Une star est née : La faille de sécurité de Santénergie !

---

Revue médias encore incomplète

---

15 avril 2007

La faille a les honneurs du rapport public de la CNIL !

En mars 2006, la CNIL constatait pour les hébergeurs InVita, Santénergie et France Télécom : «  le patient pourra accéder à son DMP par accès direct via Internet en utilisant son adresse qualité santé (AQS) et un login/mot de passe associé à des questions-défi ». Dans son rapport final, la CNIL rappelle que «  l’expérimentation a permis de relever une importante faille de sécurité sur le site internet d’un hébergeur [Santénergie], où l’accès au DMP par les patients reposait sur des identifiants et mots de passe identiques et facilement déductibles ».
Pourtant en mars 2006, la CNIL considérait : « la solution de la société Santénergie, fondée sur un mot de passe, associé à des questions-défi constitue une solution, en l’état, acceptable ». La CNIL n’avait pas imposé alors la « définition d’un mot de passe “robuste” , c’est-à-dire composé d’au moins huit caractères alphanumériques » et l’obligation « de modifier le mot de passe lors de la première connexion » !

De nombreux journaux reprennent alors cette histoire de faille de sécurité rappelé par le rapport, sans pour autant l’atribuer à Santénergie !

---

8 février 2007 - Impact médecins LES RATÉS DE L’EXPÉRIMENTATION DMP
Christian Humbert constate désabusé : «  L’expérimentation a été très mal conduite. J’étais avec le consortium Santénergie qui a dû tout arrêter en raison d’une faille de sécurité. Maintenant tous les dossiers ont été fermés. J’étais volontaire et j’y croyais. Je me sens aujourd’hui frustré et il y a une impréparation totale... »

---

30 janvier 2007 - Acteurs publics : 3 questions à Jacques Sauret, directeur du groupement d’intérêt public pour le dossier médical personnel
Acteurs publics : « Fin novembre, un médecin a réussi à deviner sans difficulté les codes soi-disant confidentiels des dossiers médicaux informatisés de plusieurs patients participant à l’expérimentation ayant lieu en Pays de la Loire. Comment expliquez-vous cette faille ? Ne craignez-vous pas qu’elle remette en cause le projet d’utiliser le numéro de Sécurité sociale comme identifiant d’accès au DMP ? »
Jacques Sauret : « Je voudrais souligner en premier lieu que le problème a été réparé moins d’une heure et trente minutes après avoir été découvert. Il venait du fait que l’entreprise responsable de cette expérimentation avait oublié de modifier les règles de constitution des mots de passe entre la phase de test et la phase de l’expérimentation réelle. Mais, il faut le souligner, tout était prêt pour que le système soit sécurisé dans les meilleures conditions. De cette erreur grave, on peut tirer deux enseignements positifs. D’abord, cela démontre qu’une fois les dossiers informatisés ouverts, les hébergeurs n’y ont pas accès. Ensuite, cela nous a permis d’expérimenter une crise et de tester nos dispositifs de gestion d’une telle situation. »

---

15 janvier 2007 - URML des Pays de Loire : Dossier Médical Personnel : informations
« ... L’expérimentation en Pays de la Loire s’achève fin 2006. Elle a permis, gràce à la mobilisation des patients et des médecins expérimentateurs volontaires, de tester un Dossier Médical Personnel en grandeur réelle et de déceler des difficultés et améliorations possibles : dans les domaines de l’organisation en ville et dans les établissements, dans les domaines informatiques et techniques (ergonomie, interfaçage des outils de travail, dans le domaine de la sécurité des données (découverte d’une faille de sécurité), et dans le champ de relation médecin/patient »....

---

19 janvier 2007 - PC Impact : Le Dossier médical personnel sur Internet reporté à novembre ; Promis, on sera à la bourre
« ... Une phase de test est toujours en cours depuis l’été dernier sur 35.000 dossiers en Pays de la Loire, Basse-Normandie, Limousin et Midi-Pyrénées. La confidentialité mal gérée, se composait des cinq premières lettres du nom de famille du patient, suivi des deux premières lettres de son prénom. Une sécurité alors très relative pour les dossiers hébergés par le consortium Santénergie (Siemens-Bull-EDS)... »

---

9 janvier 2007 - Cabinet Cilex : ABC DE LA PROTECTION DES DONNÉES PERSONNELLES POUR L’ANNÉE 2006
« ... Dans le même temps, l’expérience pilote menée par Santénergie tourne à la catastrophe,avec un arrêt du service pendant 3semaines et un audit de sécurité, lorsqu’un médecin testeur découvre un mécanisme de mots de passe digne d’un programmeur débutant... »

