Comment en vient-on là ?
La réponse est fort simple : parce que c'est mon métier. Oui c'est mon métier d'écrire des logiciels pour les médecins. A ce titre je me dois de leur livrer ce qui non seulement gère les cartes Vitale mais aussi leur assure que l'usage de cette carte ne va pas contre leur déontologie et le secret médical. Ils me font confiance, comme on fait confiance à son garagiste. Vous ne vérifiez pas votre voiture à chaque réparation : vous avez confiance.
Donc au départ ma demarche est simple. Et en préparant mon logiciel je me rends compte que le boulon de 12 de la doc fais 12.5. C'est pas grave mais quand même. Alors je téléphone chez le concessionnaire et lui signale.
Deux jours aprés je perdr mon enseigne. Bizarre.
Comme j'ai vendu quelques voitures je les entretiens. Soudain je découvre que la courroie s'use anormalement. Un peu échaudé je téléphone chez le constructeur pour signaler l'incident. Dans la nuit mon garage brûle ? ? ? ?
Alors je regarde de plus prêt et je découvre que la voiture est une gageure : rien n'a été fait correctement, les écrous ne correspondent pas aux vis.
J'appelle la presse professionnelle, les associations de constructeurs, de consommateurs : RIEN ! Mon garage est attaqué par les oiseaux ! ! !
C'est à n'y rien comprendre.
Mais je sens que certains sont avides de détails. Les garagistes c'est bien mais rien ne vaut des octets en folie.
Alors tout simplement au début j'ai utilisé les APIS livrés par le GIE Sésame Vitale (SV), tout à fait normalement afin d'écrire un logiciel de lecture simple de cartes Vitale. Une petite précision : pour en lire l'INTEGRALITE.
Pour lire une carte Vitale il faut avoir lu précédemment une carte de médecin.
En gros il existe deux sortes de cartes : celles de test et les réélles.
Les cartes de tests étant destinées aux éditeurs comme moi. Tout le monde aura compris que les mariages inter-communautés sont impossibles.
Et en vérifiant que mon logiciel renvoyait bien le bon code erreur SURPRISE ! Pas de code erreur. Si on lisait une carte médecin de test puis une vraie carte Vitale les APIS ne s'en rendaient pas compte.
Je ne renterai pas dans la bataille : à quoi celà sert, moi je suis programmeur : cela devrait me rendre un code erreur celà ne le rend pas. Celà s'appelle un bug un point c'est tout. Par contre il ne doit pas être difficile à corriger (sans doute un "else" mal fichu ! ! ! !).
Il m'a fallut un an et les interventions de la CNIL pour le faire admettre. Pire au bout d'un an l'erreur est reparée mais le patch , ni la version corrigée, ne sont diffusés.
Il me faudra encore attendre UN AN pour cette diffusion.
Alors bien entendu ma colère a été bruyante et tout le monde l'a entendue. Jai saisi le procureur de la République, la CNIL, le Garde des Sceaux : mes plaintes ont été a peine reçues et classées sans suite. Le GIE peut se vanter d'avoir porté plainte contre moi, quand on porte plainte contre lui le procureur se couche.
Alors vous me trouvez sans doute dur avec le Ministre et le pouvoir mais attendez je vais vous raconter une belle histoire :
Pendant que j'essayais de faire entendre raison à nos autorités j'ai continué mes recherches et vous ne devinerez jamais ce que j'ai trouvé : des chevaux de Troie ! ! ! !
Et oui, la mission SV a fait écrire par les GIE des espions logiciels mis en place chez 200 000 professionnels ET CHEZ LES EDITEURS ! Vous ne rêvez pas 200 000 ordinateurs sous contrôle permanent de la Sécu. Ils recoupaient les infos 20 fois par jour.
Jai tout : le code source, la doc. , la méthode d'intrusion, la collecte, les fichiers de résultats, la technique pour renvoyer les résultats à SV, les documents pour que les constructeurs les mettent directement dans leurs lecteurs. La plus grosse entreprise de piratage après Windows XP !
Et puis tant qu'on y est, la cerise sur le gâteau : le GIE s'était déjà fait coincer pour le comportement et avait été rappelé à l'ordre par la CNIL : récidive et préméditation.
