• # A lire aussi

    Posté par  . Évalué à 1.

    • [^] # Sans oublier

      Posté par  . Évalué à 10.

      • [^] # pas mieux

        Posté par  . Évalué à 1.

        • [^] # Re: pas mieux

          Posté par  . Évalué à 3.

          c'est assez étrange que l'on en parle pas plus. A moins que l'affaire ne soit éttouffé.
          Les journaux devraient trouver l'affaire bien croustillante et ça devrait les motiver à en parler non?

          Enfin sinon vive le progrès mais des fois on devrait peut etre pas trop le mettre n'importe où n'importe comment
      • [^] # Re: Sans oublier

        Posté par  . Évalué à 3.

        Ok, j'accepte la critique, mais l'affaire bien qu'assez vieille, commence à peine à être médiatiser. J'ai donc pas trouver grand chose de plus que ce qu'il y a dans l'article concerné. Article, de surcroît, écrit par la personne la plus concernée par les faits.
        Sauf à réecrire l'auteur, j'aurais peut-être pu copier-coller l'article avec le lien vers l'article d'origine, Calle Luna le permettant ...
        • [^] # Re: Sans oublier

          Posté par  (site web personnel) . Évalué à 1.

          Dans l'article, il est ecrit que les plaintes ont été classées sans suite par le procureur, et c'est son(?) choix.
          Mais il peut tout de meme engager son action par citation directe, par exploit d'huissier, et la il n'y a pas de classement possible
          Je me demande pourquoi il a pas fait ça ...
          • [^] # point positif :)

            Posté par  . Évalué à 3.

            Bonjour,

            je vois un point positif: le fait que le cryptage des informations n'est pas fiable, et lisibles sans problèmes, permet de s'assurer que les infos sur la carte sont bien celles qui sont annoncées.

            La preuve, ce journal qui renvoie sur les chevaux de Troie de la carte: si la carte avait été bien programmée, on n'en aurait jamais rien su.

            Qu'ils continuent à programmer d'une façon merdique va nous coûter un peu d'argent (les fausses cartes, et celles modifiées), mais cela va nous garantir un peu de liberté (de savoir ce qu'il y a sur la carte, de protester si des infos sensibles y sont inscrites etc ...)

            et quant à moi, je préfère cette solution ...

            Eric!
            --------

            ps: par contre, cela doit nous mettre en éveil sur le futur "dossier médical informatisé" : si les infos sont aussi bien sécurisées, on est dans la me... N'importe qui (douane, société d'assurance employeur ) pourra avoir accès aux infos. Alors, là, la liberté va s'envoler à tire d'ailes.
            • [^] # Re: point positif :)

              Posté par  . Évalué à 1.

              Alors à ce moment là on fait comme en Allemange (d'après un des articles) on ne dit pas que c'est sécurisé mais que c'est juste une sorte de "feuille électronique" qui peut être lue par tout le monde (techniquement en tout cas, après légalement c'est une autre chose).
              • [^] # Re: point positif :)

                Posté par  . Évalué à 2.

                J'ai toujours entendu dire que ce que contenai la carte était la copie de ce qu'on avait sur la carte en papier.

                En plus, tout le monde vous demande le contenu de la carte, j'arrête pas d'aller à la sécu leur demander la copie du contenu. J'espère qu'on va avoir un petit programme pour faire ça chez soi !
            • [^] # Re: point positif :)

              Posté par  . Évalué à 5.

              "le fait que le cryptage des informations"

              Aaaaargh ! Tu réussis à faire se hérisser le peu de cheveux qu'il me reste :-)

              1° s/cryptage/chiffrement/

              2° Comme je l'ai déjà répété, la carte actuelle ne contient que les mêmes informations (ni plus, ni moins) que la carte papier qu'on avait avant. Et personne n'était choqué que cette carte était lisible avec une simple paire d'yeux.

              3° Pour que quelqu'un ait accès à la carte, il faut la lui donner. Un médecin est en droit de la demander, de la lire. C'est normal. Si un employeur ou assureur la demande, ils n'en ont pas le droit. Donc aucune chance qu'ils lisent le contenu de la carte, sauf consentement de son propriétaire. Et puis vu le contenu ... cf. 2°

              4° Il suffit qu'un article parle de "cheval de troie", tout le monde crie au loup ! Mais est-ce qu'il donne des informations, des détails sur les informations remontées ? Eh non ... Pareil, il parle de "prise de contrôle" mais de justifie rien. Vous n'avez pas l'impression de vous faire manipuler comme trop souvent les journalistes qui n'ont aucune compétence technique mais truffent leurs articles de "pirate", "hacker", etc. ?

