André Loth - Créd. MediaMedNicolas Crêtaux - Crédit Nicolas Crêtaux / MediaMedHORODATAGE et F.S.E.  le dossier

Ma réponse à A. Loth   Nicolas Crétaux 24/10/99

+++++++++++ André Loth ++++++++++++++++

Vous avez parfaitement raison en ce qui concerne les API et l'horodatage

+++++++++++++++++++++++++++++++++++++

Ce point a été clairement débattu depuis.

RETOURRésumons :

Le GIE pas plus que la CNAM n'ont jamais demandé que le numéro de la FSE comporte l'heure d'établissement de la FSE. Seuls quelques (rares) éditeurs avaient commis maladroitement cette erreur. C'est corrigé depuis.

Par contre le format d'entrée des dates dans les API Sésam-Vitale comporte bien l'heure, ce qui incite fortement les éditeurs à l'y mettre, même si cela ne leur est pas demandé.

L'argument de la CNAM selon lequel c'est EDIFACT qui impose la saisie de l'heure dans la date est un pur mensonge.

+++++++++++ André Loth ++++++++++++++++

Les API ne peuvent pas aller chercher des données quelque part dans un logiciel quelconque...

+++++++++++++++++++++++++++++++++++++

Archifaux !

Et afin de prouver qu'il est au contraire enfantin de récupérer l'heure discrètement sans que personne ne puisse s'en rendre compte, je fournis dans un mail séparé ("Annexe 1 : La fonction GetLothTime") le code en Pascal et en C d'une fonction qui permet de récupérer incognito la date et l'heure qu'il est (qui peut être la seconde près l'heure exacte à laquelle votre logiciel appelle la fonction des API Formater_FSE).

Le principe, très simple, devrait être compréhensible par tous :

Il suffit de créer un fichier dans l'ordinateur et de lire ensuite la date et l'heure de création du fichier, qui sont en l'occurrence la date et l'heure actuelle.

Un API qui intégrerait une telle fonction n'appellerait pas directement la fonction de l'OS qui permet de connaître date et heure. Et pourrait donc prétendre officiellement être "propre".

Nota: de nombreuses variantes sont possibles, telles que modifier un fichier existant (le fichier des préférences par exemple) et lire ensuite la date et l'heure de la modification.

etc.

+++++++++++ André Loth ++++++++++++++++

Les API ne peuvent pas aller chercher des données [...] pour les transmettre ensuite clandestinement à je ne sais qui. D'ailleurs le format de la B2 ne prévoit aucune place pour des données d'horodatage.

+++++++++++++++++++++++++++++++++++++

Toujours faux !

Dans le format B2, on peut très facilement utiliser les emplacements disponibles à l'intérieur de la FSE (ce que l'on appelle techniquement FILLER) pour véhiculer toute information supplémentaire voulue par la CNAM.

Il est très important de comprendre que le format B2 appartient et est totalement contrôlé par la CNAM, ce qui lui permet de le faire évoluer à son bon gré. Autrement dit, rien n'oblige la CNAM à expliciter l'ensemble des champs d'une FSE (ce qu'elle ne fait déjà pas en refusant d'expliquer comment sont calculés les champs signature Sésam-Vitale de la FSE et du lot).

Rien ne l'empêche de modifier le format B2 à CHAQUE MISE À JOUR DES API. ET RIEN NE L'OBLIGE à publier les modifications apportées, le discours officiel - connu de tous - étant <<Vous n'avez pas besoin de connaître le format sous lequel la FSE est transmise, les API sont justement là pour vous éviter à vous, incapables éditeurs, d'avoir à connaître le format utilisé>>.

La CNIL n'est jamais consultée pour effectuer les modifications que la CNAM apporte plusieurs fois par an au format B2, pas plus que pour les mises à jour des API, pas plus que pour ...

Sinon, monsieur Loth se fera certainement un plaisir de publier rapidement les PV de contrôle que la CNIL n'aura pas manqué de délivrer lors de ces prétendus contrôles.

Actuellement dans une FSE, les caractères 37-38, 46-47-48 et 95 sont disponibles. Rien n'empêche que demain, sans rien dire à personne, les API se mettent à utiliser ces six caractères pour véhiculer l'heure d'établissement de la FSE (par exemple). Rien n'empêche la CNAM de prétendre en cas de question que les données figurant à ces six positions correspondent à un code calculé secrètement par la CPS et la carte Vitale (autrement dit, la CNAM refusera de dire comment ce code est calculé, puisqu'il sera officiellement secret).

Et les PS seront impuissants pour obliger la CNAM à s'expliquer sur cet état de fait. La loi sera pour la CNAM, et rien ne pourra l'obliger à fournir les explications que les PS exigeront.

