mercredi 24 août 2005, par
DEPÊCHE DE MARTINE MARCHAND :
"Nous apprenons de source VRAIE que de VRAIES FAUSSES cartes circulent, et sont à l’origine de VRAIS remboursements indus par la sécu, à de VRAIS FAUX assurés sociaux, sur nos VRAIES cotisations". Alors nous nous posons la question : la technologie vitale ouvrirait-elle l’ère de la techconologie vitale ?
Vous savez ? La technologie qui permettrait toutes les conneries possibles autour de l’exploitation de nos données de santé !
http://pm.bertrand.free.fr/?p=17
"Faille de scurité des cartes vitales
PARIS, 17 août (APM, Agence de Presse Médicale) - Un défaut originel de sécurisation de la carte Vitale met sa duplication à la portée de n’importe quel informaticien bien documenté sur les cartes à puce, selon deux experts informaticiens spécialisés dans ce domaine.
Selon Jérôme Crêtaux, ingénieur informaticien travaillant pour un éditeur de logiciels médicaux et Patrick Gueulle, ingénieur diplômé de l’Ecole française d’électronique et d’informatique (EFREI), la copie de la carte Vitale est même plus facile que celle d’une carte bancaire.
Jérôme Crêtaux affirme avoir averti le GIE Sesam-Vitale dès 2000 sur la présence d’un “bogue”, une faille de sécurité qui permet de lire et de copier l’ensemble des informations concernant l’assuré présentes sur la carte Vitale, y compris les données confidentielles.
Le problème a été reconnu à demi-mot par le GIE, qui dans son rapport d’activité 2004 paru en mai, indiquait en évoquant la carte Vitale 2 qui doit équiper les assurés en 2006 que “parmi les besoins d’amélioration de sécurité par rapport à Vitale 1, a été identifié en particulier un renforcement de la sécurité de tous les échanges en ligne et de l’accès aux données confidentielles de la carte”.
Dans un rapport conjoint rendu en avril (cf dépêche APM du 24 juin), l’Inspection générale des affaires sociales (Igas) et l’Inspection générale des finances (IGF) avaient noté que la carte Vitale 1 présentait “plusieurs inconvénients du point de vue de la sécurité” et non des moindres, puisqu’ils concluaient notamment qu’elle “ne permet pas d’authentification du porteur” et qu’elle “est falsifiable”.
Selon le code de la sécurité sociale, la puce électronique de la carte Vitale contient notamment le nom de l’assuré, son prénom, sa date de naissance, son numéro de sécurité sociale, et “les données relatives aux droits du titulaire aux prestations d’un régime de base d’assurance maladie”.
Le code dispose également que “les informations relatives à une exonération de ticket modérateur (...) ne sont accessibles qu’aux professionnels et établissements de santé dispensant des soins au porteur de la carte et aux agents des organismes gérant un régime de base d’assurance maladie. Cet accès nécessite l’emploi d’une carte de professionnel de santé”.
DE LA SIMPLE LECTURE TOTALE...
Selon les deux experts interrogés par l’APM, on peut pourtant très bien se passer d’une carte de professionnel de santé, type CPx (CPS pour les médecins par exemple) : il suffit de disposer d’un lecteur de cartes à puce de type “SC/SM”, disponible dans le commerce auprès d’enseignes spécialisées au prix de 40 euros, connecté à un ordinateur sur lequel est installé le système de développement de Microsoft pour les cartes à puce.
“Une carte à puce répond à trois caractéristiques : le stockage d’informations, la possibilité d’encryptage des données embarquées grâce à un algorithme et celle d’authentification de la carte elle-même, qui sert à prouver que la carte est valide et que l’on peut s’en servir”, résume Jérôme Crêtaux.
Or, le mécanisme de sécurité de la carte Vitale n’a jamais été activé, ont découvert Patrick Gueulle et Jérôme Crêtaux, qui regrette de son côté que la France ait exigé “dans la loi que la carte soit électroniquement au niveau de la Défense nationale pour la sécurité” et qu’on “ait oublié de s’en servir”.
Non seulement les données ne sont pas encryptées, mais en plus il n’y a pas besoin de s’authentifier, par exemple grâce à un code porteur (le code PIN des cartes bancaires par exemple) pour y avoir accès. Ainsi, toutes les données concernant l’assuré titulaire de la carte Vitale sont lisibles, souligne Patrick Gueulle.
