Worldline s’associe au GIE SESAM-Vitale pour la sécurisation de la carte Vitale dématérialisée sur smartphone
Le 07 octobre 2021 à 07h48
2 min
Logiciel
Logiciel
La nouvelle application carte Vitale (apCV) « offrira à tous les assurés la possibilité de s’identifier en ligne ainsi que des solutions d'authentification. Ils pourront accéder aux mêmes services qu'avec la carte Vitale physique, ainsi qu’à de nouvelles fonctionnalités en ligne », précise le communiqué de presse.
« Grâce à l'application apCV installée sur mobile, chaque citoyen pourra bientôt utiliser son téléphone comme un vrai lien constitutif de son parcours de soins et, plus généralement, pour accéder aux services numériques en ligne. La souplesse opérationnelle offerte par le téléphone mobile s'accompagnera des moyens de renforcer la protection des informations très sensibles qu'il contient, ainsi que celui des accès aux services proposés ».
La phase de recherche et de développement a débuté à la mi-février et se poursuivra jusqu'à fin 2021. Objectif : sécuriser la nouvelle appli Carte Vitale « et ses échanges associés aussi bien pour une utilisation locale par un professionnel de santé, ou à distance pour l'accès aux services administratifs de l'État via une identité numérique ».
Le 07 octobre 2021 à 07h48
Commentaires (22)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 07/10/2021 à 08h30
J’espère que l’application sera open source et qu’il ne sera pas nécessaire d’avoir un compte Google pour l’installer sur son smartphone.
Le 07/10/2021 à 14h01
J’espère aussi, car hélas, une “force” de Worldline, c’est de faire des contrats où elle est propriétaire du code source. Ainsi, si le client veut se barrer, il ne peut pas, a moins de négocier le rachat du code (oui c’est aberrant).
C’est par exemple le cas du Chèque Énergie, développé par Worldline.
Le 09/10/2021 à 11h03
t’as craqué ton calebar ou quoi? aucune banque aujourd’hui ne veut prendre le risque d’associer son application à un magasin d’appli tierces du google play : juridiquement ils doivent se protéger de toute “défaillance de cybersécurité” que seul le fournisseur de logiciel est en capacité de leur fournir avec une garantie fonctionnelle, technique mais surtout juridique derrière.
pour ca qu’en général, tu trouves pas les applis bancaires sans passer par les moyens officiels de google.
pour la carte vitale, t’es certain que ca va pas y dérober.. et les gens ont confiance en google (malheureusement), et son légitime et dans leur plein droit de cette idée !!
c’est un projet d’alternative, qui va faire cauchemarder les antigafam et autres TerminaleS devant leur NXI le weekend de peur que google récupère leur données santé et qu’ils interprètent qu’ils n’ont pas le choix. Ils confondent donc évolution forcée et alternative proposée.
ma grand mère ne passera jamais par l’appli sécurité sociale car elle arrive déjà pas à passer un appel sur son smartphone, c’est pour dire que ce sera jamais imposé..
post exactement représentatif du “SI fait par les informaticiens, pour les informaticiens”.
un barbu intégriste ne comprenant pas pourquoi les “décideurs” ne souhaitent pas devenir informaticiens, alors que t’adorerais leur faire prendre conscience du logiciel libre ;)
ils ont le droit de ne pas aimer ou vouloir de logiciel libre, et ils ont le droit de préférer gérer du fric et non des lspci ;)
Le 07/10/2021 à 08h51
Et donc, on remplace une carte physique par une appli qui va être compatible uniquement avec Android & IOS (et donc le citoyen va devoir supporter le coup d’achat et obligé d’utiliser un acteur US !).
Et ça augmentera la fracture numérique (ben oui Mamie Michu risque de galérer avec l’appli, déjà qu’elle galère avec son appli TousAntiCovid).
Quand à la sécurité , une carte physique sera toujours plus sécurisée qu’une appli sur des OS non certifié par l’ANSSI, non open-source, en proie à un acteur étranger non-amical et j’en passe. (Est-ce que nos députés ont déjà eu à faire une fouille de leur appareil électronique par nos “amis” les ricains ? Visiblement non !)
Pour l’open-source, si c’est comme la fameuse application Covid, il serait tant que nos chères têtes (mal)-pensentes se penche sérieusement sur le monde moderne et retourne à l’école bosser leur cours d’info !
Je sais pas si à HEC ou ENA il y a des Ubuntu-Party, mais les envoyer de force faire 2 ans en fac d’info et sanctionner leur mandat à l’obtention de l’examen permettrait peut-être de réduire la propension d’idiots et d’incompétent par mètre carré de l’hémicycle.