+++++++++++ André Loth ++++++++++++++++

Il reste, comme a pu le faire observer tel ou tel paranoïaque de service, que ces données pourraient théoriquement être dissimulées dans des parties chiffrées de la B2 (signature, ou codes de prestation). Ce serait techniquement possible mais cela relèverait de la folie furieuse.

+++++++++++++++++++++++++++++++++++++

Et pourquoi donc s'il vous plaît ? Sans doute est-ce de la paranoïa d'imaginer la présidence de la République française mettant sous écoutes téléphoniques quelques milliers d'innocents citoyens, dans le seul but de protéger sa progéniture adultérine ? Sans doute est-ce de la paranoïa d'imaginer qu'une respectable société collecte des informations auprès de PS de bonne foi et les revende discrètement à des laboratoires pharmaceutiques ?

Je ne vois pas pourquoi je devrais avoir plus confiance en M. Loth qu'en le président de la République ou CEGEDIM. Chez moi, on appelle cela du réalisme, pas de la paranoïa.

Vous noterez au passage que A. Loth confirme bien mon affirmation ; il est parfaitement possible techniquement d'inclure des informations illégales dans les parties chiffrées de la FSE.

Je précise que je n'ai jamais dit que la CNAM utilisait cette possibilité pour transmettre actuellement des informations illicites. J'ai simplement dit qu'elle pouvait parfaitement le faire (ce que A. Loth confirme), et en toute impunité...

J'ai ajouté qu'il est INDISPENSABLE de mettre en place un système de contrôle qui permette de garantir aux Français (et accessoirement aux PS) que la CNAM n'outrepassait pas ses droits en la matière, et qu'il est de salubrité publique de lui retirer immédiatement la responsabilité d'élaborer les algorithmes d'encryptage et de signatures électroniques.

+++++++++++ André Loth ++++++++++++++++

Faut-il rappeler d'ailleurs que les industriels qui ont développé des produits intégrés soumis à homologation peuvent avoir accès aux secrets des API et du logiciel lecteur (sous réserve d'un engagement de confidentialité)

+++++++++++++++++++++++++++++++++++++

Encore un beau mensonge. Ou une méconnaissance inadmissible des méthodes industrielles de fabrication des dispositifs électroniques.

Un système secret bien conçu permet AU CONTRAIRE de ne pas mettre les industriels dans le secret.

Les contrats de confidentialité permettent d'obtenir une "sécurité" ou garantie complémentaire sur l'industriel, mais ne sont en fait aucunement nécessaires à la préservation des secrets relatifs aux logiciels informatiques utilisés dans le processus.

Je vous renvoie à mon deuxième mail (séparé: "Annexe 2 : Je protège mes petits secrets") pour les détails techniques des procédures utilisées tous les jours par les industriels pour ne pas avoir à révéler aux fabricants de dispositifs électroniques les logiciels utilisés dans leurs machines.

+++++++++++ André Loth ++++++++++++++++

la CNIL a naturellement accès à tout

+++++++++++++++++++++++++++++++++++++

Si cela est vrai, André Loth n'aura aucune difficulté à prouver ce qu'il affirme. Connaissant nos fonctionnaires comme tout bon Français qui se respecte, je ne doute pas que la CNIL a délivré à la CNAM moult certificats attestant de la parfaite neutralité et transparence des dispositifs de cryptage et signature utilisés dans Sésam-Vitale. Ces choses sont beaucoup trop importantes pour être traitées oralement.

Sortez donc les écrits, M. Loth, SVP.

Je suis impatient de les voir.

+++++++++++ André Loth ++++++++++++++++

Quant aux mystérieux fichiers ".MIF", visés à l'annexe 6 du cahier des charges SV et sur lesquels vous vous interrogez, il [...] s'agissait de connaître les configurations des postes de travail des PS [...]. L'envoi de ce fichier ne devait s'effectuer que lors des évolutions de configuration [...]. et ce sous réserve de l'accord du professionnel (il était prévu qu'un message proposant l'envoi de ce fichier et décrivant son contenu soit implémenté par l'éditeur de logiciel).

+++++++++++++++++++++++++++++++++++++

Les deux autres exemples connus concernent les mouchards mis en place par Microsoft et Intel.

Ils ont largement défrayé la chronique.

Point n'est besoin d'en rajouter une couche.

+++++++++++ André Loth ++++++++++++++++

Devant l'absence d'accord du CNPS, il a été suggéré que le fichier pourrait être adressé à un intermédiaire choisi par le professionnel, mais en pratique cette idée est restée elle aussi lettre morte et ne figure dans le cahier des charges qu'à l'état de voeu pieux.

