Cela rappelle un peu l'affaire Serge Humpich. Au cours de l'année 2000, cet informaticien avait été condamné à dix mois de prison avec sursis pour avoir découvert, et tenté de négocier avec le Groupement des Cartes Bancaires, des informations sur une faille de sécurité des CB qui les rendait faciles à falsifier. Plutôt que de traiter le problème discrètement, le Groupement CB avait choisi la voie judiciaire ; le procès, largement médiatisé, avait eu un impact désastreux sur l'image des banques - et suscité une méfiance durable à l'égard du commerce électronique, pourtant nullement concerné. Aujourd'hui, c'est la Caisse nationale d'assurance maladie qui doit faire face aux révélations d'un informaticien sur les failles de la carte Vitale. Alors que la Cnam travaille sur la carte Vitale 2, projet cher à l'ancien ministre de la Santé Philippe Douste-Blazy et auquel son successeur Xavier Bertrand s'est dit "très attaché", l'affaire, révélée par le Journal du Dimanche, semble plutôt malvenue.

Jérôme Crêtaux, ingénieur informaticien travaillant pour un éditeur de logiciels médicaux, a tout simplement fabriqué fin juillet une copie de la carte Sesam-Vitale ; copie que l'un de ses amis a utilisée sans problème chez un médecin et dans une pharmacie. Ceci dans le but de démontrer l'absence de protection des données figurant sur cette carte. Réaction du GIE Sesam-Vitale, concepteur et gestionnaire de la carte : un dépôt de plainte pour contrefaçon et escroquerie en bande organisée. La suite est ainsi décrite par le JDD : "le 29 août dernier, quatre policiers parisiens de l'OCLC-TIC, la brigade d'élite chargée de traquer les délinquants informatiques, débarquent à Beaulieu-sous-la-Roche, paisible village vendéen". Ils viennent interroger le suspect. Lequel, indigné, fulmine dans les colonnes du JDD : "ils m'ont envoyé la police pour me faire taire, mais ça ne marchera pas".

Données cryptées ou pas ?

Jérôme Crêtaux assure en effet avoir prévenu dès l'an 2000 le GIE Sesam-Vitale de la présence d'un bogue permettant d'avoir accès à des codes porteurs confidentiels (qui autorisent l'activation et le déblocage de la carte des professionnels de santé). Devant, affirme-t-il, le manque de réaction de l'assurance-maladie, il ne cesse depuis lors de traquer toutes les failles de la carte, et de publier ses découvertes sur des sites internet spécialisés. Ses travaux ont fini par intéresser Patrick Gueulle, ingénieur diplômé de l'Ecole française d'électronique et d'informatique (EFREI) et spécialiste des cartes à puces, lequel avait déjà réussi à copier en 2002 une carte Vitale. Tout en estimant, à l'époque, qu'une telle copie ne pourrait être utilisée, car, jugeait-il, "il paraît évident qu'un cryptage relativement élaboré doit être appliqué".

Contact pris avec Jérôme Crêtaux, les deux hommes décident de conjuguer leurs efforts pour percer les mystères de la carte Vitale. Publient leurs conclusions dans deux numéros successifs du magazine Pirates Mag. Et accusent : selon eux, les informations contenues par la carte ne sont nullement protégées. Elles sont certes "codées", mais pas "cryptées", ce qui les rend accessibles à tout expert en informatique, pour peu qu'il soit équipé d'un lecteur de cartes que l'on peut se procurer pour 40 euros. Si la plupart de ces informations (date de naissance, numéro de sécurité sociale) ne sont heureusement pas des données sensibles, d'autres sont en revanche théoriquement couvertes par le secret médical - comme l'indication d'une prise en charge à 100% pour tout assurant soigné pour une affection de longue durée... L'étape suivante, copier les données sur une carte vierge et tester la "fausse Vitale" auprès d'un professionnel de la santé, n'est plus qu'un jeu d'enfant. Le plus complexe étant encore de reproduire l'aspect extérieur de la carte, ce qui nécessite d'investir dans une machine à sérigraphie. La porte semble ouverte pour toutes les fraudes...

"Nous n'avons rien craqué, puisqu'il n'y a rien à craquer"

L'affaire commence à faire du bruit sur le web, où les deux complices ne manquent pas de détailler leur opération ; interrogé début septembre par Internet Actu, Patrick Gueulle affirme que “la carte vitale ressemble à une affiche placardée dans la rue avec une partie normale et une partie en jaune où il est écrit “ne pas lire"; nous n'avons rien craqué, puisqu'il n'y a rien à craquer : nous avons lu et recopié des données en lecture libre, photocopié une carte papier“. Dans la foulée, les deux experts s'attaquent à la future carte Vitale 2, censée rendre les fraudes impossibles et procurer plus de confidentialité : ils affirment ainsi que son déploiement, dont le coût se chiffrera en centaines de millions d'euros, est inutile. La carte Vitale, première du nom, disposerait déjà de toutes les techniques de cryptage nécessaires pour assurer une bonne sécurité. Simplement, ces techniques seraient restées inutilisées. "Le GIE Sesam-Vitale a joué la stratégie du moindre effort en espérant que personne ne s'en rendrait compte", accuse Patrick Gueulle.

A toutes ses accusations, l'assurance-maladie répond. Pourquoi ne pas avoir cherché à protéger les données des cartes Vitale ? "Les fonctions de sécurité sont proportionnées aux informations qu'on veut protéger", assure également dans le JDD Joël Dessaint, directeur des finances de la Cnam, pour qui "le bénéfice que peut apporter la fabrication d'une fausse carte est très limité", car elle serait repérée dès sa première utilisation et son usage dès lors rendu impossible. Quant à la prétendue inutilité de la future Vitale 2 (puisque le même niveau de sécurité pourrait être obtenu en activant les fonctions de cryptage des cartes actuelles) elle est vigoureusement démentie par Philippe Bédère, chargé de mission Sesam-Vitale à la Cnam.

En attendant, le déploiement de la future carte Vitale 2, qui comportera notamment la photo de l'assuré et qui devait être effectif fin 2006, sera finalement "échelonné sur quatre ans", entre 2006 et 2010. "La mise en place de la future carte, prévue par la réforme de l'assurance maladie, doit respecter le bon équilibre entre la nécessité de renouveler le parc actuel et le souci d'économies", a expliqué le directeur de la Cnam, Frédéric van Roekeghem, lors d'une conférence de presse au cours de la semaine passée. Selon lui, le coût unitaire de la production d'une carte Vitale 2 est "de l'ordre de trois euros, ce qui fait beaucoup d'argent quand on doit en produire 50 millions".

Source : LCI et JDD