Cet épisode avec le DMP est un vrai sketch.

Je finis une bricole et je vous raconte ça...

Bon.

Hier aprem', je râlais parce que je voulais accéder à mon DMP : Dossier Médical Partagé.

A titre liminaire (cace-dédi la CNIL), une considération personnelle : c'est la CNAMTS qui gère ce projet, et il semblerait que selon l'équipe en charge, elle soit possible du meilleur comme du pire. Par exemple, feu le SNIIRAM était très bien géré (la MED de la CNIL portait plutôt sur les organismes qui l'utilisaient, finalement).

J'ai ouvert un DMP pour des raisons de praticité. Avec des réserves.

On n'ouvre pas un DMP comme on a le nez fait. On nous demande pas mal d'infos qu'on ne peut pas inventer, notamment le numéro de série de la carte Vitale (la clé de contrôle de la mienne était effacée, vu son âge). C'est plutôt bien fait, mais pas accessible à tous.

Je comprends mieux qu'on puisse demander à un médecin ou à un pharmacien de le faire ensemble.

Mon identifiant m'est envoyé par mail, dans un fichier PDF, accompagné d'un mot de passe à usage unique.

Erreur 1 : faire passer ça par mail, en clair.

Erreur 2 : je sais pas comment c'est fichu, mais les champs utiles (numéro de sécu, identifiant, mot de passe) ne sont pas visibles dans tous les lecteurs de PDF. Dans mon cas, j'ai fini par abdiquer et utiliser mon ordinateur professionnel, sous Windows et disposant d'Adobe Reader.
Un peu comme certains PDF liés à la cession d'un véhicule que j'ai pu manipuler par le passé.

Bref, continuons la visite.

L'interface est assez austère, pour ne pas dire datée. Mais au moins, ça fonctionne.

Évidement, on me demande de remplacer le mot de passe généré par la CNAMTS par un mot de passe personnalisé.

La politique est relativement permissive : minimum 8 caractères, avec au moins une majuscule, une minuscule et un chiffre.

Je sors mon KeePassXC habituel et lui fais générer un mot de passe avec mes réglages par défaut : 30 caractères, minuscules, majuscules, chiffres.

L'interface l'accepte et digère.

Je me déconnecte, me reconnecte, histoire de valider la chose.

Nickel. La MFA est obligatoire : un code à 6 chiffres est envoyé au choix par SMS ou par courriel.

Je me dis que je vais jeter un œil à l'appli Android dédiée.
Excellent : 0 pisteurs, 3 permissions, ça semble clean.

Bon évidemment, Play Store only, j'installe ça par Aurora.
Là, ça se complique.

Impossible de lancer l'application, qui procède à des vérifications : root, "niveau de sécurité"... et finit par un appel à... devinez ?

Gagné : Google SafetyNet.

Or, j'utilise LineageOS avec microG.
Autant dire que si je sais tout à fait masquer le root ou bricoler, arnaquer SafetyNet c'est une autre paire de manches.
(cf. github.com/microg/android_pack pour les curieux)

Donc bon. Pas 3 ans à perdre parce que des développeurs de niveau "appli bancaire" implémentent de la bouse, tant pis, ce sera interface Web.

Le temps passe, et hier j'ai eu besoin d'accéder à quelque chose dans mon DMP.

C'est là que le lol commence vraiment.

Je me fais bloquer mon compte après 3 tentatives erronées.

Je ne comprends pas : mon mot de passe est dans KeePassXC, je ne l'ai pas changé, l'historique ne montre aucune modification que j'aurais pu faire par erreur.

Je cherche donc ailleurs.

La réponse est dans l'image.

Eeeeh oui. Sur la nouvelle version du DMP, le formulaire de login "limite" le mot de passe à 20 caractères.

Alors que le mien en fait 30.

Ouais. Image 2.

J'ai bien tenté de contourner ça, vu que bon, j'avais quand même besoin d'y accéder.

Sauf que non, ça ne fonctionne pas. Je me suis même fait suspendre mon compte (15min toutes les 3 tentatives) à nouveau.

