ADAS ET ACIS VIPI VOUS INFORMENT

http://www.webzinemaker.com/adas/

HISTORIQUE des APIs du GIE.

FÉVRIER 2003: sortie des APIs.

JUIN 2003: J. Crêtaux contacte le GIE par lettre recommandée/AR sur la question de la responsabilité des techniciens et éditeurs de logiciels dans leur diffusion. Car commercialiser les logiciels revient à diffuser les APIs.
26 JUIN 2003: J. Crêtaux reçoit donc une lettre du GIE, signée Pierre Camy, lui donnant l’autorisation de diffuser.(1)

JUILLET 2003 : J. Crêtaux a découvert le bug alors bien anodin, car il est encore largement temps de le corriger sans aucun dommage, tant financier que sur le plan de la sécurité. Malgré les habituels appels téléphoniques de mise dans ces cas là avec les services techniques, personne au GIE ne veut prendre la responsabilité de ce problème. Le GIE est avisé officiellement par un courrier d’avocat.

SEPTEMBRE 2003 : Changement de direction au GIE, Monsieur Camy laisse sa place à Monsieur De Varax.
Le jour de son arrivée, un courrier de J. Crêtaux l’attend sur son bureau : Proposition de mettre fin immédiatement à une guerre stérile entre la Mission SESAM Vitale dans son ensemble et J. Crêtaux. Le courrier précise que des anomalies d’une gravité extrême nécessitent une prise en compte immédiate.
Ce courrier reste lettre morte.

NOVEMBRE 2003: J. Crêtaux commercialise son logiciel « Accès Carte », utilisant les fameuses APIs de lecture, dans lequel il a bien entendu pris toutes les dispositions pour que l’accès aux informations protégées soit impossible. Mais la ‘rustine’ est apposée sur le logiciel, pas sur les APIs. J. Crêtaux n’en a ni le pouvoir ni les moyens techniques. A partir de ce moment les APIs sont diffusées massivement et il est désormais trop tard pour les corriger : on ne sait même pas le nombre d’exemplaires qui circulent.

17 NOVEMBRE 2003: J Crêtaux écrit à la CNIL pour dénoncer le bug, les mises en garde auprès du GIE étant restées lettres mortes.

DECEMBRE 2003: Michel Gentot, alors président de la CNIL, confirme à J. Crêtaux par lettre qu’il a saisi le directeur du GIE de « cette question ».

Le 20 JANVIER 2004: ADAS et ACIS VIPI écrivent au président de la CNIL (extraits)
« L’informatisation des données nominatives, particulièrement dans le domaine de la santé, génère des atteintes odieuses aux droits fondamentaux des personnes: les scandales se multiplient.
…….Votre mission étant notre protection contre toute ingérance dans notre vie privée par le biais de l’informatique, nous vous considérons comme responsable et coupable de la divulgation des données de notre santé ».
Pas de réponse.

FEVRIER 2004: J. Crêtaux dépose à la brigade de La Mothe Achard une demande d’information directement destinée au Procureur de la République pour rechercher le responsable et prévient de nouveau la CNIL.
Le 13 FEVRIER 2004: Le directeur de la logistique et de l’exploitation du GIE, Dominique Barret, écrit à J. Crêtaux qu’il a bien reçu les courriers l’avertissant du bug et l’invite à venir au GIE en faire la démonstration.
Avant de se déplacer au GIE J. Crêtaux prend toutes les dispositions nécessaires pour garantir son immunité : il se souvient de l’aventure de celui qui avait découvert une faille dans la Carte Bancaire. Conseillé par un avocat il rédige un projet de protocole dans lequel bien évidemment figure un paragraphe concernant le défraiement de ses frais et de sa prestation technique.
Le GIE refuse catégoriquement. Il n’accepte surtout pas de renoncer à toutes poursuites contre J. Crêtaux. Renoncement prévu par le protocole et bien évidemment limité au bug.
Chacun reste donc chez soi.

