Suivre

Cet épisode avec le DMP est un vrai sketch.

Je finis une bricole et je vous raconte ça...

Bon.

Hier aprem', je râlais parce que je voulais accéder à mon DMP : Dossier Médical Partagé.

A titre liminaire (cace-dédi la CNIL), une considération personnelle : c'est la CNAMTS qui gère ce projet, et il semblerait que selon l'équipe en charge, elle soit possible du meilleur comme du pire. Par exemple, feu le SNIIRAM était très bien géré (la MED de la CNIL portait plutôt sur les organismes qui l'utilisaient, finalement).

J'ai ouvert un DMP pour des raisons de praticité. Avec des réserves.

On n'ouvre pas un DMP comme on a le nez fait. On nous demande pas mal d'infos qu'on ne peut pas inventer, notamment le numéro de série de la carte Vitale (la clé de contrôle de la mienne était effacée, vu son âge). C'est plutôt bien fait, mais pas accessible à tous.

Je comprends mieux qu'on puisse demander à un médecin ou à un pharmacien de le faire ensemble.

Mon identifiant m'est envoyé par mail, dans un fichier PDF, accompagné d'un mot de passe à usage unique.

Erreur 1 : faire passer ça par mail, en clair.

Erreur 2 : je sais pas comment c'est fichu, mais les champs utiles (numéro de sécu, identifiant, mot de passe) ne sont pas visibles dans tous les lecteurs de PDF. Dans mon cas, j'ai fini par abdiquer et utiliser mon ordinateur professionnel, sous Windows et disposant d'Adobe Reader.
Un peu comme certains PDF liés à la cession d'un véhicule que j'ai pu manipuler par le passé.

Bref, continuons la visite.

L'interface est assez austère, pour ne pas dire datée. Mais au moins, ça fonctionne.

Évidement, on me demande de remplacer le mot de passe généré par la CNAMTS par un mot de passe personnalisé.

La politique est relativement permissive : minimum 8 caractères, avec au moins une majuscule, une minuscule et un chiffre.

Je sors mon KeePassXC habituel et lui fais générer un mot de passe avec mes réglages par défaut : 30 caractères, minuscules, majuscules, chiffres.

L'interface l'accepte et digère.

Je me déconnecte, me reconnecte, histoire de valider la chose.

Nickel. La MFA est obligatoire : un code à 6 chiffres est envoyé au choix par SMS ou par courriel.

Je me dis que je vais jeter un œil à l'appli Android dédiée.
Excellent : 0 pisteurs, 3 permissions, ça semble clean.

Bon évidemment, Play Store only, j'installe ça par Aurora.
Là, ça se complique.

Impossible de lancer l'application, qui procède à des vérifications : root, "niveau de sécurité"... et finit par un appel à... devinez ?

Gagné : Google SafetyNet.

Or, j'utilise LineageOS avec microG.
Autant dire que si je sais tout à fait masquer le root ou bricoler, arnaquer SafetyNet c'est une autre paire de manches.
(cf. github.com/microg/android_pack pour les curieux)

Donc bon. Pas 3 ans à perdre parce que des développeurs de niveau "appli bancaire" implémentent de la bouse, tant pis, ce sera interface Web.

Le temps passe, et hier j'ai eu besoin d'accéder à quelque chose dans mon DMP.

C'est là que le lol commence vraiment.

Je me fais bloquer mon compte après 3 tentatives erronées.

Je ne comprends pas : mon mot de passe est dans KeePassXC, je ne l'ai pas changé, l'historique ne montre aucune modification que j'aurais pu faire par erreur.

Je cherche donc ailleurs.

La réponse est dans l'image.

Eeeeh oui. Sur la nouvelle version du DMP, le formulaire de login "limite" le mot de passe à 20 caractères.

Alors que le mien en fait 30.

Ouais. Image 2.

J'ai bien tenté de contourner ça, vu que bon, j'avais quand même besoin d'y accéder.

Sauf que non, ça ne fonctionne pas. Je me suis même fait suspendre mon compte (15min toutes les 3 tentatives) à nouveau.

Et évidemment, pas moyen de passer par l'appli mobile, pour les raisons expliquées plus haut.

C'est parti pour la procédure "mot de passe oublié", puisque je ne trouve pas le lien "vous avez pété votre page de login bande de glands".

La procédure est "simple" : un PDF immense à remplir, avec le NIR, nom, prénom, copie de la carte d'identité, tout ça.

A renvoyer à une adresse mail indiquée.

TOUT CA EN CLAIR BORDEL.

Du coup, bah... Non. Je contacte la CPAM44.

