Aller au contenu


Photo

La carte Vitale est une passoire


  • Veuillez vous connecter pour répondre
4 réponses à ce sujet

#1 Dearcham

Dearcham
  • Localisation : Proche paname

Posté 04 novembre 2005 à 18:17

Article éloquent sur l'infaillibilité des cartes à puce
http://calle-luna.or...?id_article=197

Faille dans la Carte Vitale
Jérôme CRETAUX, ingénieur informaticien.
novembre 2005.

Comment en vient-on là ?

La réponse est fort simple : parce que c'est mon métier. Oui c'est mon métier d'écrire des logiciels pour les médecins. A ce titre je me dois de leur livrer ce qui non seulement gère les cartes Vitale mais aussi leur assure que l'usage de cette carte ne va pas contre leur déontologie et le secret médical. Ils me font confiance, comme on fait confiance à son garagiste. Vous ne vérifiez pas votre voiture à chaque réparation : vous avez confiance.

Donc au départ ma demarche est simple. Et en préparant mon logiciel je me rends compte que le boulon de 12 de la doc fais 12.5. C'est pas grave mais quand même. Alors je téléphone chez le concessionnaire et lui signale.

Deux jours aprés je perdr mon enseigne. Bizarre.

Comme j'ai vendu quelques voitures je les entretiens. Soudain je découvre que la courroie s'use anormalement. Un peu échaudé je téléphone chez le constructeur pour signaler l'incident. Dans la nuit mon garage brûle ? ? ? ?

Alors je regarde de plus prêt et je découvre que la voiture est une gageure : rien n'a été fait correctement, les écrous ne correspondent pas aux vis.

J'appelle la presse professionnelle, les associations de constructeurs, de consommateurs : RIEN ! Mon garage est attaqué par les oiseaux ! ! !

C'est à n'y rien comprendre.

Mais je sens que certains sont avides de détails. Les garagistes c'est bien mais rien ne vaut des octets en folie.

Alors tout simplement au début j'ai utilisé les APIS livrés par le GIE Sésame Vitale (SV), tout à fait normalement afin d'écrire un logiciel de lecture simple de cartes Vitale. Une petite précision : pour en lire l'INTEGRALITE.

Pour lire une carte Vitale il faut avoir lu précédemment une carte de médecin.

En gros il existe deux sortes de cartes : celles de test et les réélles.

Les cartes de tests étant destinées aux éditeurs comme moi. Tout le monde aura compris que les mariages inter-communautés sont impossibles.

Et en vérifiant que mon logiciel renvoyait bien le bon code erreur SURPRISE ! Pas de code erreur. Si on lisait une carte médecin de test puis une vraie carte Vitale les APIS ne s'en rendaient pas compte.

Je ne renterai pas dans la bataille : à quoi celà sert, moi je suis programmeur : cela devrait me rendre un code erreur celà ne le rend pas. Celà s'appelle un bug un point c'est tout. Par contre il ne doit pas être difficile à corriger (sans doute un "else" mal fichu ! ! ! !).

Il m'a fallut un an et les interventions de la CNIL pour le faire admettre. Pire au bout d'un an l'erreur est reparée mais le patch , ni la version corrigée, ne sont diffusés.

Il me faudra encore attendre UN AN pour cette diffusion.

Alors bien entendu ma colère a été bruyante et tout le monde l'a entendue. Jai saisi le procureur de la République, la CNIL, le Garde des Sceaux : mes plaintes ont été a peine reçues et classées sans suite. Le GIE peut se vanter d'avoir porté plainte contre moi, quand on porte plainte contre lui le procureur se couche.

Alors vous me trouvez sans doute dur avec le Ministre et le pouvoir mais attendez je vais vous raconter une belle histoire :

Pendant que j'essayais de faire entendre raison à nos autorités j'ai continué mes recherches et vous ne devinerez jamais ce que j'ai trouvé : des chevaux de Troie ! ! ! !

Et oui, la mission SV a fait écrire par les GIE des espions logiciels mis en place chez 200 000 professionnels ET CHEZ LES EDITEURS ! Vous ne rêvez pas 200 000 ordinateurs sous contrôle permanent de la Sécu. Ils recoupaient les infos 20 fois par jour.