“Ce n’est pas très grave mais ce qui l’est, c’est que le GIE a affirmé que le contenu de la carte était crypté”, dénonce Patrick Gueulle, qui a mis en évidence la faille en 2002. Il rappelle que l’assuré peut demander à faire disparaître ces données confidentielles de l’attestation papier d’assurance maladie.
Les données non confidentielles sont lisibles par n’importe quel lecteur de poche approprié qui coûte entre 15 et 20 euros, disponible dans la grande distribution et qui permet notamment de vérifier que la mise à jour de sa carte dans une borne de l’assurance maladie a bien été effectuée.
Quant aux données “confidentielles” que seul un professionnel de santé devrait pouvoir lire grâce à la présence de sa propre carte CPS et de la carte Vitale de l’assuré, à savoir l’existence ou non d’une affection de longue durée, qui en soit est une information couverte par le secret médical et l’ampleur de l’exonération du ticket modérateur, elles sont également accessibles au prix d’un peu de savoir-faire informatique.
...A LA DUPLICATION...
“Jérôme Crêtaux a démontré que les fameuses API du GIE Sesam-Vitale, qui sont en quelque sorte le noyau ‘Sesam-Vitale’ des applications médicales installées sur les postes de travail des cabinets médicaux, sont purement facultatives pour lire les données de la carte Vitale : on peut dialoguer directement avec la carte. Toute personne qui travaille dans les cartes à puce sait faire ça”‘, indique Patrick Gueulle, précisant que tout est codé selon un vieux langage informatique “d’après-guerre”.
Après avoir constaté la lisibilité des données, restait à prouver la possibilité de les dupliquer. Une opération qualifiée par les deux experts de “très facile” pour un informaticien expérimenté et documenté.
Le matériel est simple : outre le lecteur et l’outil de développement pour carte à puce, il faut une “basic card”, une carte à puce vierge, qui coûte environ 4 à 5 euros dans le commerce. Ensuite, il faut écrire sur cette puce en “simulant” le masque de la carte Vitale, c’est à dire son système d’exploitation. Pour Patrick Gueulle, l’opération de copie prend 45 secondes, mais Jérôme Crêtaux l’a optimisée et elle ne prend plus que... 2 secondes.
“J’ai réussi à fabriquer de fausses cartes, qui fonctionnent. Quand un professionnel de santé utilise ma carte via son lecteur bifente, ça marche ! Tous les lecteurs du marché acceptent mes copies”, assure Jérôme Crêtaux. (1)
...VOIRE A LA MODIFICATION
Ce dernier est même allé plus loin, puisqu’il peut cloner une carte puis modifier le contenu des informations présentes sur la carte dupliquée : changer le régime, la date des droits, le taux de remboursement.
“C’est absolument indétectable ! On peut piller tous les régimes d’assurance maladie à la demande. Prenons le régime du Sénat : on peut lui vider sa trésorerie”, s’indigne Jérôme Crêtaux. “Je suis un usager de la carte Vitale et un informaticien qui en vit. Je suis scandalisé de voir que la carte Vitale, qu’on prétend sécurisée, ne l’est absolument pas. J’ai interrogé le GIE Sesam-Vitale depuis cinq ans à ce sujet, j’attends toujours la réponse”.
Partant du principe que la “copie de sauvegarde” est autorisée, Jérôme Crêtaux a développé un logiciel, “Provitalo”. Ultime pied de nez au GIE Sesam-Vitale, ce logiciel permet de copier le contenu de la carte Vitale sur l’ordinateur du professionnel de santé et d’éditer une carte Vitale “à la demande” ou “carte navette”, utilisée par le professionnel de santé lorsque l’assuré a oublié sa carte ! La copie est alors détruite immédiatement après usage.
“On ne peut pas modifier directement la carte Vitale, mais sa copie”, souligne Patrick Gueulle. “Le drame, c’est que la copie est parfaitement acceptée par tous les logiciels et équipements agréés”.
Selon lui, “il n’y a pas de chiffres, mais il est certain que des personnes mal intentionnées ont eu recours à ce procédé”.