Et évidemment, pas moyen de passer par l'appli mobile, pour les raisons expliquées plus haut.

C'est parti pour la procédure "mot de passe oublié", puisque je ne trouve pas le lien "vous avez pété votre page de login bande de glands".

La procédure est "simple" : un PDF immense à remplir, avec le NIR, nom, prénom, copie de la carte d'identité, tout ça.

A renvoyer à une adresse mail indiquée.

TOUT CA EN CLAIR BORDEL.

Du coup, bah... Non. Je contacte la CPAM44.

La CPAM44 est assez diablement efficace, pour toutes les fois où je l'ai contactée.
Mon interlocutrice m'envoie un lien vers un formulaire Web classique, à peu près équivalent au fameux PDF, mais croisé avec un ticket de remontée de bug.
NIR obligatoire, là encore...

Ce matin, je reçois donc un mail du DMP, m'invitant à réinitialiser mon mot de passe.

Avec un téléconseiller, par téléphone, sur une ligne à 6cts/minute...

Allez, je m'exécute. 🍿

Assez peu d'attente, le monsieur s'exprime très clairement. En fait, c'est la CPAM de Paris qui prend ces appels.
Vérifications d'identité poussées, dont les 6 derniers chiffres du numéro de série de ma carte vitale.
Le monsieur demande clairement si je l'autorise à accéder au volet administratif de mon DMP.

J'expose donc mon souci.

Je crois que je l'ai fait boguer, le pauvre monsieur. Un mot de passe de 30 caractères, mais dans quel monde vivons-nous ?

Il m'explique rapidement qu'il n'a eu aucune info sur le changement des règles de longueur, mais que si le DMP indique "minimum 8 caractères", il m'invite à définir un mot de passe de 8 caractères tout court, parce que "après 10 ou 12 il pourrait y avoir des bogues".

Je facepalm au téléphone, sous l’œil goguenard de mon voisin de bureau.

Le conseiller lance donc la procédure : je reçois en effet un courriel, accompagné d'un PDF comme le premier (spé-Adobe Reader pour lire le contenu), avec un mot de passe comportant :
- 8 caractères
- chiffres
- minuscules, majuscules
- et surprise, un caractère spécial, ce qui n'était pas indiqué comme possible à l'origine. C'est donc possible, au moins.

Et là, le conseiller dérape totalement. Je vais le mettre dans un pouet à part parce que ça vaut son pesant de cacahuètes.

Suivre

"Vous allez donc devoir re-définir un mot de passe personnalisé.

Je vous conseille cette fois de choisir un mot de passe de 8 caractères, mais *vraiment* personnalisé : par exemple, un prénom et une date".

Il m'a séché, lui. Vraiment.

Déjà c'est le pire conseil du monde.

Mais là, on parle du DMP, censé être super-protégé car donnant accès à des données sensibles, extrêmement personnelles, et tout le tralala.

Ma confiance s'effrite indubitablement.

Les téléconseillers de la CPAM75 n'ont-ils pas un minimum de formation/sensibilisation ?
Je sens que je dois absolument remonter l'information, ça ne peut pas être un cas isolé.

A qui, la CNAMTS ? L'ANSSI et la CNIL ?
Je réfléchis, mais faut agir...

Bon, au moins, on voit bien le suivi de la chose, c'est "rassurant".

M'enfin voilà où en est mon expérience DMP.

J'vais aller bidouiller l'appli Android, du coup, pour voir.

Dispo pour causer de tout ça, si besoin \o/

@maxauvy J'ai hésité à mettre un facepalm à chaque toot, mais ça serait limite du flood, donc j'en mets un là pour l'ensemble 🤦‍♀️

@maxauvy
Alors maintenant, petit quizz : CPAM, société privée ou publique ?
Je vous laisse deviner 😁

@maxauvy

Peut-être un blog bien sourcé comme ce thread que tu pourrais partager aussi vers les syndicats de médecin, l'ordre, la presse ?