Pour remonter les informations ils sont allé jusqu'à modifier une norme nationale. C'était tellement flagrant que dans les 48 heures le GIE sortait une nouvelle version de la DLL qui avait perdu 150 Ko. On en fait des choses en 150 Ko !
Bien sûr j'ai immédiatement tiré la sonnette d'alarme. Je suis entré directement en relation avec les cybersflic de l'Office. J'ai le nom de celui qui m'a répondu : "c'est pas grave Monsieur Crêtaux, que voulez vous qu'ils volent". "Mais c'est interdit on ne peut laisser faire cela". "Mais non c'est pas grave : la preuve il n'y a que vous pour vous plaindre". Finalement refus de prendre ma plainte !
Alors j'ai écris en AR au Garde des Sceaux. Vous savez il s'appelait PERBEN. Il a paraît-il sortit une loi pour les délits informatiques ! C'est lui l'inventeur du délit d'intrusion dans un système informatique.
On peut poursuivre les gamins qui téléchargent des MP3 en P2P, on ne risque pas sa place, mais poursuivre le GIE SV pour incurie, abus de confiance : pas possible le ministre ne veut pas
Alors certains vont peut être trouver les propos qui suivent durs et la limite de la légalité, mais on ne joue pas.
Comme je le dis souvent avec la Sécu l'unité de calcul c'est la centaine de millions d'euros. Pour les escroqueries aussi. Et si ces messieurs trouvent que mes propos sont diffamatoires ou insultants et bien rendez-vous devant le juge. Moi je prouve tout ce que je dis (80 documents saisi par les cyberflics on ne pourra pas m'accuser de les trafiquer !). Quand on prouve ce que l'on dit c'est pas de la diffamation ?
Aujourdhui celà fait plusieurs jours que l'affaire est sur la place publique mais trois ans chez le Ministre, relayée par tous les médias écrits et télévisuels, aujourd'hui par Calle Luna, et bien aucune réaction, aucun contact ni avec le gouvernement ni avec la Sécu : dans trois semaines tout le monde aura oublié ! Pour ceux qui ont trop bonne mémoire il y a des gens qui viendront les aider à oublier : ceux qui surveillent mon téléphone et mon mail depuis des années et qui auront lu cet article avant même qu'il arrive à la rédaction de Calle Luna.
L'affaire est sur la place publique mais comme la justice REFUSE d'agir tout va continuer. Mais je ne baisse pas les bras je me battrais et jai encore des ressources. Les failles sont tellement nombreuses que je n'ai que l'embarras du choix.
Si vous pouvez m'apporter un soutien il sera la bienvenu .
Jérôme Crêtaux
xxxxxxxxxxxxx
XXXXXXXX XXXXXXXXXXXXXX
Monsieur le Garde des Sceaux
Ministère de la Justice
Hôtel de Bourvallais
75000 PARIS
Courrier avec AR 2 pages sur deux feuilles
Pièces jointes : Photocopie Carte d'Identité
Objet : dépôt de plainte envers le Groupement d'intérêt Economiques SESAM Vitale
Monsieur le Garde des Sceaux
Pour la deuxième fois je m'adresse à vous n'ayant obtenu aucun résultat du premierc de ma première missive bien que vous l'ayez transmis au parquet général de la Vienne qui m'en a informé. Depuis mon premier courrier la situation a considérablement évoluée. Cependant les responsables de l'assurance Maladie continuent à ridiculiser les lois de notre pays allant même jusqu'à se servir à leur avantage de votre loi Perben 2 qui pourtant comporte des articles qu'elles enfreignent quotidiennement
Il se trouve que j'ai prouvé l'existence de logiciels espions mis en place par l'Assurance Maladie afin de collecter des informations sur les ordinateurs des professionnels de Santé.
Votre loi prévoit bien : « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni »et encore « Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni » L'Assurance Maladie ne s'est pas introduite dans un système de traitement automatisé mais dans 100 000 (cent mille). Tous les jours elle utilise les informations volées sur les ordinateurs des professionnels de Santé, à son profit et à l'encontre de toutes les lois de la libre concurrence.