MARS 2004: Une journaliste écrit un article intitulé « Santé, le risque d’eugénisme social » qu’elle n’a pu faire publier.
Elle écrit dans l’ article dont j’ai la copie datée du 9 mars 2004:
« La pomme de la discorde. Comment cela ? Une avarie technique est aujourd’hui capable de remettre en cause nos valeurs démocratiques du droit à l’accès à la santé pour tous. Le scandale tient en trois lettres: API. Rien avoir avec la pomme du même nom sinon un arrière goût acide qui pourrait tout droit nous mener en enfer…Api est le gentil diminutif de « Application Programing Interface »……………
Un vrai secret de Polichinelle. Mais voilà, les APIs développées dans les cartes Sésam Vitale ont une punaise dans le circuit, autrement dit en anglais un bug. En quelques manipulations simples, un petit malin sachant tirer parti de la situation pourra extraire ces données confidentielles de façon tout à fait anonyme. Le secret du patient devient celui de Polichinelle.
Mais que fait le GIE Sesam-Vitale ? Le propriétaire de ces APIs averti par un tiers de l’existence de ce bug s’interroge. ‘Je ne dis pas qu’il n’y a pas de bug, mais je dis que nous avons relu toutes nos copies sans rien trouver’ indique Dominique Barret, le directeur logistique et exploitation du GIE, qui ajoute: ‘nous avons convié le dénonciateur du problème à nous faire la démonstration de son existence, mais nous sommes au point mort’…..
Mais au delà de l’Hexagone, l’Europe se lance dans un projet d’équipement Sesam-ViRale »
LE 17 MARS 2004: Alex Turck, Sénateur qui a déposé l’amendement ayant abouti à la refonte de la « Loi informatique et Libertés » et nouveau Président de la CNIL écrit à J. Crêtaux pour dire qu’il a bien reçu SON courrier du 17 novembre 2003 dénonçant le bug, qu’il en a saisi le 19 décembre 2003 le président du GIE et qu’il a « l’honneur de vous informer que le GIE Sesam-Vitale a confirmé à la commission que les APIs de lecture nécessitaient la présence simultanée de la carte Vitale et d’une carte de professionnel de santé pour que les données relatives à l’Exonération du Ticket Modérateur soient accessibles ».

MAI 2004: J. Crêtaux est contacté téléphoniquement par monsieur de Varax en personne qui demande à le rencontrer en tête à tête. Rendez vous est pris pour le 1° juin.
JUIN 2004: J. Crêtaux raconte « L’entretien confidentiel a lieu dans le bureau de Monsieur De Varax. Quand j’ aborde le sujet du bug des APIs de lecture la réponse est claire : Pas de bug et ce n’est pas l’objet de la rencontre. Au moment de se quitter, devant l’ascenseur, je dis à Monsieur de Varax : « Vous dîtes qu’il n’y a pas de bug dans vos APIs, néanmoins si un de vos techniciens me téléphone, j’aurais des informations à lui donner…. ».
Le lendemain 2 juin 2004 (les dates sont importantes), je reçois un appel téléphonique du service technique des APIs . Comme je m’y étais engagé, j’ explique très exactement au technicien où se trouve le problème . La réparation est faite immédiatement. J’en ai eu la confirmation de la bouche même de monsieur De Varax. »
Elle est peut-être faite dans les bureaux du GIE, mais pas sur nos cartes en circulation !

NOVEMBRE 2004: J. Crêtaux est convoqué par le procureur des Sables d’Olonne. Pourquoi ? Et bien parce que J. Crêtaux devant l’immobilisme des autorités de tutelles s’est adressé directement au Ministre de l’intérieur, à celui du Budget (pour la Répression des Fraudes), à celui de la Santé et au Garde des Sceaux.
Seul le Garde des Sceaux répondra !
Le ministre de la santé continuera à proclamer sur nos écrans cathodiques que la Carte Vitale est l’avenir de l’Assuré Social !
Au cours de cette audition, la demande d’information sur l’existence réelle du bug, déposée en début d’année, se transforme en plainte contre Monsieur De Varax pour manquement grave à la tâche qui lui a été confiée : garantir la sécurité des informations prévues par la loi.
Mais aussi pour son refus de diffuser la version ‘vaccinée’ des APIS. Comportement le rendant au yeux des simples assurés que nous sommes complice actif du pillage de nos secrets médicaux. Plainte est aussi déposée contre la CNIL pour ne pas avoir exercé tous les contrôles exigés par sa fonction.
Nous laissons à la justice le rôle de déterminer quelle est la part de légéreté ou de complicité par négligence.

DEBUT 2005: Nous décidons d’avertir nos concitoyens:
Qu’une faille a été détectée en été 2003,
Que le GIE en a été averti aussitôt, à une époque où il aurait été très simple de la réparer, et peu coûteux,
Que le GIE ne semble avoir pris aucune disposition mais affirme que tout va bien,
Que la CNIL n’enquête pas plus loin: POURQUOI ?