              (Précautions d'usage)
              Je précise que je travaille dans ce domaine, donc que je sais un peu de quoi je parle :-) Et surtout, que je ne m'exprime qu'en mon nom personnel. Ouf.
              (/Précautions d'usage)
              • [^] # Re: point positif :)

                Posté par  . Évalué à 2.

                < ironie >
                hehe, d'un autre cote, suffit que le virus informatique s'en occupe pour decredibiliser l'affaire...
                < /ironie >
              • [^] # Re: point positif :)

                Posté par  . Évalué à 1.

                bonjour,

                >Comme je l'ai déjà répété, la carte actuelle ne contient que les mêmes informations (ni plus, ni moins) que la carte papier qu'on avait avant. Et personne n'était choqué que cette carte était lisible avec une simple paire d'yeux.

                eh bien c'est justement ce dont on ne peut être sûr tant qu'il n'est pas possible de lire TOUTES les infos sur la carte.


                > cryptage - chiffrement : ben oui , "je m'as suis trompé" :)

                Et je n'ai à aucun moment parlé de chevaux de Troie: je veux juste savoir quelles sont les infos enregistrées sur ma carte. Si pour le moment, ce ne sont que des infos administratives, c'est bien. Je veux pouvoir m'assurer que celà restera comme ça.

                Il était prévu de mettre beaucoup plus d'informations sur la carte, et je crois que c'est toujours d'actualité.

                voilà,

                c'est tout.

                Eric!
                --------
                • [^] # Re: point positif :)

                  Posté par  (site web personnel) . Évalué à 2.

                  > Si pour le moment, ce ne sont que des infos administratives, c'est bien.
                  > Je veux pouvoir m'assurer que celà restera comme ça.

                  Ça ne changerait pas grand chose. Ta carte contient un identifiant unique, si les gens qui font la carte vitale veulent stoquer des infos sur toi, ça leur suffit amplement.
                  • [^] # Re: point positif :)

                    Posté par  . Évalué à 3.

                    identifiant unique?
                    tu veux dire comme le numero de secu, qui reste le meilleur systeme de fichage francais?
                    • [^] # Re: point positif :)

                      Posté par  (site web personnel) . Évalué à 2.

                      Euuh, c'est pas franchement un scoop, que ta carte vitale contient ton numéro de sécu ...
                    • [^] # Re: point positif :)

                      Posté par  (site web personnel) . Évalué à 1.

                      identifiant presque unique... L'année de naissance est sur 2 chiffres. Faut au moins le nom de la personne pour limiter les collisions.
                      • [^] # Re: point positif :)

                        Posté par  (site web personnel) . Évalué à 4.

                        Tu veux dire qu'il y aurait en France deux personnes qui auraient le même numéro de sécu ? Ca doit être chiant, chaque fois que l'un va chez le medecin, c'est l'autre qui se fait rembourser ;-).

                        (hint: les numéros de sécurité sociales sont attribués par une autorité centralisée, et y'a pas que ta date de naissance comme chiffre)
                        • [^] # Re: point positif :)

                          Posté par  . Évalué à 2.

                          Techniquement, il y très souvent plusieurs personnes avec le même numéro de sécu : la papa, la maman et les petits oursons.
                          Par contre, chacun a son numéro INSEE...
                          • [^] # Re: point positif :)

                            Posté par  . Évalué à 3.

                            heuu pour le papa et la maman, ca va etre de me faire croire qu'ils ont le meme numero de secu.
                            Ou alors, yen a des deux qui sait pas tout sur son conjoint.
                            • [^] # Re: point positif :)

                              Posté par  . Évalué à 3.

                              pfffouuuuu...
                              je la refait, avec tous les mots ce coup ci :

                              heuu pour le papa et la maman, ca va etre dur de me faire croire qu'ils ont le meme numero de secu.
                              Ou alors, yen a un des deux qui sait pas tout sur son conjoint.
                          • [^] # Re: point positif :)

                            Posté par  (site web personnel) . Évalué à 3.