Les faits sont avérés et démontrés. L'office Central de Lutte contre la Criminalité liées aux technologies de l'information et communication est impuissant à faire cesser ces délits par faute de pouvoir, il en est de même pour la répression de fraudes. La justice ne s'applique pas à l'Assurance Maladie.
A un moment où des magistrats d'Orléans appliquent très scrupuleusement votre loi sur les devoirs d'un avocat il est étrange de constater que pas un d'entre eux n'ose demander des comptes à l'Assurance Maladie Vous excuserez mon esprit faible, je ne suis qu'un simple citoyen, mais j'ai du mal à comprendre comment l'arrestation et l'incarcération d'un avocat de la défense dans une trop classique escroquerie peut se justifier comme étant une menace pour la France et comment des fonctionnaires de l'état qui, depuis des mois, gaspillent allègrement les deniers des assurés sociaux, qui leur volent leurs secrets médicaux, qui espionnent leur médecin, ne font l'objet de pré enquêtes menées à un train de sénateur par des procureurs visiblement peu enclin aux règles de la productivité.
Mais pour comprendre peut-être faut-il être élu, fonctionnaire ou énarque ? Mais peut-être que le ministère n'est pas soumis lui au devoir de réserve et qu'il peut expliquer à un simple citoyen l'esprit de la loi, voir celui de la Déclarations des droits de l'Homme, certains français ne semblant pas être soumis aux même lois que les autres
Suite à mon premier courrier j'ai déposé six nouvelles plaintes dont certaines directement chez le procureur général. Il ne m'a même pas honoré d'un accusé de réception. Reconnaissez Monsieur le Garde de Sceaux qu'il est difficile de ne pas penser à la forfaiture. Depuis cinq ans TOUTES mes plaintes ont disparu mystérieusement par contre la moindre lettre de délation, le moindre dépôt de plainte du GIE et l'on voit arrivé tout l'arsenal policier et judiciaire de notre pays. C'est troublant
Alors Monsieur le Garde des Sceaux c'est chez vous que je viens déposer plainte puisse que même vos procureurs Généraux refusent de les recevoir. A comportement exceptionnel procédure exceptionnelle.
Je dépose plainte contre la mission SESAM VITALE qui par l'intermédiaire de son GIE a élaboré un plan national de vol d'informations chez les 200 000 professionnels de santé que compte notre pays.
Je dépose plainte contre le GIE du Mans pour avoir réalisé des logiciels dont le but était exclusivement le vol d'informations et a perpétration de délits sévèrement punis par la loi
Je dépose aussi plainte contre le GIE qui rendant l'utilisation de ses espions obligatoire pour les éditeurs m'a empêché d'exercer mon métier sauf en m'associant à ses propres délits ; -Je dépose plainte contre le Centre National des Dépôts et Agréments pour avoir mis en place un numéro d'agrément , imposé mais parfaitement abusif, numéro servant de Cheval de Troie pour remonter des informations confidentielles volées aux professionnels de santé.
C'est sans beaucoup d'illusion que j'attends les suites qui seront données à ce courrier : il y a urgence depuis des mois, tout le monde le sait, et je ne pense pas que ma missive modifiera les choses. Une expérience récente le 23 février 2004 pour être précis à 17heures 10 au TGI des Sables d'Olonne m'a donné à réfléchir sur la Justice et les Magistrats de notre République.
Moralement, je trouve obligatoire d'entreprendre la présente démarche avant d'aller vers des instances internationales pour faire cesser les délits commis, si ce n'est par des fonctionnaires du moins, par des personnes qui y sont assimilées. Je vous prie de croire Monsieur le Garde des Sceaux en ma considération distinguée.
On pourra compléter cet article en lisant "Pirate Mag" : Carte Vitale : rien à cacher ! et Problèmes de sécurité de la carte Vitale : suite... mais pas fin ! .
Merci à l'équipe de CalleLuna ;-)
Salut ! Ca m'a l'air grandiose cette histoire. Je n'ai pas bien compris à quel niveau se situent les troyens, sur les ordis des médecins et pharmaciens ? J'espère que tu as répandu les dossiers aux quatres vents, comme ca d'autres hackers pourront confirmer. En tout cas, tu as du courage et tu n'es pas un numéro.