Et là nous atteignons le comble : Le GIE porte plainte « contre X » pour divulgation de failles et de logiciels autorisant l’accès à un système informatique protégé.
Notre but n’estsurtout pas de faciliter le pillage des CV mais de prouver la faisabilité de la chose. D’autre part quels étaient ces logiciels dangereux ? Ceux du GIE ! ! ! ! Les APIs, copropriété du GIP et GIE ; le logiciel TESTAL32 propriété du GIE.
Dès que notre but a été atteint nous avons immédiatement retiré du réseau Internet notre diffusion :
PAS LE GIE ! ! ! Vous pouvez toujours vous procurer LEGALEMENT tous les éléments nécessaires. De qui se moque-t-on ? Le GIE porte plainte contre des assurés amenés à faire eux-mêmes la démonstration du risque majeur de violation du secret médical et de notre vie privée via la carte vitale.

Ce résumé quasiment historique de l’affaire s’appuie sur des échanges de lettres CNIL-GIE-J. Crêtaux; pièces à conviction que nous possédons. Les inspecteurs de l’ Office Central de la Lutte Contre la Criminalité Liée aux Technologies de l’Information et de la Communication, sont venus chez J. Crétaux recueillir sa déposition mercredi 16 mars. Audition à laquelle je me suis fait un devoir d’aller assister, en demandant aussi à être entendue.
Personne ne pourra plus dire « je ne savais pas ».
Espérant aussi avoir été entendu, le site qui a affiché le fameux « mode d’emploi pour la lecture de la carte Vitale » l’a retiré. Notre but est justement de ne pas faciliter la tâche aux prédateurs du net.
Mais comme dit Jérôme Crêtaux, « si un petit informaticien comme moi a pu détecter la faille, tous les informaticiens peuvent le faire, et il faut arrêter cela »

Monsieur Crêtaux, vous vous sous-estimez, pas tous apparemment, en tout cas pas ceux du GIE !

Notes de J. Crêtaux
(1) « Responsabilité éditeur.
On peut faire ressortir trois points particuliers en étudiant ce dossier. Ou du moins c’est ce que moi j’en retire .
1° Le contrat de mise à disposition des APIs ne comporte aucune clause concernant leur diffusion. Il précise que seuls les éditeurs (utilisateurs pour la mission Sésam-Vitale) peuvent les télécharger.

Il ne s’agit en aucun cas d’un contrat d’édition, seul contrat permettant la diffusion. En réalité toute diffusion EST une édition qu’elle soit radiophonique, télévisuelle ou littéraire. Or la condition première de la loi et du code de la propriété intellectuelle est qu’il est OBLIGATOIRE que ce contrat soit ECRIT (le cas du télégramme est même prévu).
Donc tous ceux qui diffusent sans une autorisation FORMELLE du GIE sont ‘potentiellement’ en position de contrefacteurs même si la diffusion à lieu en accord avec le GIE et le GIP.
2° Les éditeurs de logiciels de lecture signent un engagement de qualité de leur produit cet engagement ayant pour effet immédiat, en autre, de faire apparaître sur le site du CNDA (Centre National de Dépôt et d’Agrément) le nom de leur logiciel. Or le bug décelé relève non pas d’une utilisation frauduleuse mais d’une utilisation maladroite. Cette maladresse est prévue dans tous les synopsis d’utilisation des cartes vitale. On pourrait donc considérer que les logiciels qui n’ont pas trouvé le bug n’ont simplement pas fait les tests minimum.
Si on se place du coté des éditeurs il faut largement modérer ce point de vue. Quand on attaque un développement basé sur des fournitures du donneur d’ordre, il ne vous appartient pas de vérifier la qualité de son travail. Il est réputé avoir fait tout les contrôles nécessaires avant la diffusion. Le fait qu’il rappelle dans les protocoles ses contraintes ne vous en rend pas responsable ! La loi interdit certaines manipulations, c’est au GIE de vérifier la légalité de ses produits. Les éditeurs sont ‘peut être’ responsables, le GIE sûrement.
3° Cela nous amène au troisième volet qui est la responsabilité professionnelle des éditeurs. L’utilisateur final n’a ni les moyens ni les compétences pour vérifier que les outils sont ‘inoffensifs’. Cette mission incombe aux éditeurs. Il sont donc CO-RESPONSABLES des anomalies du GIE. Mais quand le GIE nie l’existence d’une anomalie comment chercher la responsabilité de l’éditeur ? »

http://www.webzinemaker.com/admi/m6/page.php3?num_web=17902&rubr=4&id=252916

Martine Marchand, porte-parole de l’ADAS (martine.burban@laposte.net)
Marie-Hélène Laurent, présidente d’ACIS VIPI (05 61 09 98 70)