Diffuser le pourquoi de la défiance - que ton aventure illustre joliment - me parait indispensable tant on est catalogué "anti-progrès" quand on freine des 4 fers sur ces sujets...

@djelouze c'est vrai que je pourrais "convertir" ça en article de blog. Pas bête !

En plus étayé, quand même ^^

@maxauvy @djelouze
Si l'article fait suffisamment de bordel, l'ANSSI devrait finir par mettre son nez dedans je suppose... À moins que l'ANSSI soit directement joignable par n'importe qui pour un problème de conception globale du bousin =/

@Fol
Coucou. Merci pour ce partage.
Lors du festival entrée libre, une dame m'a montré un SMS envoyé par son phrmacien à l'occasion de la création du DMP avec, dans le SMS : nom, prenom, identifiant, mot de passe et numéro de sécu.
@maxauvy @djelouze

@MeTaL_PoU

Ah ouais, quand même. Je me demande à quoi ressemble leur interface, s'ils en ont une dédiée. Je demanderais bien à mon pharmacien, il est adorable.

@Fol @djelouze

@maxauvy @MeTaL_PoU @Fol @djelouze
Moralité : ne pas créer de DMP. Pas avant 5 ans ou un scandale genre une grosse fuite de données.

@Fol
J'irais pas jusque là. Dans certains cas, dont le mien, c'est utile.

@MeTaL_PoU @djelouze

@Fol @MeTaL_PoU @djelouze

Et au-delà de ça : comment faire progresser la e-Santé si personne ne l'utilise ?
C'est un domaine que je trouve absolument passionnant 😊

@maxauvy

Je ne vais pas te contredire là-dessus :D C'est aussi un domaine où le moindre défaut de sécurité peut avoir des conséquences désastreuses.

D'où la réticence de beaucoup de professionnels, j'imagine, et un échec d'adoption à chaque fois (ça fait 15 ans qu'on essaye, quand même !).

@Fol @MeTaL_PoU

@Fol

C'est tout le paradoxe : il faut bien que certains le fassent pour qu'on se rende compte de tout ça...

Une phase de test de recette, en quelques sortes, qui n'a pas été suffisante avant livraison.

Et je doute que le modèle de développement permette une réorientation de la conception 🤔

@maxauvy @MeTaL_PoU

@Fol @djelouze

Boh sinon je pensais passer par mes anciens collègues de la CNIL, notamment un du service de l'expertise qui traite les demandes liées à la santé et qui m'avait accompagné farfouiller dans le SNIIRAM. C'est ptêt overkill, mais bon.

Sinon j'ai le nom du RSSI de la CNAMTS x)

@maxauvy un mdp aléatoire de 30 caractères je trouve ça un peu overkill. À 15 ou 20 t'es déjà laaaaaaargement bien.

@Matlink
Je suis d'accord, mais j'avais juste laissé le réglage "historique" de mon gestionnaire (je sais plus à quel moment j'ai mis 30) puisque le site l'autorisait. Là, nécessairement, j'ai diminué 😁

Dans la plupart des cas effectivement je laisse du 20-25 sauf contrainte contraire...

Pis ça monte vite avec une phrase de passe aussi !

@maxauvy

Oui, voilà comment on considère la sécurité de données sensibles : un mot de passe crackable par ingénierie sociale niveau mollusque (désolé, amies moules).

@katyucha j'aimerais bien :/

J'ai même pas eu le courage de lui répondre au monsieur, le risque de paraître moralisateur et de le brusquer ou quoi était trop grand.

Ce niveau de connerie, c'est pas une initiative personnel, faut taper plus haut :/

@maxauvy La vaaaache 😱​😱​😱​😱​😱​😱​😱​
Mais il sort du ce con de « conseiller » ?

Inscrivez-vous pour prendre part à la conversation
Mastodon - etalab

Instance ouverte pour test - lire les CGU Elle est ouverte à tout agent possédant un compte email en ".gouv.fr" ou la liste disponible sur https://forum.etalab.gouv.fr/t/mastodon-le-reseau-social-libre-et-decentralise-en-plein-decollage/3538