                            C'est pas un peu synonyme, "numéro INSEE" et "numéro de sécurité sociale" ??
                            • [^] # Re: point positif :)

                              Posté par  . Évalué à 3.

                              Non. Tout le monde a un numéro INSEE (cas général : sexe, année de naissance, mois de naissance, département, commune, n° de naissance dans le mois, clef). Ce numéro existe dès la naissance.

                              Le numéro de sécurité sociale, c'est celui qui sert aux échanges avec la sécu. Pour les enfants et, possiblement, le conjoint, c'est le numéro INSEE d'un des parents qui sert. On a donc plusieurs personnes qui utilisent comme numéro de sécurité sociale un seul et même numéro INSEE.

                              Voilà, donc, je chipotais sur la différence pratique entre n° INSEE (ou NIR) et n° de sécu.
                              • [^] # Re: point positif :)

                                Posté par  (site web personnel) . Évalué à 2.

                                Une référence là dessus ?

                                Tout ce que je trouve sur le web (y compris sur des sites en .gouv.fr) me disent que c'est synonyme.
                                • [^] # Re: point positif :)

                                  Posté par  . Évalué à 2.

                                  Le fonctionnement même de l'assurance sociale.
                                  P.ex., tu vas là [1] et là [2], et tu vois que :
                                  1. quand tu n'as pas 16 ans, tu ne peux avoir de carte vitale ;
                                  2. il y a plusieurs bénéficiaires par carte, alors que la carte est associée à un seul titulaire.

                                  Donc : un enfant de moins de 16 ans ne peut être assuré social en tant que tel, il ne peut qu'être bénéficiaire associé à l'assurance sociale d'un de ses parents, dont la carte vitale est associée à un seul titutaire et à un seul n° INSEE. Ça c'est une obligation. (On trouve d'autres infos par là [3].)
                                  Le n° INSEE existe dès la naissance.

                                  On peut donc dire qu'un n° de sécurité social valide est un n° INSEE, mais un n° INSEE n'est pas forcément un n° de sécurité social. Plus précisément, un n° INSEE n'est un n° de sécurité social que lorsque le porteur est assuré social autonome (= titutaire, en son nom propre).
                                  Par simplification, on peut donc dire que c'est la même chose.
                                  Par chipotage, ce n'est pas la même chose (d'où le « techniquement » dans mon premier message sur le sujet).

                                  [1] http://www.ameli.fr/47/DOC/388/fiche.html?page=1
                                  [2] http://www.ameli.fr/47/DOC/388/fiche.html?page=2
                                  [3] http://www.ameli.fr/84/DOC/834/fiche.html

                                  (Je suis arrivé à ces pages en tapant « sécurité sociale » et en trois ou quatre clics.)

                                  (C'est marrant où on en arrive pour un petit chipotage ;o)
                                  • [^] # Re: point positif :)

                                    Posté par  (site web personnel) . Évalué à 2.

                                    > P.ex., tu vas là [1] et là [2], et tu vois que :

                                    On est d'accord sur les hypothese, mais nulle part, tu ne justifie ta définition de "numéro de sécurité sociale". Or justement, je me permet de remettre en question la définition que tu donnes.

                                    > 1. quand tu n'as pas 16 ans, tu ne peux avoir de carte vitale ;
                                    > 2. il y a plusieurs bénéficiaires par carte, alors que la carte est associée à un seul titulaire.

                                    ... et quand il y a plusieurs bénéficiaires, sur la feuille de soin, tu as deux cases distinctes :

                                    Numéro d'imatriculation du bénéficiaire des soins : .....
                                    Numéro d'imatriculation de l'assuré : ....

                                    (avec une mention pour le cas ou le numéro n'a pas été communiqué au bénéficiaire)

                                    Je ne vois pas comment tu peux en déduire que dans ce cas, le numéro de sécu du bénéficiaire _est_ celui de l'assuré.

                                    > (Je suis arrivé à ces pages en tapant « sécurité sociale » et en trois ou quatre
                                    > clics.)

                                    J'ai fait les mêmes recherches que toi, mais moi, je cherchais la définition de "numéro de sécurité sociale".

                                    La recherche suivante, par exemple, en donne une assez simple

                                    http://www.google.fr/search?q=%22num%C3%A9ro+de+s%C3%A9curit(...)
                                    ...votre 'numéro de Sécurité sociale' également appelé 'numéro INSEE'...