Fred.
C'est assez étrange que l'on en parle pas plus. A moins que l'affaire ne soit effectivement étouffée.
Les journaux nationaux devraient trouver l'affaire bien croustillante et ça devrait les motiver à en parler non ? Ou alors ils ont dû l'Humpichifier.
Article très instructif mais aussi très inquiétant...
J'avais déjà vu ce monsieur à la télé qui faisait une démonstration sur un portable et qui expliquait justement qu'il suffisait d'insérer la carte vitale dans un lecteur pour que celle ci soit piratée...
Apparement il a du mal à se faire entendre par les pouvoirs publics...
Sache que moi, simple lecteur t'ayant lu lors de ses errances sur la toile, te soutiens pleinement, et pense qu'il n'est pas le seul.
Merci de te battre pour nous tous et pour nos idéaux.
Une solution, ne serait-elle pas de se tourner vers les medecins (et l'ordre des medecins), qui, je crois, serait surement plus facile à convaincre. On leur vole quand même des informations, non ? !
Après, leur voix (et leur plainte, pourquoi pas ?) sera surement mieux entendue qu'une seul personne.
Courage.
Salut,
Je trouve cette info très interessante. Etant informaticien, j'ai compris à peu prés le problème. Par contre, je doute que des nons-informaticiens puissent suivre le texte. Il faudrait ecrire une version pedagogique et accésible au grand public de ce texte. Je pense que ca vaut le coup.
Bravo, et merci pour ce travail !
Je ne suis pas informaticien mais médecin. C'est vrai que j'ai parfois du mal à comprendre les démonstrations faites, meme si je les réalisent sur un PC.
Il serait bon qu'une version "la carte vitale pour les nuls" soit rédigée à l'attention des usagers, dont les médecins.
Mais attention à ne pas divulguer les moyens de realiser le tout, car nous avons alors entre les mains des cartes à puces ayant les memes fonctions que celles du GIE, et il serait facile de nous inculper pour fraude, lors que nous ne souhaitons QUE DONNER AU GIE les moyens de protéger NOS DONNEES D USAGER.
Patrick Gueulle, informaticien EFREI a rédigé un article remarquablement bien écrit sur deux pages dans le numéro 20 de Novembre - PIRAT MAG . A se procurer assurément pour bien comprendre les enjeux des failles sécuritaires.
Nous demandons seulement des réponses aux questions que nous posons au directeur, en vain depuis plus d'un an.
Je transmets le lien à ma collègue d'en face qui s'empresse de me rapporter une conversation entendue dans le train entre deux personnes travaillant à l'assurance maladie : Ces deux personnes commentaient et se plaignaient du fait que leur propre collègues avaient accès à leur dossier médical, sans aucun problème.
A votre avis, à partir de quel prix un fonctionnaire en difficultés pécuniaires temporaires livrera le dossier qu'on lui demandera ? Moi, je parie que dans certains cas, ça pourrait correspondre à 1/5ième de leur salaire mensuel.
Bonjour et bravo !
Très bon article-
Je travaille en ce moment dans un cabinet médical. Je travail sur un PC (XP installé et administré par moi même) avec un logiciel de télétransmission Sesam Vitale. J ai quelques connaissances en informatique et certaines choses me font penser que l éditeur du logiciel est pas très net !
1-La pression exercée sur les futurs clients pour l achat d un ordinateur "prêt à l emploi"
2-Le non respect de l article L122-1 du code de la consommation qui concerne la vente liée d un produit subordonnée à un service (qui lui même est un regroupement de services subordonnés, dans mon cas).
3-Les options de télémaintenance du logiciel inclus dans le service de base (service de 350 euros sans lequel aucunes mises à jour du logiciel est possible). Ces mises à jour sont indispensables aux vues des normes qu imposent SESAM VITALE... (La télémaintenance implique un contrôle total de l ordinateur).
4-La pauvreté d informations des services techniques de l éditeur IDEA (Topaze) et la CPAM
Pour toutes ces raisons, j ai le sentiment qu il y a quelque chose qui tourne pas rond. Tout ceci m interresse beaucoup.