Carte Vitale, la plus grande mystification de la sécurité informatique - Doc GOMI
mardi 13 août 2013 à 16:20 Sammy Fisher Jr, le 13/08/2013 à 15:56
Les informations trnsmises par les cartes Vitale ne sont pas chiffrées !!!
via http://seenthis.net/messages/164811
"Pourquoi s’émouvoir de cette situation ?
Tout d’abord par ce que le ministère, l’ASIP et les industriels nous ont toujours vendu de la sécurité et du cryptage, du chiffrement et s’apercevoir qu’aucune des sécurité n’a été activée est tout de même déstabilisant : le lecteur CPS, les certificats de sécurité, les fonctions de cryptage, rien n’est fonctionnel, et tout ce bazar ne sert qu’a mettre en forme des fichiers ASCII lisibles et modifiables avec un simple éditeur notepad.
Deuxième élément, à l’heure de la privatisation de la sécurité sociale par les complémentaires, qu’en est t’il du secret médical lorsque le codage des actes ATM permet de connaitre par la « banqueassurance » du patient, ce qui a été fait, a quelle date, et par qui ?
Et enfin dernier élément : ces éléments transitent par des relais mails SMTP, et par les dorsales et backbones du net, et sont aussi enregistrés, captés et stockés, si l’on en croit les récentes révélations concernant le programme PRISM et ses équivalents nationaux. "
(Permalink)
Memiks, le 13/08/2013 à 16:20
Attention j'émet quelques bémol...
Pour avoir travaillé sur le DMP (Dossier Médical Personalisé)
- la télétransmission du fichier est "crypter" juste avant envoie grâce à la clé de la caisse maladie
- et un jeton à usage unique de la transmission (une transmission peut contenir un ensemble de document et donc d'envoi)
- ce jeton à une durée définie.
De plus la clé public de l'assurance maladie ainsi que le jeton est "normalement" crypté par l'assurance maladie avant envoi avec la clé publique de l'éditeur du logiciel du médecin (ceci afin de limiter le plus possible le "man in the middle")
et la connection est obligatoirement TLS.
le problème que je me pose est donc :
les fichiers dont il est question ici sont ceux qui sont écrits sur l'ordinateur du médecin, pourquoi sont ils en clair et non crypté avec la clé public de l'éditeur ? mystère ?
pourquoi sont ils stocké en clair sur le pc ? mystère
je pense que l'éditeur à du souci à se faire...
maintenant il faudrait voir les trames https qui transitent entre le pc du médecin et la CPAM pour voir si les fichiers sont vraiment en clair (la CPAM ne peux et ne DOIT normalement RIEN accepter en clair !)
Fréd.
(Permalink)
Les informations trnsmises par les cartes Vitale ne sont pas chiffrées !!!
via http://seenthis.net/messages/164811
"Pourquoi s’émouvoir de cette situation ?
Tout d’abord par ce que le ministère, l’ASIP et les industriels nous ont toujours vendu de la sécurité et du cryptage, du chiffrement et s’apercevoir qu’aucune des sécurité n’a été activée est tout de même déstabilisant : le lecteur CPS, les certificats de sécurité, les fonctions de cryptage, rien n’est fonctionnel, et tout ce bazar ne sert qu’a mettre en forme des fichiers ASCII lisibles et modifiables avec un simple éditeur notepad.
Deuxième élément, à l’heure de la privatisation de la sécurité sociale par les complémentaires, qu’en est t’il du secret médical lorsque le codage des actes ATM permet de connaitre par la « banqueassurance » du patient, ce qui a été fait, a quelle date, et par qui ?
Et enfin dernier élément : ces éléments transitent par des relais mails SMTP, et par les dorsales et backbones du net, et sont aussi enregistrés, captés et stockés, si l’on en croit les récentes révélations concernant le programme PRISM et ses équivalents nationaux. "
(Permalink)
Memiks, le 13/08/2013 à 16:20
Attention j'émet quelques bémol...
Pour avoir travaillé sur le DMP (Dossier Médical Personalisé)
- la télétransmission du fichier est "crypter" juste avant envoie grâce à la clé de la caisse maladie
- et un jeton à usage unique de la transmission (une transmission peut contenir un ensemble de document et donc d'envoi)
- ce jeton à une durée définie.
De plus la clé public de l'assurance maladie ainsi que le jeton est "normalement" crypté par l'assurance maladie avant envoi avec la clé publique de l'éditeur du logiciel du médecin (ceci afin de limiter le plus possible le "man in the middle")
et la connection est obligatoirement TLS.
le problème que je me pose est donc :
les fichiers dont il est question ici sont ceux qui sont écrits sur l'ordinateur du médecin, pourquoi sont ils en clair et non crypté avec la clé public de l'éditeur ? mystère ?
pourquoi sont ils stocké en clair sur le pc ? mystère
je pense que l'éditeur à du souci à se faire...
maintenant il faudrait voir les trames https qui transitent entre le pc du médecin et la CPAM pour voir si les fichiers sont vraiment en clair (la CPAM ne peux et ne DOIT normalement RIEN accepter en clair !)
Fréd.
(Permalink)