                                    Tu peux aussi tomber sur celle-là

                                    http://www.ginkgo.tm.fr/lexique-40.php
                                    Le numéro de Sécurité sociale est le numéro d'identification de chaque citoyen. Il permet à la Sécurité sociale de rembourser les frais de santé. Il se compose de codes établis à partir du sexe de la personne, de sa date de naissance et du lieu de naissance.

                                    > (C'est marrant où on en arrive pour un petit chipotage ;o)

                                    On est d'accord ;-).
                        • [^] # Re: point positif :)

                          Posté par  (site web personnel) . Évalué à 2.

                          > (hint: les numéros de sécurité sociales sont attribués par une autorité centralisée, et y'a pas que ta date de naissance comme chiffre)

                          Centralisée ?
                          http://www.grenoble.ameli.fr/103/DOC/138/article_pdf.html#
                          - un '1' ou '2' pour le sexe
                          - année de naissance sur 2 chiffres
                          - mois de naissance
                          - département de naissance
                          - commune de naissance sur 3 chiffres
                          - numéro INSEE (inscription sur les registres d'État civil) sur 3 chiffres
                          - clé sur 2 chiffres, calculée à partir de chiffres précédents

                          Prenons la première naissance le 1 janvier 1905 à Clermont-Ferrand. Comparons avec la première naissance le 1 janvier 2005 à Clermont-Ferrand. Même année sur 2 chiffres, même mois, même départerment, même commune, même numéro INSEE (000 ou 001 je présume). Une chance sur deux d'être du même sexe, donc d'avoir le même numéro de sécu. Reste comme différence le nom de famille, et on peut imaginer que sur toutes les villes, il y a des collisions sur les noms courants.
                          • [^] # Re: point positif :)

                            Posté par  (site web personnel) . Évalué à 2.

                            > http://www.grenoble.ameli.fr/103/DOC/138/article_pdf.html#

                            Ce lien me parait intéressant. On peut y lire

                            Votre numéro d'immatriculation est unique,

                            > même numéro INSEE (000 ou 001 je présume).

                            Moi, je présume pas, justement.
                            • [^] # Re: point positif :)

                              Posté par  (site web personnel) . Évalué à 2.

                              http://fr.wikipedia.org/wiki/Num%C3%A9ro_de_S%C3%A9curit%C3%(...)

                              On considère qu'« aucune commune n'enregistre plus de 1000 naissances par mois », donc le numéro d'inscription sur les registres d'État-civil (sur 3 chiffres) ne risque pas d'être identique pour la première et la 1001ème naissances un mois donné une année donnée dans une commune donnée.

                              Par contre il y a forcément un premier inscrit sur le registre qui porte le premier numéro (000 ou 001 donc). Il y a un chance sur 2 d'avoir une collision tous les siècles dans toute commune enregistrant au moins une naissance par mois... CQFD

                              C'est le même souci que le bogue de l'an 2000, le codage de l'année sur 2 chiffres au lieu de 4. Et pour pallier ce point, le nom de famille est utilisé pour limiter les collisions.

                              L'adresse MAC des cartes réseau est aussi prétendue unique par plein de gens, alors qu'il n'en est rien (cartes fabriquées avec les mêmes MAC, possibilité de changer l'adresse MAC d'une carte (man ifconfig)).
                              • [^] # Re: point positif :)

                                Posté par  (site web personnel) . Évalué à 2.

                                > Il y a un chance sur 2 d'avoir une collision tous les siècles dans toute commune enregistrant au moins une naissance par mois...

                                La collision ne posant problème que si les deux individus (l'un trop jeune et l'autre très vieux (100 ans d'écart)) sont en vie, ou en cours de remboursement, bien entendu.
                              • [^] # Re: point positif :)

                                Posté par  (site web personnel) . Évalué à 3.

                                Le numéro de sécu, dont le nom officiel est « Numéro d'inscription au répertoire » est fait pour être unique, et il l'est. Le répertoire national d'identification des personnes physiques est basé sur ce principe.

                                Le numéro, qui selon toi commence forcément à 000 ou à 001 est en fait « numéro d'ordre permettant de distinguer les personnes nées au même lieu à la même période. ».

                                http://www.legifrance.gouv.fr/texteconsolide/SSHAVP.htm

                                Je ne vois pas très bien pourquoi les gens s'embeteraient à réinitialiser ce compteur. Si le dernier mec né en janvier 1905 porte le numéro 472, pourquoi diable les gens s'emmerderaient à renumérotter à partir de 0 en janvier 2005 ? Et quand le compteur arrive en bout d'intervalle, c'est prévu aussi.