---

30 décembre 2006 - Le Figaro : Dossier médical : les obstacles s’accumulent
« ... En matière de confidentialité, le mot de passe des dossiers hébergés par le consortium Santénergie (Siemens-Bull-EDS), en Pays de la Loire, Basse-Normandie, Limousin et Midi-Pyrénées, était composé des cinq premières lettres du nom de famille du patient, suivi des deux premières lettres de son prénom. Autant dire que n’importe qui pouvait deviner le code d’accès au dossier de son voisin ! Une bévue vite rattrapée mais qui a suscité bien des interrogations sur la sécurisation des dossiers... »

---

21 décembre 2006 - Sénat : Séance publique du 21 décembre
François AUTAIN : « ... Les expérimentations relatives au D.M.P. ont montré que l’inviolabilité des données dépend essentiellement du niveau de sécurité des émetteurs : or, les contrôles effectués dans les établissements hospitaliers ont montré de sérieux défauts dans les systèmes informatiques. Les hébergeurs eux-mêmes ne peuvent garantir l’inviolabilité des données : récemment, une faille de sécurité majeure chez l’un des hébergeurs touchait plus d’un quart des dossiers ! ... »
M. GODEFROY : « ... Or, la politique de sécurité en matière de données de santé informatisées est régulièrement mise en défaut, en témoigne la récente révélation d’une faille de sécurité majeure chez l’un des hébergeurs lors des expérimentations du D.M.P. ... »

---

20 décembre 2006 - Communiqué de presse commun AIDES/Delis/LDH sur le DMP : Le gouvernement doit définitivement renoncer à utiliser le numéro de sécurité sociale comme clé d’accès au dossier médical personnel
« ... L’attitude du gouvernement témoigne d’une inquiétante désinvolture à la protection absolue des données personnelles de santé, et ce d’autant plus que la politique de sécurité en matière de données de santé informatisées est régulièrement mise en défaut, comme en témoigne la récente révélation d’une faille de sécurité majeure chez l’un des hébergeurs lors des expérimentations du DMP, et comme l’ont montré à plusieurs reprises des contrôles effectués par la CNIL dans l’informatique hospitalière de certains établissements de santé, et non des moindres. »

---

18 décembre 2006 - ANEMF : Le DMP : l’outil central de notre future pratique professionnelle
« ... La nécessité de secret médicale impose une sécurité maximale pour l’hébergement des données de santé. La solution retenue est un hébergement privé sous contrat avec l’Etat. Le code d’accès au DMP du patient est en cours de discussion. Récemment, des failles de sécurité se sont révélées lors des expérimentations. De nouvelles solutions sont dès lors envisagées pour y remédier... »

---

13 décembre 2006 - Dans une lettre adressée au Président du GIP-DMP, Dominique Coudreau, signée par Jean-Christophe Paillé Directeur de l’ARH des Pays de Loire et Loïc Le Nevé-Ricordel, directeur de l’Urcam des Pays de Loire, on peut lire que « « la réunion du 24 novembre du Comité de Coordination Régional pour le système d’information de santé a été l’occasion de prendre connaissance des difficultés rencontrées par les acteurs opérationnels de l’expérimentation du DMP, auxquelles s’est ajoutée la faille de sécurité sur l’accès aux dossiers des patients. Ces difficultés ont été de plusieurs ordres, techniques mais aussi de pilotage et d’accompagnement, et n’ont pas permis d’atteindre l’objectif d’ouverture des 2100 dossiers patients entre juin et novembre 2006... »

---

4 décembre 2006 : Colloque DMP éthique et confiance à la Vilette
Xavier Bertrand « ... Les problèmes de confidentialité rencontrés lors de l’expérimentation ont été corrigés et la sécurité a été renforcée en vue de la généralisation. Les expérimentations doivent en effet nous permettre d’identifier et de corriger les dysfonctionnements du système avant la généralisation.... »

---

4 décembre 2006 : Mid-e-news - Dossier médical personnel : focus sur l’expérimentation régionale
« ... En Midi-Pyrénées, le prestataire Santénergie a ainsi dû régler en urgence une faille dans son système de sécurité (...) Le système n’est pas non plus à l’abri des problèmes techniques. Ainsi, le 21 novembre, le GIP DMP a été mis au courant d’une faille dans le système des mots de passe des patients de Santénergie. Les codes étaient en effet vulnérables car prédictibles. La nouvelle a raisonné comme un « branle bas de combat » pour les équipes de Santénergie qui ont réagi en mettant en œuvre un plan correctif... en moins de deux heures. « Dès le 22 novembre, l’ensemble des mots de passe était modifié et ceux-ci (...) adressés aux patients concernés dès validation par le GIP-DMP » précise le prestataire dans un communiqué. »

---

29 novembre 2006 - Communiqué Le CISS : Dossier médical passoire ?
« En informatique comme en médecine, le risque zéro n’existe pas. C’est du reste le propre de toute activité humaine. Quelles que soient la nature et les raisons de la faille de sécurité de l’hébergeur Santénergie, le DMP dans sa version actuelle manque de procédures et de dispositifs d’alerte, de cellule de gestion de crise. Le CISS s’étonne que ni le GIP-DMP ni Santénergie n’ait communiqué immédiatement. A ce jour nous attendons des explications précises quant à la cause de cette faille de sécurité... Nous nous étonnons aussi que les accès médecins aient été ré-ouverts sans attendre que l’audit, annoncé par voie de presse par le GIP-DMP le 21 novembre dernier, ait été effectué... »

---

26 novembre 2006 - idée-s : Trou de sécurité dans le DMP !
« Le 22/11 quand je prends connaissance du concert de communiqués dont celui du GIP-DMP qui a suivi la découverte des médecins de Fulmédico sur des accès “troués” au dossier patient - au login / mot de passe avec un algorithme enfantin -, on tombe des nues. Ou plutôt, on voit les masques tomber (voir les dessous du masquage du 3/11). Car enfin ces problèmes de sécurité sont archi-connus (notamment depuis la “banalisation” de l’internet et les tsunami de pourriels ou phishing) ? Comment peut-on en arriver là - même s’il s’agit d’une expérimentation - les patients et leurs dossiers sont bien réels comme tous le disent. (...) Je fulmine mais je laisse le dernier mot à Alain Rey à propos du trou (de la sécu) :
Le Trou : Les trous financiers, celui de la Sécu, [...] sont-ils naturels ou résultent-ils de malveillance, de maladresse ? Les trous, blessures ou orifices nécessaires ? Questions incongrues, mais pas tellement absurdes. »

---

25 novembre 2006

La « grosse boulette » du DMP sur TF1, FR3 et la chaine locale Nantes7

L’affaire du trou de sécurité du DMP Santénergie fait l’ouverture du journal 19/20 de FR3 Pays de Loire. Même TF1 y consacre un sujet dans le journal de 20 heures

---

25 novembre 2006 - Communiqué d’ACUHELLO : Faille de sécurité majeure découverte dans l’expérimentation DMP en Pays de Loire.
« L’association ACUHELLO (Association des Clubs et Utilisateurs du logiciel médical HELLOdoc) tient à apporter son soutien à son vice-Président qui a découvert que l’accès internet du patient à son propre dossier médical était en réalité non sécurisé , cela, au cours de sa participation à l’expérimentation sur le DMP (Dossier Médical Personnel) dans la région Pays de Loire.
En effet, l’association ACUHELLO s’élève vivement contre les propos tenus dans la presse, à savoir que « des médecins aient tenté de pirater le système informatique, une démarche qualifiée de curieuse ».
Les expérimentations visant aussi à répertorier les problèmes passés inaperçus lors de la conception du système (même s’ils ne font pas plaisir à entendre), notre confrère a donc pris la bonne décision en signalant rapidement cette faille de sécurité sur le forum des expérimentateurs des Pays de Loire, mais Acuhello déplore la médiatisation de cette affaire avant même que Santénergie ait pu réagir de lui-même.
L’association ACUHELLO s’étonne également de l’interdiction faite à SANTENERGIE de communiquer, ne serait-ce qu’envers les médecins et les patients expérimentateurs, alors que le maître d’œuvre est le GIP-DMP responsable de la bonne réalisation sécurisée des expérimentations locales, et souhaite toute la lumière sur l’origine de l’autorisation de cette solution d’authentification pour les patients... »

---

24 novembre 2006 - Communiqué Santénergie :
« A la suite du communiqué du GIP-DMP du 21 novembre soulignant une faille dans le dispositif d’accès des patients à leur dossier, nous confirmons que le groupement Santénergie a immédiatement mis en oeuvre en deux heures un plan d’action correctif. Ainsi, dès le 22 novembre, l’ensemble des mots de passe était modifié et ceux-ci seront adressés aux patients concernés dès validation par le GIP-DMP. La création et l’alimentation de dossiers par les médecins, qui ont un dispositif d’authentification forte, se poursuivent de façon normale. »