Jai tout : le code source, la doc. , la méthode d'intrusion, la collecte, les fichiers de résultats, la technique pour renvoyer les résultats à SV, les documents pour que les constructeurs les mettent directement dans leurs lecteurs. La plus grosse entreprise de piratage après Windows XP !

Et puis tant qu'on y est, la cerise sur le gâteau : le GIE s'était déjà fait coincer pour le comportement et avait été rappelé à l'ordre par la CNIL : récidive et préméditation.

Pour remonter les informations ils sont allé jusqu'à modifier une norme nationale. C'était tellement flagrant que dans les 48 heures le GIE sortait une nouvelle version de la DLL qui avait perdu 150 Ko. On en fait des choses en 150 Ko !

Bien sûr j'ai immédiatement tiré la sonnette d'alarme. Je suis entré directement en relation avec les cybersflic de l'Office. J'ai le nom de celui qui m'a répondu : "c'est pas grave Monsieur Crêtaux, que voulez vous qu'ils volent". "Mais c'est interdit on ne peut laisser faire cela". "Mais non c'est pas grave : la preuve il n'y a que vous pour vous plaindre". Finalement refus de prendre ma plainte !

Alors j'ai écris en AR au Garde des Sceaux. Vous savez il s'appelait PERBEN. Il a paraît-il sortit une loi pour les délits informatiques ! C'est lui l'inventeur du délit d'intrusion dans un système informatique.

On peut poursuivre les gamins qui téléchargent des MP3 en P2P, on ne risque pas sa place, mais poursuivre le GIE SV pour incurie, abus de confiance : pas possible le ministre ne veut pas

Alors certains vont peut être trouver les propos qui suivent durs et la limite de la légalité, mais on ne joue pas.

Comme je le dis souvent avec la Sécu l'unité de calcul c'est la centaine de millions d'euros. Pour les escroqueries aussi. Et si ces messieurs trouvent que mes propos sont diffamatoires ou insultants et bien rendez-vous devant le juge. Moi je prouve tout ce que je dis (80 documents saisi par les cyberflics on ne pourra pas m'accuser de les trafiquer !). Quand on prouve ce que l'on dit c'est pas de la diffamation ?

Aujourdhui celà fait plusieurs jours que l'affaire est sur la place publique mais trois ans chez le Ministre, relayée par tous les médias écrits et télévisuels, aujourd'hui par Calle Luna, et bien aucune réaction, aucun contact ni avec le gouvernement ni avec la Sécu : dans trois semaines tout le monde aura oublié ! Pour ceux qui ont trop bonne mémoire il y a des gens qui viendront les aider à oublier : ceux qui surveillent mon téléphone et mon mail depuis des années et qui auront lu cet article avant même qu'il arrive à la rédaction de Calle Luna.

L'affaire est sur la place publique mais comme la justice REFUSE d'agir tout va continuer. Mais je ne baisse pas les bras je me battrais et jai encore des ressources. Les failles sont tellement nombreuses que je n'ai que l'embarras du choix.

Si vous pouvez m'apporter un soutien il sera la bienvenu .

Jérôme Crêtaux
xxxxxxxxxxxxx
XXXXXXXX XXXXXXXXXXXXXX

Monsieur le Garde des Sceaux
Ministère de la Justice
Hôtel de Bourvallais
75000 PARIS

Courrier avec AR 2 pages sur deux feuilles
Pièces jointes : Photocopie Carte d'Identité
Objet : dépôt de plainte envers le Groupement d'intérêt Economiques SESAM Vitale

Monsieur le Garde des Sceaux

Pour la deuxième fois je m'adresse à vous n'ayant obtenu aucun résultat du premierc de ma première missive bien que vous l'ayez transmis au parquet général de la Vienne qui m'en a informé. Depuis mon premier courrier la situation a considérablement évoluée. Cependant les responsables de l'assurance Maladie continuent à ridiculiser les lois de notre pays allant même jusqu'à se servir à leur avantage de votre loi Perben 2 qui pourtant comporte des articles qu'elles enfreignent quotidiennement

Il se trouve que j'ai prouvé l'existence de logiciels espions mis en place par l'Assurance Maladie afin de collecter des informations sur les ordinateurs des professionnels de Santé.

Votre loi prévoit bien : « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni »et encore « Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni » L'Assurance Maladie ne s'est pas introduite dans un système de traitement automatisé mais dans 100 000 (cent mille). Tous les jours elle utilise les informations volées sur les ordinateurs des professionnels de Santé, à son profit et à l'encontre de toutes les lois de la libre concurrence.

Les faits sont avérés et démontrés. L'office Central de Lutte contre la Criminalité liées aux technologies de l'information et communication est impuissant à faire cesser ces délits par faute de pouvoir, il en est de même pour la répression de fraudes. La justice ne s'applique pas à l'Assurance Maladie.

A un moment où des magistrats d'Orléans appliquent très scrupuleusement votre loi sur les devoirs d'un avocat il est étrange de constater que pas un d'entre eux n'ose demander des comptes à l'Assurance Maladie Vous excuserez mon esprit faible, je ne suis qu'un simple citoyen, mais j'ai du mal à comprendre comment l'arrestation et l'incarcération d'un avocat de la défense dans une trop classique escroquerie peut se justifier comme étant une menace pour la France et comment des fonctionnaires de l'état qui, depuis des mois, gaspillent allègrement les deniers des assurés sociaux, qui leur volent leurs secrets médicaux, qui espionnent leur médecin, ne font l'objet de pré enquêtes menées à un train de sénateur par des procureurs visiblement peu enclin aux règles de la productivité.

Mais pour comprendre peut-être faut-il être élu, fonctionnaire ou énarque ? Mais peut-être que le ministère n'est pas soumis lui au devoir de réserve et qu'il peut expliquer à un simple citoyen l'esprit de la loi, voir celui de la Déclarations des droits de l'Homme, certains français ne semblant pas être soumis aux même lois que les autres

Suite à mon premier courrier j'ai déposé six nouvelles plaintes dont certaines directement chez le procureur général. Il ne m'a même pas honoré d'un accusé de réception. Reconnaissez Monsieur le Garde de Sceaux qu'il est difficile de ne pas penser à la forfaiture. Depuis cinq ans TOUTES mes plaintes ont disparu mystérieusement par contre la moindre lettre de délation, le moindre dépôt de plainte du GIE et l'on voit arrivé tout l'arsenal policier et judiciaire de notre pays. C'est troublant

Alors Monsieur le Garde des Sceaux c'est chez vous que je viens déposer plainte puisse que même vos procureurs Généraux refusent de les recevoir. A comportement exceptionnel procédure exceptionnelle.

- Je dépose plainte contre la mission SESAM VITALE qui par l'intermédiaire de son GIE a élaboré un plan national de vol d'informations chez les 200 000 professionnels de santé que compte notre pays.
- Je dépose plainte contre le GIE du Mans pour avoir réalisé des logiciels dont le but était exclusivement le vol d'informations et a perpétration de délits sévèrement punis par la loi
- Je dépose aussi plainte contre le GIE qui rendant l'utilisation de ses espions obligatoire pour les éditeurs m'a empêché d'exercer mon métier sauf en m'associant à ses propres délits ; -Je dépose plainte contre le Centre National des Dépôts et Agréments pour avoir mis en place un numéro d'agrément , imposé mais parfaitement abusif, numéro servant de Cheval de Troie pour remonter des informations confidentielles volées aux professionnels de santé.

C'est sans beaucoup d'illusion que j'attends les suites qui seront données à ce courrier : il y a urgence depuis des mois, tout le monde le sait, et je ne pense pas que ma missive modifiera les choses. Une expérience récente le 23 février 2004 pour être précis à 17heures 10 au TGI des Sables d'Olonne m'a donné à réfléchir sur la Justice et les Magistrats de notre République.

Moralement, je trouve obligatoire d'entreprendre la présente démarche avant d'aller vers des instances internationales pour faire cesser les délits commis, si ce n'est par des fonctionnaires du moins, par des personnes qui y sont assimilées. Je vous prie de croire Monsieur le Garde des Sceaux en ma considération distinguée.

#2 fionabarber

fionabarber

Posté 04 novembre 2005 à 18:26

:thermo: En France on a de la chance d'avoir une securite sociale, aux usa si tu tombes malade tu peux aussi faire faillite!

#3 Dearcham

Dearcham
  • Localisation : Proche paname

Posté 04 novembre 2005 à 18:37

il n'est pas question de remettre en cause le système de la sécurité sociale ici mais bien l'incapacité des organismes étatiques à gérer des flux d'informations sensibles et à les protéger efficacement.

et on nous parle de RFID , de passeport , de carte nationale électronique sécurisée?
laissez moi rire

#4 cylbertjj

cylbertjj

    L'ignare qui ne l'ignore pas...

  • Membres
  • 1 718 messages
  • Genre : Homme
  • Localisation : "de passage pas sage sur Terre délétère"
  • Intérêts : Tout ou presque.

Posté 12 dcembre 2005 à 21:25

Un article intéressant sur les failles de la carte "sésam - vitale" dans le dernier "pirates -mag" (n° 20) : 2 pages complètes (A 4) sur le sujet. L'auteur : Patrick Gueulle un pro de l'informatique.
Un passage (avant dernier §) :
"... On nous pardonnera donc de lancer une idée saugrenue : et si on commençait par utiliser correctement les actuelles cartes Vitale 1 qui, rappelons-le, n'ont pas de limite de validité ?
Évidemment, le chantier serait tout de même d'importance : rappeler toutes les cartes vers les bornes de mise à jour, pour y remplacer des données "en clair" par leur équivalent crypté. ..."
Édifiant !

Modifié par cylbertjj, 12 dcembre 2005 à 21:31.

Wait and see...
Moët Hennesy !

#5 Didier

Didier

Posté 13 dcembre 2005 à 10:53

pompé à vicflame sur un de ses topics :

CARTE VITALE : SUITE... MAIS PAS FIN !

Patrick GUEULLE

Qui ne dit mot consent, dit-on ! Mais comment aurait-on pu démentir nos révélations de Pirates Mag' 18, tant elles sont faciles à vérifier . Le "silence radio" était, à l'évidence, la seule réaction possible, et il faut bien reconnaître qu'il a été scrupuleusement respecté, même par nos confrères de la grande Presse.

Pourtant, nous n'étions qu'au tout début de nos surprises... Lors de nos investigations portant sur des applications "carte", nous mettons surtout en évidence des failles de sécurité provenant de maladresses de conception purement involontaires, et donc plus ou moins excusables. Quel informaticien n'en commet jamais .

Dans le cas de la carte Vitale, la situation est totalement différente, car la pathétique insécurité du système tout entier résulte manifestement de choix stratégiques délibérés. Il ne s'agit pas d'un cas isolé : lorsque l'Allemagne a lancé sa carte d'assuré social à puce, il n'a jamais été question de cacher qu'il s'agissait d'un support de données non sécurisé, tout juste destiné à remplacer une saisie manuelle. Comme de coutume, la France a vu infiniment plus grand, et a défini un système fort ambitieux. Fidèles à notre grande tradition technocratique, les "experts" chargés de ce chantier ont imposé des exigences draconiennes aux industriels retenus, tout en s'appliquant à eux-mêmes la "loi du moindre effort".

Dès le 20 avril 1998, SGS Thomson publiait fièrement un communiqué de presse annonçant que son circuit intégré ST16SF44/RHQ venait de décrocher la certification sécuritaire ITSEC de niveau E3. Délivré par le SCSSI au vu de tests pratiqués par le CESTI (CNET de Caen), ce certificat portait nommément sur la version dotée du masque "RHQ", développé spécialement (dit- on) par BULL CTS pour la carte Vitale 1. Rien à reprocher, par conséquent, ni au fondeur ni au concepteur du masque "carte", dont la résistance des mécanismes sécuritaires a été jugée d'un "niveau élevé". Par la suite, ce masque de type "SCOT 400 M9V1" a été porté sur d'autres composants, faisant à chaque fois l'objet d'une nouvelle évaluation sécuritaire : tant le AT05SC1604R (Atmel) que le ST19XS04D (STMicroelectronics), choisis pour supporter respectivement les masques IGEA 340 et IGEA 440 d'Axalto, sont certifiés EAL4+. C'est le plus haut niveau de sécurité requis pour des applications non militaires, sensiblement équivalent à l'ITSEC E3 "strong".

Même si cela a sûrement permis de faire injecter, par le contribuable, beaucoup d'argent dans le "fleuron de l'informatique française" au nez et à la barbe de Bruxelles, on se demande bien à quoi bon développer des cartes aussi sûres, si on ne se sert pas de leurs fonctionnalités sécuritaires !


UNE SÉCURITÉ SABOTÉE

Fondamentalement, une carte SCOT est partitionnée en plusieurs zones pouvant être protégées à volonté en lecture et/ou en écriture. Parallèlement, tout un système de clefs secrètes permet d'authentifier aussi bien la carte auprès d'une application externe, que toute entité cherchant à lire ou écrire des données dans la carte. Même dans une carte bancaire (ne rions pas !), il est prévu des zones confidentielles, qui ne peuvent être lues qu'après présentation d'un code PIN ou d'une clef "émetteur".

Dans la carte Vitale, toutes les données sont en lecture libre, car il paraît qu'un code "porteur" empêcherait le malade d'envoyer un proche faire les courses à la pharmacie ! A qui, sinon à des énarques, fera-t-on gober pareil argument ? Après tout, les cartes de fidélité de supermarché sont elles aussi à lecture libre, mais leur contenu est crypté. Trop compliqué dans le cas de la carte Vitale, comme le dit avec un bel aplomb le rapport N° 2002-142 de l'Inspection générale des affaires sociales : "la gestion de clefs pour une population de plusieurs millions de personnes représente une tâche insurmontable". Et comment font les opérateurs de téléphonie mobile, alors ?

Du côté de la protection en écriture, on a par contre fait très fort : rien, absolument rien, ne peut être modifié sans présentation préalable d'une clef qui, si l'on en croit les bits "système" et les spécifications SCOT, serait tout bonnement... ce fameux code PIN que l'on ne confie pas au porteur (et pour cause !).

Une petite zone de 64 bits est même tellement protégée que l'émetteur en personne n'a plus le droit d'y écrire une fois la carte en circulation. Bizarrement, son contenu (adresse 0288h) est le même pour tout le monde : 2C 9A 05 85 26 59 85 A0. Supprimons les deux bits système de chaque mot de 4 octets, découpons ce qui reste en blocs de 5 bits, et nous lirons, dans le bon vieux code à "5 moments" des télétypistes de l'après-guerre, les deux mots VITALE et SESAM. Information ultra-sensible s'il en est ! Logiquement, on aurait pu s'attendre à trouver là un "certificat" cryptographique individuel, non ?


FAIRE SES PROPRES CARTES

Partant de la constatation que toutes les données, confidentielles ou non, sont sciemment logées dans des zones à "lecture libre" et aucunement cryptées, on voit mal comment quiconque pourrait prétendre interdire leur lecture (et pourtant, la loi se le permet !). Si la lecture est possible, la création de "copies de sauvegarde" l'est forcément aussi, mais en 1998, personne n'imaginait que des cartes à puce à "système d'exploitation ouvert" allaient bientôt se démocratiser massivement. Dès que l'on a vu des microcontrôleurs PIC se faire "encarter", puis la BasicCard montrer le bout de son nez, les sueurs froides ont dû se faire contagieuses ! Curieusement, c'est à peu près à cette époque que l'on a songé à interdire carrément la détention de lecteurs de cartes à puce, mais il était déjà bien trop tard. Pourtant, malgré les multiples coups de poing sur la table des conférenciers du salon CARTES, on a continué à saborder la sécurité d'excellentes cartes en bâclant le développement de leurs applications. Le moment est venu d'en payer le prix fort, dirait- on...

Lorsque nous avons expliqué, dès 2002, comment "cloner" expérimentalement des cartes Vitale, nous avions encore l'intime conviction qu'un système de clefs de contrôle devait tout de même être prévu quelque part. Depuis, des développeurs ayant accès aux spécifications à "diffusion restreinte" du GIE nous ont ri au nez : non seulement nos "copies de sauvegarde" fonctionneraient parfaitement avec leurs progiciels "agréés", mais elles resteraient même fonctionnelles après modification de leur contenu ! Bref, si on ne peut pas les mettre à jour dans une borne de la CPAM (car nous n'avions volontairement pas implémenté les commandes supposées nécessaires), il est à craindre qu'on puisse le faire soi-même ! Comme il n'y a apparemment aucune clef de contrôle (même en cherchant bien, on ne voit vraiment pas où elle pourrait être), chacun devrait théoriquement pouvoir s'octroyer lui- même les droits dont il souhaite bénéficier : ce serait gravissime, et expliquerait peut-être tout bonnement l'existence même du "trou de la sécu" !

Les autorités ayant été dûment averties... en vain, sans doute faudra-t-il un énorme scandale pour que la carte "Vitale 2" mette en oeuvre, aux côtés d'une photo d'un intérêt discutable, les moyens sécuritaires qu'exige une application dont le piratage massif serait fatal à l'assurance maladie "à la française". Car celle-ci est tenue de payer toutes les "feuilles de soins électroniques", dès lors que son système informatique n'a pas rejeté la carte du bénéficiaire, qu'elle soit vraie ou fausse !


UN PROGICIEL INDÉPENDANT

A l'intention de tous ceux qui ne croient que ce qu'ils voient (et ils ont bien raison !), Jérôme Crêtaux s'est donné la peine de développer une "proof of concept" de qualité professionnelle. Découvrant, un peu grâce à nous, tout ce que l'on pouvait faire en se passant totalement des API, il a vite saisi combien un développeur indépendant pouvait faire mieux que les effectifs pléthoriques du GIE.

LockSmith 7.0 est basé sur un concept assez iconoclaste : doter les cabinets médicaux d'un progiciel compatible avec leur actuel poste de travail Sesam Vitale, mais totalement indépendant des applications en place. Son but avoué est d'apporter une solution confortable à une situation fréquente : un patient habituel qui n'a pas toujours sa carte Vitale sur lui ! Avec son accord (légalement indispensable), et en conformité avec la législation sur les copies de sauvegarde, le praticien aura conservé dans un fichier (vraiment) sécurisé, une copie intégrale de sa carte Vitale (données confidentielles comprises). Un vrai rôle de "tiers de confiance", en somme, sûrement compatible avec la déontologie médicale. A tout moment, il pourra ainsi être établi une "carte navette" provisoire, double fidèle susceptible d'être accepté par l'application agrée Sesam Vitale, pour émettre et signer une feuille de soins électronique. Bien entendu, cette copie qui n'est nullement destinée à remplacer une carte perdue ou volée, ne quittera pas le cabinet et sera effacée après usage. Outre cette réelle commodité qu'il offre, tant aux patients qu'aux médecins, ce progiciel révolutionnaire apporte la preuve de la totale absence de sécurisation de la carte Vitale telle que nous la connaissons : on peut en effet la dupliquer à volonté, sans que la carte de professionnel de santé n'intervienne le moins du monde dans le processus !

Et ce n'est qu'un début : il est d'ores et déjà annoncé que la version suivante de LockSmith permettra de mettre à jour des données administratives dans la copie, la situation du malade ayant pu évoluer depuis sa dernière consultation (prolongation de droits, changement de régime, mise à 100%, etc.) Faut-il considérer cela comme une déclaration de guerre, ou comme une pierre apportée à cet édifice vacillant qu'il va bien falloir reconstruire . Les assurés sociaux et leurs médecins traitants sont maintenant invités à se forger leur propre opinion, et les responsables à s'expliquer !