Sollicité par l’APM sur la question de l’étendue d’une éventuelle fraude à l’assurance maladie menée grâce à cette faille de sécurité, l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), n’a pas souhaité répondre, indiquant simplement qu’une “information judiciaire” était ouverte, sans plus de précisions. (2)
De son côté, le GIE Sesam-Vitale, qui a rencontré Jérôme Crêtaux en 2004, indique “analyser” la situation et “travailler sur la question”. Le GIE estime “ne pas être sur une situation concernant l’informaticien même bidouilleur” et juge qu’il faut “être très prudent” sur la question.
“Les technologies de la carte Vitale emploient les mêmes que celles utilisées dans le monde bancaire. Or ce n’est un secret pour personne que dans le monde des hackers, les cartes bancaires sont dupliquées. La carte Vitale employant des technologies de microprocesseur avec des masques fait aussi l’objet d’attaques ; elle est soumise aux mêmes attaques que la carte bancaire”.(3)
Un responsable du GIE confirme que les données présentes sur la carte Vitale ne sont pas cryptées, mais simplement “codées”, comme n’importe quel programme informatique est codé en langage binaire. Autrement dit, les informations sont bien présentes en “clair” et sont lisibles pourvu de disposer du lecteur approprié.
“Nous avons mis en place un certain nombre de parades pour que les risques soient les plus minimes possibles”, assure ce responsable du GIE Sesam-Vitale, qui “aura un “avis bien arrêté” sur le problème “pour la rentrée, début septembre”. (4)"
NOTES DIVERSES ET VARIÉES :
(1, de Jérôme Crêtaux) On n’a même pas besoin d’outils de développement carte à puce : la documentation figure dans TOUS les outils de développement basiques. Un simple tour sur Internet pour prendre un exemple et le tour est joué.
(2, de Jérôme Crêtaux) La procédure judiciaire est en réalité une plainte du GIE contre X pour révélation publique du BUG ! ! !
En aucun cas pour en obtenir reparation !
(2 bis, de Martine Marchand) : ce serait pas aussi pour nous empêcher de révéler publiquement ? : il y a eu au début de l’enquête fermeture autoritaire du site de l’ADAS (FORBIDDEN !) et descente de la "brigade des moeurs informatiques chez Jérôme Crêtaux et Franck Bailly.
(3, de Jérôme Crêtaux) FAUX les cartes bancaires ne sont pas dupliquées : la preuve, c’est qu’on les vole au porteur après avoir récupéré le code.
Tous les mécanismes mis en place pour ‘voler’ les cartes sont bien la preuve de leur solidité ! ! !
On pourrait dupliquer les cartes bancaires, cela ferait longtemps que le GIE carte bancaire aurait réagi.
Les yes cartes sont des cartes de fabrication locale, pas des copies
(4, de Jérôme Crêtaux) Les experts proposent au GIE leurs services afin de recenser toutes les failles et pas seulement celles dont parle (d’ailleurs trop peu (!) la presse) et d’y apporter des corrections et de tester les nouveaux masques afin d’y chercher d’éventuelles failles.
(4 bis, de Martine Marchand) : en fait, les experts proposent enfin des experts au GIE Sesam-Vitale !
Lire aussi :
http://www.acbm.com/pirates/num_18/carte-vitale-ald.html
http://www.acbm.com/pirates/num_19/problemes-securite-carte-vitale.html
PS de Jérôme Crêtaux : j’attends avec impatience les ‘PARADES’ du GIE
Cela fait longtemps que Patrick Gueulle et moi y pensons.
Les solutions sont simples mais exigeraient des prises de positions et des comportements que le GIE n’adoptera jamais.
Sans vouloir être méchant on ne se baptise pas ‘spécialiste’ du jour au lendemain. Le GIE vient de prouver sur les dix dernières années son incompétence en carte à puce.
SLOGANS POUR VITALE :
"VITALE BROUILLE LES CARTES" ou : " AVEC VITALE, ON NE PEUT DÉMÊLER LE VRAI DU FAUX !"
Je vous laisse en imaginer d’autres, ils seront publiés sur le site de l’ADAS
http://www.webzinemaker.com/adas/
.
S’ils veulent aussi des experts en communication, on est là !
Martine Marchand