+++++++++++++++++++++++++++++++++++++

Qu'attend-on alors pour supprimer purement et simplement cette annexe 6. Ce n'est pas très difficile à faire, même administrativement.

À l'ère du document électronique, quand même ...

+++++++++++ André Loth ++++++++++++++++

Je continue de penser qu'il faudra un jour revenir à l'envoi semi-automatique (sous réserve de l'accord du professionnel) d'un tel fichier à un organisme capable d'effectuer des statistiques sur le "parc", voire de prévenir un professionnel que sa configuration doit être mise à jour (dans son propre intérêt et dans celui de ses patients !).

...

Une telle décision ne pourrait être prise qu'avec l'accord des représentants des professionnels, [...] tant la méfiance [...] demeure grande en ces matières [...].

+++++++++++++++++++++++++++++++++++++

Demandez donc à Intel et Microsoft ce qu'ils en pensent. Apple a depuis longtemps abandonné l'idée d'établir un fichier dans lequel seraient répertoriés tous les Applemaniaques (c'était à la fin des années 80).

J'ai peur que vous n'ayez une guerre de retard lorsque vous défendez de telles idées ...

+++++++++++ André Loth ++++++++++++++++

Le caractère sensible de ces fichiers de configuration réside dans l'intérêt commercial qu'ils pourraient présenter pour des opérateurs (vendeurs de matériels informatiques ou de logiciels), en supposant que certains d'entre eux soient peu scrupuleux. Bien entendu, cela n'a rien à voir avec l'idée paranoïaque et proprement absurde qu'un service public comme l'assurance maladie irait "espionner" le contenu des postes de travail des professionnels de santé, en s'exposant ainsi aux peines (lourdes) prévues par le code pénal pour les infractions au secret professionnel ou aux dispositions de la loi informatique et liberté

+++++++++++++++++++++++++++++++++++++

Ce n'est pas ce genre d'arguments qui fait peur aux voleurs..... Demandez-donc aux grandes oreilles de l'Élysée quelles foudres leur copine Elisabeth leur a fait subir.... (entre copains, on la ferme).

Ce genre d'arguments n'a pas empêché CEGEDIM ou ce fameux Président de notre bonne vieille république d'agir.

Pas plus que .... (la liste est longue)

+++++++++++ André Loth ++++++++++++++++

Le contenu des FSE est décrit d'une part dans l'annexe d'un arrêté ministériel ayant obtenu un avis favorable de la CNIL et d'autre part dans le format officiel, dit B2, des feuilles de soins.

+++++++++++++++++++++++++++++++++++++

C'est l'arrêté ministériel qui a eu un avis favorable. Pas le contenu des FSE. Dont je rappelle qu'il peut changer en fonction du bon vouloir de la CNAM. Et que la CNAM n'est absolument pas tenue de consulter la CNIL quand elle change le format des FSE, c'est à dire quand elle change la norme B2, donc les API.

Le fameux format B2 offre, quant à lui, de nombreuses possibilités pour véhiculer d'une manière tout à fait illicite des informations non-contractuelles (voir plus haut).

+++++++++++ André Loth ++++++++++++++++

A supposer même que des responsables de l'assurance maladie veuillent espionner les professionnels par des moyens illégaux (ce qui est, encore une fois, tout bonnement absurde), on voit mal comment le secret pourrait être conservé sur de tels agissements ; en outre, la CNIL peut expertiser elle-même ou faire expertiser quand elle le souhaite le contenu des fichiers transmis à l'assurance maladie (ces fichiers sont conservés tels qu'ils ont été reçus sur des disques optiques numériques) !

+++++++++++++++++++++++++++++++++++++

Il y a mille et une façons de justifier à posteriori le contenu d'une signature électronique. La plus "évidente" consistant à dire que la signature comporte une partie aléatoire, ce que l'on démontre facilement en calculant deux fois de suite la signature d'une même FSE, avec la même CPS et la même Vitale : on n'obtient pas la même signature, bien que les données de départ soient strictement identiques.

Qu'en conclure ?

- que la signature intègre l'heure, qui est la seule donnée ayant varié entre les deux calculs des deux signatures,

- ou que la signature intègre des éléments "aléatoires" (c'est-à-dire qui changent à chaque calcul) et que par conséquent il est impossible (mathématiquement) de reproduire une signature : IL EST DONC IMPOSSIBLE DE LA JUSTIFIER A POSTERIORI.

Et cette prétendue possibilité de vérifier a posteriori les fichiers est parfaitement fausse.

SEUL UN CONTRÔLE A PRIORI SUR LE CODE SERVANT À CALCULER LA SIGNATURE peut apporter les garanties nécessaires.

+++++++++++ André Loth ++++++++++++++++

La maîtrise médicalisée des dépenses de santé suppose non pas de l'espionnage mais une connaissance de l'activité des professionnels de santé :

..........