La CPAM44 est assez diablement efficace, pour toutes les fois où je l'ai contactée.
Mon interlocutrice m'envoie un lien vers un formulaire Web classique, à peu près équivalent au fameux PDF, mais croisé avec un ticket de remontée de bug.
NIR obligatoire, là encore...

Ce matin, je reçois donc un mail du DMP, m'invitant à réinitialiser mon mot de passe.

Avec un téléconseiller, par téléphone, sur une ligne à 6cts/minute...

Allez, je m'exécute. 🍿

Assez peu d'attente, le monsieur s'exprime très clairement. En fait, c'est la CPAM de Paris qui prend ces appels.
Vérifications d'identité poussées, dont les 6 derniers chiffres du numéro de série de ma carte vitale.
Le monsieur demande clairement si je l'autorise à accéder au volet administratif de mon DMP.

J'expose donc mon souci.

Je crois que je l'ai fait boguer, le pauvre monsieur. Un mot de passe de 30 caractères, mais dans quel monde vivons-nous ?

Il m'explique rapidement qu'il n'a eu aucune info sur le changement des règles de longueur, mais que si le DMP indique "minimum 8 caractères", il m'invite à définir un mot de passe de 8 caractères tout court, parce que "après 10 ou 12 il pourrait y avoir des bogues".

Je facepalm au téléphone, sous l’œil goguenard de mon voisin de bureau.

Le conseiller lance donc la procédure : je reçois en effet un courriel, accompagné d'un PDF comme le premier (spé-Adobe Reader pour lire le contenu), avec un mot de passe comportant :
- 8 caractères
- chiffres
- minuscules, majuscules
- et surprise, un caractère spécial, ce qui n'était pas indiqué comme possible à l'origine. C'est donc possible, au moins.

Et là, le conseiller dérape totalement. Je vais le mettre dans un pouet à part parce que ça vaut son pesant de cacahuètes.

"Vous allez donc devoir re-définir un mot de passe personnalisé.

Je vous conseille cette fois de choisir un mot de passe de 8 caractères, mais *vraiment* personnalisé : par exemple, un prénom et une date".

Il m'a séché, lui. Vraiment.

Déjà c'est le pire conseil du monde.

Mais là, on parle du DMP, censé être super-protégé car donnant accès à des données sensibles, extrêmement personnelles, et tout le tralala.

Ma confiance s'effrite indubitablement.

Les téléconseillers de la CPAM75 n'ont-ils pas un minimum de formation/sensibilisation ?
Je sens que je dois absolument remonter l'information, ça ne peut pas être un cas isolé.

A qui, la CNAMTS ? L'ANSSI et la CNIL ?
Je réfléchis, mais faut agir...

Bon, au moins, on voit bien le suivi de la chose, c'est "rassurant".

M'enfin voilà où en est mon expérience DMP.

J'vais aller bidouiller l'appli Android, du coup, pour voir.

Dispo pour causer de tout ça, si besoin \o/

@maxauvy Maintenant ce qu'il faut faire : changer la limite dans le html, et voir si ça te permet de rentrer 😂

@maxauvy Ça veut dire qu'ils checkent réellement la taille du password cote backend pour le login, mais pas a la création du password ...
Genius 👌🏻

@maxauvy J'ai hésité à mettre un facepalm à chaque toot, mais ça serait limite du flood, donc j'en mets un là pour l'ensemble 🤦‍♀️

@maxauvy
Alors maintenant, petit quizz : CPAM, société privée ou publique ?
Je vous laisse deviner 😁

@maxauvy

Peut-être un blog bien sourcé comme ce thread que tu pourrais partager aussi vers les syndicats de médecin, l'ordre, la presse ?

Diffuser le pourquoi de la défiance - que ton aventure illustre joliment - me parait indispensable tant on est catalogué "anti-progrès" quand on freine des 4 fers sur ces sujets...

@djelouze c'est vrai que je pourrais "convertir" ça en article de blog. Pas bête !

En plus étayé, quand même ^^

@maxauvy @djelouze
Si l'article fait suffisamment de bordel, l'ANSSI devrait finir par mettre son nez dedans je suppose... À moins que l'ANSSI soit directement joignable par n'importe qui pour un problème de conception globale du bousin =/

@Fol
Coucou. Merci pour ce partage.
Lors du festival entrée libre, une dame m'a montré un SMS envoyé par son phrmacien à l'occasion de la création du DMP avec, dans le SMS : nom, prenom, identifiant, mot de passe et numéro de sécu.
@maxauvy @djelouze

@MeTaL_PoU

Ah ouais, quand même. Je me demande à quoi ressemble leur interface, s'ils en ont une dédiée. Je demanderais bien à mon pharmacien, il est adorable.