                                Au cas où le nombre de naissances dépasse 999 pour une commune et un mois donné, un "code commune extension" est utilisé pour garantir l'unicité du NIR.

                                http://xml.insee.fr/schema/nir.html

                                (cette dernière page rappelle d'ailleurs que Le numéro d'inscription au répertoire (NIR) est l'identifiant unique des individus inscrits au RNIPP.)

                                Il y a moins de 1 000 000 naissances par an en France, donc moins de 100 000 naissances par mois en moyenne. Réparti sur la centaine de départements français, tu as donc moins de 1000 naissances par département et par mois. Or, les départements sont eux mêmes coupés en potentiellement 1000 codes communes (en pratique, je suppose que c'est beaucoup moins, mais que les codes inutilisés sont gardés en reserve, ce qui revient au même). Donc, on peut tenir environ 1000 siècles à ce rythme là avant d'avoir la première collision. Ce jour là, il suffira de s'assurer que la personne née 100 000 ans plus tôt est bien décédée ...
                                • [^] # Re: point positif :)

                                  Posté par  (site web personnel) . Évalué à 2.

                                  * Sur le « numéro d'ordre permettant de distinguer les personnes nées au même lieu à la même période. » (numéro d'inscription au registre d'État Civil) : « Au cas où le nombre de naissances dépasse 999 pour une commune et un mois donné, un "code commune extension" est utilisé pour garantir l'unicité du NIR. » S'ils entendent en fait « un mois + une année sur 2 chiffres donnés », alors il n'y a pas collision. S'il s'agit vraiment uniquement d'un mois donné, sans précision de l'année, il y a des chances de collisions au bout d'un siècle.

                                  * Sur le nombre de naissances par mois :
                                  Naissances en 2004 par commune (source INSEE) : Paris 31817, Marseille 11681, Lyon 7255, Toulouse 5720, Nice 4332, Strasbourg 3885, Lille 3749, Nantes 3728, Paris 18e Arrondissement 3513, Montpellier 3450, Paris 19e Arrondissement 3368...

                                  Les deux premiers chiffres sont probablement à diviser par arrondissements, et on voit pour les suivants qu'il y a moins de 1000 naissances/mois, comme dit précédemment.
                  • [^] # Re: point positif :)

                    Posté par  . Évalué à 1.

                    bonjour (re)

                    qu'il y ait un identifiant unique n'est pas le problème si les personnes non autorisées n'ont pas accès aux infos sensibles liées à ce numéro.

                    Donc, si le chiffrement des infos est défectueux, il ne faut surtout pas mettre des informations sensibles sur la carte.


                    Eric!
                    ------

                    ps: moi, je préférerais pas de chiffrement du tout et des infos minimales.

                    pps: ce serait en plus beaucoup moins coûteux (carte simple, logiciels simples etc ..)
          • [^] # Re: Sans oublier

            Posté par  . Évalué à 2.

            Peut etre que si beaucoup de monde prend connaissance de l'affaire et que tout le monde en parle l'accusation sera pris au serieux...
  • # C'est un FUD

    Posté par  . Évalué à 3.

    Un informaticien qui a toutes les specs dans les mains depuis près de 10 ans découvre qu'il y aurait un trou dans le système SESAM-Vitale, Pourquoi aujourd'hui mais pas il y a 10 ans ?

    Pour ce qui est du "vol" d'informations, ne s'agirait-il pas d'informations de gestion de configuration ? On peut lire dans le cahier des charges de SESAM-VITALE "Le progiciel doit également offrir au Professionnel de Santé, la visualisation des données remontées par la
    fonction « Lecture Configuration » (cf Annexe 1-C)." ?

    Et puis le coup de la modification de la norme nationale, par un organisame national pour une application nationale, quoi de plus normal...

    Vous seriez fonctionaire SESAM-Vitale, vous laisseriez voler les donner de votre médecin ? Combien de personnes doivent avoir garder le secret de la MOA à la MOE entre celui qui fait l'expression de besoin au codeur avec ceux qui valident ? Ils seraient incompétents pour sécuriser la carte mais compétents pour le vol de données à grande échelle. Même pour les goulags de Bush, on a fini par savoir.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.