La carte Vitale ‘crackée’

La carte Vitale est une passoire. Telle est la conclusion de deux informaticiens qui ont « cracké » sans aucun problème la célèbre carte verte destinée aux assurés sociaux.

L’affaire a été révélée par le Journal du Dimanche. Jérôme Crêtaux, ingénieur informaticien travaillant pour un éditeur de logiciels médicaux, a fabriqué fin juillet dernier une copie de la carte Vitale. Plus tard, un de ses amis a utilisée sans problème cette carte copiée chez un médecin et dans une pharmacie. La révélation fait froid dans le dos: la carte Vitale n’est absolument pas protégée car non cryptée. Certes, cette carte ne contient que des données administratives non sensibles mais dans certains cas, des maladies chroniques ou de longue durée y sont consignées. Et leur accès se fait sans difficultés. Selon les deux informaticiens, la carte Vitale est codée, mais pas cryptée. Conséquence, il suffit de posséder un lecteur de carte pour avoir accès aux informations contenues. Interrogé début septembre par Internet Actu, un des informaticiens explique: « la carte vitale ressemble a une affiche placardée dans la rue avec une partie normale et une partie en jaune où il est écrit ‘ne pas lire’; nous n’avons rien craqué, puisqu’il n’y a rien a craquer : nous avons lu et recopié des données en lecture libre, photocopié une carte papier ». La mise à jour de ces failles n’est pas récente. Jérôme Crêtaux assure avoir prévenu dès l’an 2000 le GIE Sesam-Vitale de la présence de trous de sécurité. L’information circule sur les sites Web spécialisés. Pour autant, l’assurance maladie n’a pas bougé. Et porte aujourd’hui plainte pour contrefaçon et escroquerie en bande organisée. Le JDD explique: « le 29 août dernier, quatre policiers parisiens de l’OCLC-TIC, la brigade d’élite chargée de traquer les délinquants informatiques, débarquent à Beaulieu-sous-la-Roche, paisible village vendéen ». Le dit délinquant plutot étonné explique: « ils m’ont envoyé la police pour me faire taire, mais ça ne marchera pas ». Cette affaire rappelle le dossier Serge Humpich qui avait été condamné en 2000 à dix mois de prison avec sursis pour avoir découvert, et tenté de négocier avec le Groupement des Cartes Bancaires, des informations sur une faille de sécurité des CB qui les rendait faciles à falsifier. De son côté, la CNAM, la Caisse nationale d’assurance maladie tente de se justifier: « Les fonctions de sécurité sont proportionnées aux informations qu’on veut protéger », assure dans le JDD Joël Dessaint, directeur des finances de la Cnam, pour qui « le bénéfice que peut apporter la fabrication d’une fausse carte est très limité ». Et de mettre en avant la future Carte Vitale 2, dotée d’une photographie et « mieux protégée ». Mais cette carte est encore loin d’être prête: elle sera déployée d’ici 2010…* En attendant le GIE Sesam-Vitale a tout de même décidé d’agir. Un système de contrôle en ligne de la validité des cartes Vitale, comparable à celui existant déjà pour sécuriser les paiements par carte bancaire, sera mis en oeuvre courant 2006, a-t-elle indiqué dans un communiqué. Le groupement, qui réunit caisses de Sécurité sociale et mutuelles, précise que cette nouvelle mesure anti-fraude s’ajoute à des dispositifs existants, comme la liste d’opposition des cartes Vitale, qui permet depuis juin 2004 de bloquer certaines cartes dans les officines.