@Fol @djelouze

Afficher plus

@Fol @djelouze

Boh sinon je pensais passer par mes anciens collègues de la CNIL, notamment un du service de l'expertise qui traite les demandes liées à la santé et qui m'avait accompagné farfouiller dans le SNIIRAM. C'est ptêt overkill, mais bon.

Sinon j'ai le nom du RSSI de la CNAMTS x)

@maxauvy un mdp aléatoire de 30 caractères je trouve ça un peu overkill. À 15 ou 20 t'es déjà laaaaaaargement bien.

@Matlink
Je suis d'accord, mais j'avais juste laissé le réglage "historique" de mon gestionnaire (je sais plus à quel moment j'ai mis 30) puisque le site l'autorisait. Là, nécessairement, j'ai diminué 😁

Dans la plupart des cas effectivement je laisse du 20-25 sauf contrainte contraire...

Pis ça monte vite avec une phrase de passe aussi !

@maxauvy

Oui, voilà comment on considère la sécurité de données sensibles : un mot de passe crackable par ingénierie sociale niveau mollusque (désolé, amies moules).

@katyucha j'aimerais bien :/

J'ai même pas eu le courage de lui répondre au monsieur, le risque de paraître moralisateur et de le brusquer ou quoi était trop grand.

Ce niveau de connerie, c'est pas une initiative personnel, faut taper plus haut :/

@maxauvy La vaaaache 😱​😱​😱​😱​😱​😱​😱​
Mais il sort du ce con de « conseiller » ?

@maxauvy bah oui, pourquoi améliorer la sécurité quand on peut faire chier le monde ?

@maxauvy

Sur un site une fois (y'a longtemps) les mdp étaient tronqués à 10 charactères sauf que le mien en faisait 12 et je le savais pas.
Un jour une nouvelle version est sortie qui augmentait la taille limite. Mon mdp marchait plus. Je sais pas comment j'ai fait pour penser que ça pouvait être ça j'ai retrouvé mon compterapidement mais j'aurais pu rester coincée longtemps XD

@Nocta tu m'étonnes ! :D

Là ça aurait pu, et je m'en serais pas rendu compte, si le form de définition du mot de passe personnalisé m'avait limité sans le dire à 20.

Sauf qu'à l'époque, il laissait passer 30.

Là par contre, aujourd'hui, lui aussi a une longueur max de 20 chars.
C'est cohérent entre les deux formulaires, mais tout utilisateur qui a plus de 20 chars est virtuellement niqué xD

C'est bon @maxauvy , ils ont pris en compte tes toots et passent une mise à jour la semaine prochaine :

@maxauvy

Merci pour votre témoignage 🙂 et d'avoir commencé à essuyer les plâtres du DMP.

Pour les mdp ne vous inquiétez pas, de toutes les façons à 8, 12, 20 ou 30 caractères la sécurité n'existe pas : c'est un mythe ! 😆

Bonne chance...

@maxauvy
c'est bien représentatif des projets de "e-Santé" publique. Je ne sais pas comment c'est piloter au Ministère de la Santé.

@marctapages y'a des projets très sympa et bien menés aussi, y'a des GRADeS qui font un super boulot !

Là c'est une toute autre échelle faut dire...

@maxauvy
J'imagine oui.
Mais j'ai suivi quelques projets dans mon hosto qui n'ont pas vendus du rêve :
- Messagerie Sécurisée de Santé, pilotée par l'ASIP qui n'a pas la main sur la technique (externalisée sur plusieurs presta), c'est usinagazesque pour un piètre résultat.

- Télémédecine : les ARS distribuent des enveloppes pour que les Établissements de Santé s'équipent en matériel avant d'avoir des projets médicaux. Et c''est mal vu de ne pas demander l'enveloppe ...

@marctapages ce sont des Groupements Régionaux d’Appui au Développement de l’e-Santé 😉

Exemple : esante-paysdelaloire.fr/fr/

@maxauvy
Ah OK ! ça engloble les GIP, GCS et autres structures exotiques ;-)
merci pour l'info

Inscrivez-vous pour prendre part à la conversation
Mastodon - etalab

Instance ouverte pour test - lire les CGU Elle est ouverte à tout agent possédant un compte email en ".gouv.fr" ou la liste disponible sur https://forum.etalab.gouv.fr/t/mastodon-le-reseau-social-libre-et-decentralise-en-plein-decollage/3538