Permettez moi d'ajouter que si les mêmes qui contestent toute forme de contrôle budgétaire ("comptable" comme ils disent) des dépenses d'assurance maladie par le Parlement, refusent aussi toute forme de contrôle médical par les caisses, ça demeure de la libre expression d'opinions, mais ça s'appelle aussi de la démagogie corporatiste et de la mauvaise foi, ou de l'inculture économique et civique.

+++++++++++++++++++++++++++++++++++++

Cet argument est purement "politique". Il ne m'appartient pas d'y répondre. Je laisse donc la parole aux PS.

Je rappelle simplement l'excellent mail que vient de poster C. Bonnet ([FULMEDICO] Codage et Épidémiologie) à propos des approches statistiques, de la définition des échantillonnages nécessaires à la mise en place de réelles analyses épidémiologie/coût des soins. Ce mail comporte une mine d'arguments - que pour ma part je n'avais pas encore lus - qui ouvrent des perspectives très importantes.

+++++++++++ André Loth ++++++++++++++++

Pour sa part, l'assurance maladie applique la loi... et rien que la loi. Elle n'a ni besoin ni intention de recourir à des procédés illégaux pour assurer sa mission de contrôle (ce n'est pas un gros mot, c'est la première exigence de la démocratie lorsqu'il s'agit d'argent public). Les professionnels sont parfaitement fondés à exiger, de la part de l'assurance maladie, transparence et rigueur dans lesdites procédures de contrôle ;

+++++++++++++++++++++++++++++++++++++

Je note que <<Les professionnels sont parfaitement fondés à exiger, [...] de l'assurance maladie, transparence et rigueur dans lesdites procédures de contrôle>>. C'est exactement ce qui est réclamé ! La mise en place d'un dispositif de contrôle dont l'autorité et la compétence soient reconnues par les deux parties. C'est-à-dire sûrement pas une entité CNAM-dépendante, telle le CNDA ou le GIE Sésam-Vitale.

Je constate donc un accord sur la nécessité de mettre en place une procédure de contrôle.

Reste à savoir si ce contrôle sera effectué par une entité CNAM-dépendante, ce que souhaite manifestement André Loth, ou par un organisme totalement indépendant, seule solution acceptable par les PS.

+++++++++++ André Loth ++++++++++++++++

...[Les PS] sont également fondés à mettre en place leurs propres procédures d'évaluation (c'est le rôle assigné par la loi aux Unions régionales de médecins libéraux, notamment), ...

+++++++++++++++++++++++++++++++++++++

Déviation insidieuse de la discussion: discrètement, on glisse du contrôle de la sécurité vers les "procédures d'évaluation [des soins]", ce qui n'a strictement rien à voir.

La loi n'a jamais confié aux unions la responsabilité de vérifier le contenu des CPS, des signatures électroniques ou des algorithmes d'encryptage. Et je ne crois pas que les unions aient jamais réclamé le droit d'effectuer elles-même un tel contrôle.

+++++++++++ André Loth ++++++++++++++++

... je souhaite bien du plaisir aux professionnels de santé qui préféreraient le genre de contrôle qu'exerceraient sur eux des organismes d'assurance privés, libres de choisir les professionnels avec lesquels ils passeraient convention, dans l'hypothèse où l'assurance maladie publique aurait échoué à remplir sa mission de maîtrise des dépenses.

+++++++++++++++++++++++++++++++++++++

Commentaire : Cette opinion sur l'arrivée des assurances privées n'engage que son auteur, et n'a pas grand chose à voir dans le débat actuel.

+++++++++++ André Loth ++++++++++++++++

Codage légal oui ; horodatage ou autre espionnage illégal, non.

+++++++++++++++++++++++++++++++++++++

Moi je préfère la version de Gérald :

Mirabelle, oui ; signature ferrugineuse, non.

::::::::::::::::::------------------)))))))))))))))))))

Amicalement,

Nicolas Crêtaux     Consultant Informatique  

----------------------------------------------------------------

 Page perso: http://www.hli.fr/fichiers/mapage/cretaux.html

http://www.hli.fr & http://www.hli.fr/rss

Tel 33 (0)4 77 35 25 77   Fax 33 (0)4 77 35 35 52   cretaux@hli.fr  

----------------------------------------------------------------

Seuls ceux qui sont assez fous pour penser qu'ils peuvent changer le monde y parviennent

----------------------------------------------------------------

Réagissez, donnez votre opinion, laissez votre contribution en remplissant notre formulaire Ecrivez sur OpiMed

RETOUR


La Tribune La Tribune OpiMed - sommaire  sommaire

© MediaMed - 775.2 page remise à jour 10 03 00   Francité