---

24 novembre 2006 - Communiqué de presse tardif de l’URML des Pays de Loire :
« L’Union Régionale des Médecins Libéraux des Pays de la Loire s’inquiète des défauts de sécurité du DMP expérimenté dans la région.
L’Union Régionale des Médecins Libéraux des Pays de la Loire salue l’engagement des médecins expérimentateurs qui ont mis en évidence cette faille dans le système de sécurité. (...) L’Union Régionale des Médecins Libéraux des Pays de la Loire demande qu’une enquête soit menée afin de déterminer les responsabilités et les causes ayant entraîné cette situation, afin d’y remédier au plus vite.
L’Union Régionale des Médecins Libéraux des Pays de la Loire souhaite la reprise rapide des travaux, et qu’à travers les remarques des médecins expérimentateurs, le DMP devienne un réel d’outil d’amélioration de la qualité de la prise en charge des patients dans le cadre de la stricte confidentialité. »

---

24 novembre 2006 - Le Quotidien du Médecin : Dossier médical personnel : les conditions du succès
« La boulette de Santénergie.
(...) Jacques Sauret est aussi convaincu que « le succès du DMP dépendra de la confiance » qui lui est accordée, et donc des garanties de sécurité. Or, si l’accès au DMP par les professionnels est sécurisé par les cartes CPS, l’accès au dossier du côté des patients peut laisser à désirer, comme l’a montré « l’énorme boulette » de Santénergie, l’un des six hébergeurs sélectionnés pour les expérimentations menées jusqu’au 31 décembre. Alerté par des médecins généralistes sur une faille de sécurité de Santénergie, le GIP-DMP a demandé à l’hébergeur de fermer sans délai son portail accessible aux quelque 3 000 patients concernés (« le Quotidien » d’hier). Depuis, le GIP a lancé chez Santénergie un audit de « conformité à la procédure de sécurité » prévue dans le cadre des expérimentations.
Le GIP-DMP « tirera les leçons » du faux pas de cet hébergeur, mais il veillera quand même à « concilier sécurité et ergonomie » pour ne pas dissuader les patients d’aller consulter en ligne le futur DMP. »

---

24 novembre 2006 - Le Parisien : Le dossier médical personnel trop facilement piratable
« Le mot de passe et l’identifiant de connexion pour le patient sont simplistes, identiques et très prédictibles !, s’étonne le médecin. Il s’agit des cinq premières lettres du nom, suivies des deux premières lettres du prénom et du chiffre 1 ou 2, si le patient a des homonymes. N’importe qui peut entrer. Autre problème : dans notre essai, on avait accès au dossier de l’épouse en même temps que celui du mari, alors que la confidentialité est de règle. »

---

24 novembre 2006 - Forums ACBM : Faille dans le dossier médical personnel
« Le dossier médical personnel (DMP) est actuellement en phase de test. Et déjà un problème de sécurité y a été trouvé. En effet, le mot de passe attribué au patient est trop simple. Il se compose uniquement des cinq premiers caractères de son prénom, suivi des deux premières lettres de son nom et, enfin, de "1" (ou "2" en cas d’homonymie). Cette révélation vient d’être faite par un médecin au 20 heures de TF1 »

---

23 novembre 2006 - Souriez vous êtes filmés : Nouveau scandale sur le DMP !
« Non seulement le Dossier Médical Partagé est un gouffre pour l’argent public mais en plus ses failles de sécurité sont énormes et la destruction du secret médical s’y poursuit avec allégresse !
L’hébergeur informatique Santénergie (Bull, Siemens, EDS) chargé du projet a trouvé surement plus rentable de mettre un mot de passe systématique qui soit tout simplement basé sur le nom du patient !
« Le mot de passe et l’identifiant de connexion pour le patient sont simplistes, identiques et très prédictibles ! , s’étonne le médecin*. Il s’agit des cinq premières lettres du nom, suivies des deux premières lettres du prénom et du chiffre 1 ou 2, si le patient a des homonymes. N’importe qui peut entrer. »
Alors que la CNIL est en passe de céder sur l’usage du numero de sécurité sociale en identifiant inique personnel ! Nous continuerons de dénonçer les abus et scandales de la publication et la mise-à-sac de nos données confidentielles !
C’est sur le site de Fulmedico que l’on peut lire l’article de ouest france qui a fait sa une le jeudi 23 novembre sur ce nouveau scandale du DMP. »

---

21 novembre 2006 - Forums Atout.org : Failles de sécurité du DMP : ça commence !
« A peine l’expérimentation lancée, les failles de sécurité commencent : il apparaît que les identifiants de connexion des patients ayant un DMP sur Santénergie étaient du type
Pour monsieur toto roro
  Login : totoro1
  Mot de passe : totoro1
Il était donc facile d’accéder au dossier de n’importe qui en connaissant son nom et son prénom.
Après cette révélation par nos agents sur le terrain le service Santénergie a été fermé à la demande du GIP - DMP. »

---

21 novembre 2006 - Communiqué de presse du GIP-DMP :
Le GIP-DMP réagit immédiatement suite à une faille dans le dispositif de protection des données chez Santénergie.