Jérome Crétaux et Patrick Gueulle (carte Vitale)

Ces deux ingénieurs ont démontré que la carte Sesam Vitale était
d’autant plus faillible qu’elle n’était tout simplement pas
sécurisée.

Pour avoir révélé une faille de sécurité de la carte Vitale laissant en clair des données confidentielles

Jérome Crétaux, un informaticien indépendant auteur de logiciels médicaux, n’a de cesse de faire part au GIE Sesam Vitale des failles et problèmes de sécurité qu’il y trouve. Patrick Gueulle, auteur de nombreux livres sur les cartes à puces, avait de son côté démontré qu’il était possible de lire et de copier l’ensemble des données présentes dans la carte Sesam Vitale, et donc de la cloner.

Cet été, ils ont tous deux démontré qu’il était possible d’avoir accès aux données confidentielles présentes dans la carte et de créer des cartes “compatibles” acceptées par les professionnels de santé tout en modifiant lesdites données confidentielles...

Le problème tient au fait que les données sont codées, mais pas chiffrées. Autrement dit, au lieu d’être protégées par un algorithme de cryptographie -comme c’est généralement le cas dès qu’il est question de sécurité informatique-, elles ne sont protégées que du regard de ceux qui ne maîtrisent pas le langage machine...

Patrick Gueulle avance ainsi que “la carte vitale ressemble a une affiche placardée dans la rue avec une partie normale et une partie en jaune où il est écrit “ne pas lire” ; nous n’avons rien craqué, puisqu’il n’y a rien a craquer : nous avons lu et recopié des données en lecture libre, photocopié une carte papier“.

Pis, si l’on peut dire : les deux ingénieurs ont découvert qu’aucune protection n’empêche de modifier les données contenues dans les cartes clonées. En effet, les mécanismes existent, mais ils n’ont pas été activés... Cette absence de sécurité relève donc d’un choix délibéré, pas d’une faille de sécurité.

Le problème est d’autant plus grave qu’en avançant que le contenu de la carte était “codé“, le GIE Sesam Vitale laissait croire qu’il était illisible, alors qu’il ne jouait pas carte sur table. Que les données aient été inscrites en clair n’est pas scandaleux en soi : elles l’étaient déjà du temps de la carte papier. Qu’on nous ait fait croire qu’elles étaient sécurisées alors que les mécanismes de sécurité n’ont délibérément pas été activés, par contre, est beaucoup plus choquant. Qu’on puisse les modifier, consternant.

La réaction du GIE Sesam Vitale n’est pas pour rassurer : parce qu’il a démontré la viabilité de sa “carte compatible” en se faisant remettre des médicaments dans une pharmacie, Jérome Crétaux se retrouve aujourd’hui poursuivi par le GIE pour fabrication de fausse carte et escroquerie en bande organisée...

On rappelera, à toutes fins utiles, que Phillipe DOUSTE-BLAZY, alors ministre de la Santé, avait emporté le "prix spécial du jury" aux BBA-F 2004 pour l’introduction du « Dossier Médical Personnel », qui mettait fin à la confidentialité des données de santé et au secret médical...