Seul point positif, on pourra spoofer leur carte vitale et mettre du caramel sur le Pop-Corn
Après tout, certains élèves comprennent mieux les travaux pratiques que théoriques
Le 07/10/2021 à 10h36
J’ai peut-être mal lu, mais il ne semble pas être question que l’appli remplace la carte physique.
Le 07/10/2021 à 11h58
Elle n’a aucunement vocation à remplacer la Carte Vitale physique. C’est un outil permettant d’ajouter des fonctionnalités et de simplifier l’usage pour le patient, son entourage et le personnel soignant.
Et surtout c’est en phase expérimentale. Rien n’est consolidé/acté.
Mais il semblerait qu’une part des commentateurs de NXI aime crier au loup dès que possible.
Le 07/10/2021 à 11h59
Il n’y a rien de strictement marqué en ce sens. Mais sur le lien du communiqué de presse, on peut lire : “dans une démarche de partenariat d’innovation pour sécuriser la dématérialisation de la carte Vitale sur smartphone”
Pour moi ça semble vouloir indiquer que la CV va devenir au format numérique (à court ou long terme). La carte physique allant disparaître progressivement.
S’il avait été annoncé une complémentarité (ça n’existe pas déjà avec l’appli AMELI ?), je doute que la phrase fut formulé de cette façon.
Le 07/10/2021 à 12h02
Non pour le moment, c’est toujours la technique du pied dans l’entrebâillement de la porte.
Nous y viendrons sûrement un jour malheureusement.
+1
Le 07/10/2021 à 13h24
Ah oui ? Les temps ont changé. Quand j’étais gamin, c’était moi qui demandait à l’instit si je pouvais copier 100 fois “Je ne bavarderai plus en classe” sur traitement de texte.
Je ne vois pas qu’il soit marqué que cela remplace la carte physique. De plus, même la carte physique n’est pas obligatoire si t’es ok pour te taper l’envoi des feuilles de soin. Quand à la sécurité, la carte vitale ne contient pas grand chose de bien intéressant, même pas de données de santé. Pour le reste, les services en ligne d’Ameli existent déjà et à ma connaissance ça n’a jamais posé soucis.
Je veux bien être un peu méfiant quand on nous sort du solutionnisme technologique, mais rien ne sert de râler alors qu’on a encore 0 détails. Y’a plein de trucs intéressants que la carte vitale ne peut pas faire par manque de mémoire, par exemple la dématérialisation des ordonnances, perso ça me rendrait la vie tellement plus simple …
Le 07/10/2021 à 14h24
Dans mon exemple le gosse est venu avec comme devoir de français “faire un reportage vidéo style micro trottoir”
Je veux bien qu’avec un smartphone on peut filmer , mais le gamin n’a pas de smartphone. Et entre la plaie de devoir lui prêter un smartphone (pas dernier cri, donc de qualité très moyenne en son/vidéo) , les transferts de fichiers, l’éventuel montage vidéo pour pouvoir rendre les choses présentables. A la fin, c’est quand même mettre les gens en compétition sur le matériel/logiciel. Je parle même pas de l’obligation d’utiliser la suite d’outils microsoft pour d’autres devoirs car “la prof elle veut qu’on fasse le travail sur word ou excell”
Alors oui, faut vivre avec son temps, et pas rabâcher des “c’était mieux avant” de vieux cons. Mais y a qu’a voir les problèmes qu’il y a eu avec les confinements pour se rendre compte que non, tout le monde n’est pas logé à la même enseigne en terme d’équipement informatique. Et je préfère une “vieille éducation” au papier/crayon égale pour tous, plutôt qu’un truc à la pointe de la technologie mais de qualité variable selon les moyens matériels
Le 07/10/2021 à 09h18
J’espère surtout qu’on pourra garder sa carte vitale quand même en lieu et place de l’appli.
Le 07/10/2021 à 09h55
C’est fou de se dire que chaque citoyen est considéré possesseur d’un téléphone portable compatible… Ceci dit quand je vois que les gamins de ma copine ramènent parfois des devoirs qu’il est impossible de réaliser sans matériel numérique, je trouve ça scandaleux.
Le 07/10/2021 à 12h01
Faut dire que ce genre de communiqué incite à se méfier. Surtout quand on voit l’absence de réponse forte face aux fuites de données pour négligence et la compétence de l’État dans la matière du numérique.
Alors, oui c’est crié au loup, mais il faut dire que l’Etat ne donne aucun signe pour rassurer dans ce domaine et ceux d’une façon générale sur ce type de sujets.
Le 07/10/2021 à 13h11
Le 07/10/2021 à 14h06
Ce qui me dérange est le passage suivant : “dans une démarche de partenariat d’innovation pour sécuriser la dématérialisation de la carte Vitale sur smartphone”
Pourquoi mentionner la dématérialisation de la carte vitale ? Si le but est d’offrir est une application Carte Vitale pour compléter ces fonctions de la carte physique pourquoi mentionner dématérialisation ?
Toutefois, et j’insiste sur ce point, il s’agit d’un ressenti. Mais la tournure de phrase n’est pas assez explicite également pour dire que la carte physique sera conservée.
Je n’ai rien contre une amélioration de la CV (mémoire, puissance de calcul…) voir même une fusion avec d’autres documents (j’y vois même certains avantages). Mais ça demande à être correctement fait.
Par contre, là où je hurle c’est l’idée même de faire une appli pour ça. Quelles en sont les avantages par rapport à AMELI ? Autant j’ai une relative confiance dans ma machine, autant j’ai aucune confiance dans mon téléphone. (Si je suis pas root, c’est que je ne contrôle pas mon téléphone.)
A l’heure actuelle, où les données de santés sont un nouveau filon d’argent pour certains, je m’inquiète de mettre des données sensibles sur une application qui elle-même tournera sur un système connu pour être siphonnant avec les données. C’est tout.
Et honnêtement, pourquoi une appli pour la dématérialisation des ordonnances ? La CV dans sa version actuelle ne suffit pas (hormis des histoires de crypto un peu faible) ? Je veux dire, si ma CV est associée à mon compte santé. Le pharmacien, en insérant ma carte, va pouvoir avoir sur sa machine la liste de mes ordonnances récupéré depuis ce fameux compte santé (complexité réduite, système bien connu, bref plus facile à sécuriser). Si moi je veux consulter ou en faire une copie papier de l’ordonnance, je peux facilement allez sur AMELI. Là oui je veux bien, mais l’appli n’a apporte pas de garanti.
Avec une appli, rien ne dit que les données stockées sur mon téléphone seront sécurisés (voilà les nombreux scandales sur Android & IOS), ni siphonner par une autre appli. Je veux bien vous croire pour la puce de la CV ne contient rien d’utile en tant que tel, mais l’historique de vos ordonnances (à porter de mains du 1er programme indiscret me parait avoir un ratio Risque/Bénéfice >> 1) est lui très intéressant à la revente.
Et entre nous, il ne faudra pas longtemps pour que l’on découvre un bug (volontaire ou non) qui expose les données en clair, voir usurpe l’identité de la personne. Bref, bonjour le bazar pour l’usager. Et quand aux responsables, ils auront droit aux gros yeux de la CNIL…
Permettez-moi d’être taquin. Il y a des détails. On parle de sécurité, d’innovation, d’appli… Oui on a des détails, mais ceux qui sont importants ne sont pas notés. (ça aurait tué une mouche albinos d’être un peu plus précis sur la sécurité, sur les garantis … Bref sur la confiance à accorder au système).
En somme, on parle d’un communiqué de presse, donné plus de détails de leur part auraient été aussi utile pour voir émerger des discussions sur les solutions ou l’identification des problèmes qu’ils voient… Bref, pour faire autre chose que d’utiliser la presse comme vecteur d’information avec rien sous la dent.
Le 07/10/2021 à 14h18
Ni l’inverse.
Une application = “dématérialisation”, c’est aussi simple que ça. Pas besoin de chercher des visées cachées.
Le 07/10/2021 à 14h29
Soit. Je n’avais pas cette relation d’équivalence en tête
Le 07/10/2021 à 14h27
Si l’on cherche les cotés positifs, cela me serait bien utile d’avoir la version numérique de la carte vitale de ma femme pour l’avoir sur moi en cas de soucis avec les enfants.
C’est toujours ultra chiant de devoir courir partout pour choper la carte surtout quand c’est dans l’urgence.
Le 07/10/2021 à 14h57
Parce qu’AMELI n’est qu’un gestionnaire/assureur de sécurité sociale parmi d’autres (même si c’est le plus commun). Les étudiants et les enseignants, par exemple, ne sont pas gérés par AMELI (après on est pour ou contre mais c’est hors sujet). AMELI en tant qu’assureur, même public, n’a pas à gérer tes ordonnances. La carte vitale est un intermédiaire neutre (et qui contient les données en local) entre toi, le professionnel de santé, ton assureur et ta complémentaire. C’est le rôle idéal de la carte vitale de “contenir” des ordonnances. Bien sûr cela implique que l’appli carte vitale garde les ordonnances localement sur le téléphone de manière sécurisée, mais ça, si c’est bien fait, on sait faire.
