Carte Vitale 2 - Définition

Source: Wikipédia sous licence CC-BY-SA 3.0.
La liste des auteurs de cet article est disponible ici.

- Introduction - Historique - Visuel - Titulaire - Données de la carte Vitale - Photo - Technologie - Certificats d'authentification et de signature - Changement de format du numéro de série des cartes Vitale 2 - Fabricants

Photo

La Loi du 13 août 2004 (article L.161-31 du Code de la Santé Publique), a rendu obligatoire la présence de la photo de l’assuré sur la carte Vitale 2, afin de limiter les fraudes. Cette photographie doit correspondre aux spécifications de la norme "ISO/IEC 19794-5:2005", celle des cartes d'identité et passeports. Elle doit être récente, faite par un photographe ou dans une cabine photo agréée, en couleur, de taille 35mm x 45mm, sur fond clair et uni, visage centré de face et tête nue.

Depuis le 1er décembre 2007, les organismes ne peuvent délivrer à leurs bénéficiaires que des cartes Vitales dotées d'une photographie.

Elle est imprimée sur la carte, mais est aussi inscrite dans la puce de Vitale 2. La CNIL interdit pour l'heure la lecture de la photo numérisée qui est protégée par un dispositif anti-copie.

Experian associé à Sagem Défense Sécurité, a remporté le 17 juin 2006 le marché de la gestion du back-office du GIE Sesam-Vitale dans le cadre du renouvellement des cartes Vitale. C'est dans deux centres à Sotteville-lès-Rouen et à Rouen que cette société traite par numérisation les formulaires de demandes de cartes Vitale reçus par la poste, puis met à disposition du portail d’émission de cartes les photos numérisées. Par contrat, Experian doit assurer le traitement de 1,5 million de dossiers chaque mois en 24-48 heures. Le contrat porte sur un minimum de 24 millions de traitement de formulaires remplis par les assurés.

Technologie

Vitale 2 est une carte à microprocesseur, conforme à la norme ISO 7816, réinscriptible. Sa période de validité est de cinq ans mais peut être prolongée.

Elle est équipée d'un cryptoprocesseur (composants ATMEL et NXP ).

La protection des données repose sur le logiciel IAS (Identification, Authentification et Signature) et fait appel à la technologie SmartMX développée par la société NXP Semiconductors et certifiée EAL5+.

Composant masqué (référence : AT58819E / 7.2.1) :

Microcontrôleur AT90SC12836RCT-E développé et fabriqué par Atmel Smart Card [3]. Ce composant est doté de 128 Ko de ROM, de micro-contrôleurs EEPROM (Electrically Erasable Programmable Read-Only Memory) de 32 Ko et de 5 Ko de RAM. Il est basé sur la technologie SecureAVR® avec noyau RISC 8/16-bit RISC et accélérateur cryptographique d'AdvX.
Masque : Logiciel SESAM VITALE 7.2.1 développé par Sagem Défense Sécurité comprenand un code référencé sous le nom OFFICIEL_S_VITALE_A_7_2_1 masqué dans la mémoire ROM du micro-circuit et un patch référencé sous le nom Patch.s90 chargé dans la mémoire EEPROM..

Certification :

Application d’administration électronique Adèle (E-ADMINISTRATION);
Application Vitale développée par Sagem.

Composant masqué (référence : P5CC036V1D/2.2.0) :

Microcontrôleur P5CC036V1-D, développé et fabriqué par NXP (ex Philips Semiconductors GmbH);

• Logiciel SESAM VITALE P 2.2.0, développé par Sagem Défense Sécurité, et constitué d’un code référencé sous le nom S_VITALE_P_2_2_0 masqué dans les mémoires ROM et EEPROM du micro-circuit.

Certification :

Certificats d'authentification et de signature

En mars 2005, