jeudi 14 décembre 2017

Accueil du site > Technologie > Carte Vitale 2 : sécurité et responsabilité

Carte Vitale 2 : sécurité et responsabilité

Romain Wartel*, ZDNet France

lundi 9 octobre 2006, sélectionné par Spyworld

logo

Sécuriser les données n’est pas qu’une question de technique ; c’est aussi une affaire de responsabilité. Romain Wartel s’inquiète pour la protection des informations personnelles et médicales qui vont figurer sur la carte Vitale 2.

La carte Vitale 2 a été annoncée mardi 19 septembre et devrait être distribuée d’ici 2010 à tous les assurés sociaux.

Lorsque des données sensibles (ici des informations personnelles et médicales) sont transmises entre des machines, il est clair que certaines précautions doivent être prises pour garantir la sécurité de ces transferts, en particulier afin d’assurer :
- la confidentialité de l’échange d’informations pour vérifier qu’aucune tierce partie ne puisse obtenir ces informations ;
- l’intégrité de l’échange d’informations pour vérifier que les données n’ont pas été modifiées ;
- l’authentification des acteurs pour vérifier leur légitimité.

La plus grande difficulté consiste à maintenir la validité de ces trois assertions pour la durée de vie entière de la carte, grâce aux fonctions de cryptage qui composent le logiciel inclus dans la puce de la carte (appelé "masque"). En pratique, il faut pouvoir garantir que les cartes vont résister aux méthodes d’attaques théoriques et pratiques qui vont être découvertes pendant leur durée d’utilisation, ce qui est pratiquement impossible.

Si quarante millions de cartes Vitale 2 sont distribuées, il serait alors nécessaire de mettre à jour le masque de toutes ces cartes lorsqu’un problème de sécurité est détecté. Même s’il est fort probable que des failles de sécurité vont être découvertes dans le masque après son lancement, il n’est malheureusement pas évident qu’une telle procédure de mise à jour soit jamais lancée.

C’est en tout cas la conclusion que l’on peut tirer des problèmes rencontrés avec la carte Vitale. En effet, celle-ci offrait déjà des fonctionalités cryptographiques, mais il semble qu’en pratique elles n’ont pas été activées, et que ce problème bien connu depuis 2002 n’a jamais été corrigé.

En pratique, cela signifie non seulement que les données confidentielles de la carte Vitale ne sont pas cryptées, mais qu’elles peuvent également être lues, copiées et modifiées sans authentification de l’utilisateur, à l’aide d’un simple lecteur de carte à puce disponible dans le commerce.

Les données sur la carte Vitale ne sont pas cryptées

Certes, la carte Vitale 2 dispose de plusieurs améliorations techniques, mais les problèmes dont souffrent la carte Vitale ne sont pas d’ordre technique. Il ne s’agit pas de problèmes de sécurité, mais plutôt d’un problème de responsabilité. Le GIE Sesame-Vitale n’a jamais corrigé le problème rencontré en 2002, simplement car le risque encouru ne valait pas l’investissement économique nécessaire à sa résolution.

Pour améliorer véritablement la sécurité de la carte Vitale, il faudrait responsabiliser d’avantage le GIE Sesame-Vitale afin de garantir que tous les moyens sont effectivement mis en oeuvre pour assurer la protection des données sensibles. En ce sens, il faudrait également pouvoir tenir le GIE Sesame-Vitale responsable des transactions frauduleuses constatées.

Malheureusement, pour le moment, ce n’est pas la voie choisie par la législation française. Ainsi, l’informaticien qui a découvert et rapporté le problème de la carte Vitale (Jérôme Crêtaux), est lui-même poursuivi par le GIE Sesame-Vitale pour en avoir révélé l’existence.

En effet, la loi pour la confiance dans l’économie numérique (LEN) est ainsi formulée : « Art. 323-3-1. - Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. » (La peine maximale prevue est de 3 ans de prison et 300.000 euros d’amende.)

Espérons que la carte Vitale 2 saura rapidement s’inspirer des standards de l’industrie dans le domaine de la sécurité pour éviter de répéter ces erreurs. Mais dans un tel environnement législatif, il est difficile d’imaginer ce qui pourrait pousser le GIE Sesame-Vitale à améliorer le système actuel.

(*) Ingénieur diplômé de l’Université de Technologie de Compiègne, Romain Wartel travaille au CERN sur un vaste projet de grille de calcul, et participe en particulier à la gestion de la sécurité opérationnelle, des risques et des incidents de sécurité. (Cette tribune ne représente que l’opinion de l’auteur et ne traduit pas nécessairement le point de vue du CERN.)


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :