses API made in GIE, installées chez les professionnels de santé. Pis, la carte Vitale facilite tellement les remboursements, qu'elle semble donner des idées aux fraudeurs de tout poil.
SCOT ou IGEA ?
A-t-on au moins rectifié le tir lors du passage du masque SCOT aux masques IGEA ? Vous voulez rire : bien que rejetés par certains lecteurs agréés, ils n'ont pas résisté longtemps à des investigations expertes ! Parfois assimilé à un composant sécuritaire « ajouté » dans les cartes émises à partir de mai 2003, le sigle IGEA correspondrait plutôt à l'arrivée d'un nouveau fournisseur de puces (Atmel), et au passage de l'activité cartes de Bull dans le giron d'Axalto (alias Schlumberger). Certes, la zone des clefs secrètes a pris du gras (tout comme dans les cartes bancaires !), mais à quoi bon si on ne s'en sert toujours pas pour sécuriser la lecture des informations sensibles, ou pour authentifier les cartes ? D'ailleurs, même passé de mode, le masque SCOT tient encore la route : il est muni de mécanismes sécuritaires convenables, qu'il aurait suffit d'activer, mais on a préféré faire simple...
Vitale ou Vitalo ?
Face à l'incurie institutionnelle, les « cartes navettes », librement inspirées de la technologie de nos innocentes « copies de sauvegarde », font leur petit bonhomme de chemin. Rebaptisées Vitalo et bénéficiant désormais d'une personnalisation graphique un rien provocatrice, leurs possibilités ont très sensiblement évolué. Supportées par le logiciel Provitalo (alias Locksmith) développé par Jérôme Crêtaux, elles s'essaient discrètement à signer quelques feuilles de soins électroniques : pas plus tard que le 28 juillet dernier, l'une d'elles entrait en scène dans une pharmacie de Vendée, pour la délivrance gratuite de médicaments au titre d'une affection de longue durée (ALD). S'il est un peu léger de la part de l'apothicaire d'honorer une imitation anonyme réalisée... à l'imprimante couleur (il faut dire qu'il a la garantie contractuelle d'être payé !), que pourrait-on bien reprocher à l'assuré, puisqu'il ne fait qu'exercer strictement des droits administratifs qui lui ont été régulièrement accordés ? Certes, il substitue un support physique « maison » à sa propre carte Vitale, mais en y recopiant scrupuleusement les mêmes données : autant rédiger un chèque sur papier libre, il n'y a pas l'ombre d'une tentative de fraude là-dedans ! Aucun inconvénient, par conséquent, à réitérer la démonstration devant les caméras de la télévision...
Il n'empêche que le bon aboutissement d'une seule transaction constitue une preuve suffisante que les clefs secrètes de la carte originale ne sont pas utilisées lors de la certification, puisqu'elles sont absentes de la copie ! Mais alors, comment ne pas se demander si une faille de sécurité aussi béante ne serait pas exploitée, depuis belle lurette et à grande échelle, pour ouvrir indûment des droits (et surtout le « tiers payant »), aux envieux du « meilleur système d'assurance maladie du monde » ? De telles investigations relèvent évidemment des compétences de la Police et de la Justice, mais de grâce, qu'on ne se trompe pas de cible en inquiétant celui grâce à qui le scandale a pu être dénoncé !
Repentance ou bonnes résolutions ?
Pour un peu, la lecture du rapport annuel 2004 du GIE paraîtrait réconfortante : au-delà de la sempiternelle rasade d'auto-satisfaction, on y admet en effet (p. 37) que « la sécurité de l'accès aux données confidentielles devra être renforcée ». Comme le nom de Sagem est associé au projet Vitale 2, on peut imaginer que l'industriel, rompu aux techniques militaires de cryptage, a déjà dû mettre les mains dans le cambouis. L'idée serait de développer Vitale 2 en conformité avec les nouvelles normes IAS (Identification, Authentification, Signature) approuvées par l'Agence pour le développement de l'administration électronique. Cela passerait notamment, comme nous nous tuons à le répéter, par l'authentification au moyen d'un code PIN, voire d'un procédé biométrique, afin d'établir « un lien sûr entre la carte et son porteur ». L'ennui, c'est que rien de sérieux ne pourra être fait sans modifier profondément les postes de travail et les logiciels des cabinets et officines. Encore une fois, qui va payer ? Mais entre-temps, il est clair que le plus urgent est de stimuler la vigilance des professionnels de santé, signataires de FSE : contrôle visuel attentif des cartes Vitale, et surtout comparaison avec une pièce d'identité en règle. Rien de plus que ce que font quotidiennement les commerçants, en somme, mais une telle besogne est-elle compatible avec l'éthique médicale ? Tant qu'il existera une garantie de paiement, la réponse risque fort d'être non.
b>Du plomb dans l'aile ?
Engagé à une époque où les vices cachés du système Vitale 1, forcément connus dans les milieux spécialisés, restaient sagement enfouis sous une chape de plomb, le projet Vitale 2 va devoir être profondément rediscuté. Déjà, les centaines de millions d'euros nécessaires à son financement commencent à être perçus comme un nouveau cadeau royal fait à des industriels de la carte... pas forcément français. Initialement prévu pour 2006 ou 2007, le déploiement pourrait ainsi s'étaler au moins jusqu'en 2010 : on ne remplacerait pas toutes les cartes d'un seul coup, mais on laisserait opérer le « renouvellement naturel ». Un peu comme pour les cartes bancaires EMV, donc, avec une interminable période transitoire. D'ici là, Vitale 2 sera devenue aussi obsolète que l'est aujourd'hui, du moins commercialement, Vitale 1 !
On nous pardonnera donc de lancer une idée saugrenue : et si on commençait par utiliser correctement les actuelles cartes Vitale 1 qui, rappelons-le, n'ont pas de date limite de validité ?
Evidemment, le chantier serait tout de même d'importance : rappeler toutes les cartes vers les bornes de mise à jour, pour y remplacer des données « en clair » par leur équivalent crypté.
Auparavant, il faudrait mettre à niveau l'informatique de tous les professionnels de santé, une connexion ADSL leur donnant accès non seulement au fameux « dossier médical partagé », mais aussi à un serveur d'authentification permettant de s'assurer que chaque carte contient bien la bonne clef secrète. L'idée d'un « contrôle en ligne », que le GIE sort de son chapeau dans une dépêche AFP en date du 19 septembre (tiens donc !), est-elle aussi ambitieuse ?
Prenons donc les devants, avec ce petit programme ZCBasic destiné à n'importe quel lecteur PC/SC :
REM (c)2003,2005 Patrick GUEULLE
#Include CARDUTIL.DEF
#Include COMMERR.DEF
ComPort=101
Declare Command &HBC &H80 CERT(S$,Disable Le)
Declare Command &HBC &HC0 GETR(P$)
CLS
Call WaitForCard
ResetCard
Call CheckSW1SW2
PRINT
A$="PIRATE"
For F=1 To Len(A$)
Print Mid$(A$,F,1)+" ";
Next F
Print
FOR F=1 TO Len(A$)
M=ASC(MID$(A$,F,1))
M$=HEX$(M)
IF Len(M$)=1 Then M$="0"+M$
PRINT M$;" ";
NEXT F
PRINT
PRINT
ADR$=Chr$(&H10)+Chr$(&H00)
Call CERT(A$+ADR$)
Call CheckSW1SW2
Call GETR(P$,Le=8)
Call CheckSW1SW2
FOR F=1 TO Len(P$)
M=ASC(MID$(P$,F,1))
M$=HEX$(M)
IF Len(M$)=1 Then M$="0"+M$
PRINT M$;" ";
NEXT F
PRINT
PRINT
Call WaitForNoCard
Ces quelques lignes de code suffisent pour demander à une véritable carte SCOT de « certifier » le contenu d'une adresse mémoire (ici 1000h, généralement vierge dans les cartes Vitale), à partir d'une valeur aléatoire (ici la chaîne « PIRATE »). Le fait d'obtenir des résultats différents avec des cartes distinctes prouve qu'elles contiennent des clefs différentes, sans lire directement celles-ci. Mais l'assurance maladie a-t-elle pris la précaution de conserver, chez elle, un double des clefs figurant dans toutes les cartes en circulation ? Rien n'est moins sûr, ce qui explique peut-être cet acharnement à déployer Vitale 2, en repartant carrément de zéro... Rendez-vous est pris au salon Cartes 2005 (du 15 au 17 novembre à Villepinte), où le GIE devrait occuper un stand !
Patrick Gueulle
Tous les ouvrages de l'auteur
Vous voulez soutenir une information indépendante ? Rejoignez notre Club privé !
[contact & legal & cookies] [since 1997]