Justement ta CV n’est associée à aucun compte. Dans ta CV (physiquement sur sa mémoire), il y a juste marqué que ton assureur est AMELI, que ta mutuelle c’est Tartempion, et deux trois infos. Donc le pharmacien n’a accès à rien d’autre et y’a juste pas de compte en ligne qui contiendrai des infos de santé. D’ailleurs la carte vitale date d’une époque où rares étaient les pros de la santé équipés d’internet.
Si c’est bien implémenté, on sait très bien stocker des données sur ton téléphone qui sont signées numériquement par un tiers (ton médecin), déchiffrables uniquement par un autre tiers (ton pharmacien) et inexploitables par toi même ou toute autre appli (ou exploitable par toi après authentification). La preuve, on “stocke” en toute sécurité des cartes bancaires sur smartphone. Et ces cartes “numériques” contiennent tout ce qu’il faut pour pouvoir payer sans connexion internet.
Les chiffrements inviolables, tant que bien implémentés, existent. Il suffit que le téléphone ne voie jamais la clé de déchiffrement pour avoir quelque chose d’inviolable.
C’est un communiqué de presse bullshit, on est d’accord. Mais Worldine (qui détient Ingenico) et SESAM-Vitale ne sont pas vraiment des noobs en terme de sécurisation des transactions et de chiffrement correctement implémentés. On parle pas ici de la SSII du copain qui pond une webapp à l’arrache.
Le 07/10/2021 à 15h27
Ok, c’est plus clair maintenant. Je reconnais que je me suis emballée un peu vite. Merci pour les compléments d’informations
Je reviendrais juste sur le point ci-dessous :
Dans ce cas à quoi servirait l’appli autre qu’une façade pour un coffre-fort numérique ? Si je stocke des données sur mon téléphone de la façon que vous dîtes, je suis d’accord pour dire que le téléphone ne verra jamais passé la clé (et que donc même si l’OS est vérolé voir même le hardware), je ne risque rien. En quoi elle apporterait un plus ?
Autant faire évoluer la CV pour stocker plus de données pourquoi pas. Mais l’appli me paraît toujours être du bullshit.
Le 07/10/2021 à 16h32
Désolé mais je veux pouvoir choisir à l’improviste une autre pharmacie dans le cas d’une rupture de stock momentanée ou d’un déplacement inopiné dans une autre ville.
Le système que tu décrit est sécurisé mais trop rigide.
Pourquoi ne pas utiliser la puce de la CV pour y placer une clé permettant l’ouverture de ton dossier médical centralisé dans un serveur de la sécu et nous confierons momentanément cet accès aux professionnels de santé via leur lecteur de carte.
Pas besoin d’équiper la terre entière de téléphone, les professionnels le sont déjà, suffit d’une connexion en SSH ou tout autre moyen suffisant.
Le 10/10/2021 à 21h45
Je peux pourtant accéder à ma banque via le navigateur web de mon choix (et d’ailleurs ce navigateur web est un logiciel libre). Et n’y a pourtant pas de failles ou de risques juridiques, pires le canal de communication entre mon ordinateur ou mon smartphone et ma banque est chiffré via des protocoles Opensource. Pourquoi en serait-il autrement, car c’est une application de smartphone ?? Où est-il marqué dans le contrat qui me lie à ma banque que je dois absolument signer un abonnement avec Google ou Apple en ouvrant un compte, pour accéder à leur application??
Même réflexion pour les applications proposées par la puissance publique (État, collectivités locales, organisme à mission de service publique): les politiques sont les premiers à dénoncer la puissance des GAFAMS, mais pourquoi avons-nous que rarement des APK téléchargeable en dehors de la boutique de Google?? J’entends bien que ces organismes ne veulent pas se contraindre et préfère passer par le canal officiel de chaque plateforme, mais proposer un APK avec une somme de contrôle ce n’est pas la mer à boire! Charge à moi de contrôler régulièrement que mon application est à jour.
D’ailleurs Google contrôle régulièrement les applications que vous avez et élime à distance les applications malveillantes, que vous ayez un compte Google ou non, il suffit d’avoir un smartphone Android. C’est bien qu’il y a une somme de contrôle pour vérifier l’authenticité et l’intégrité de l’application.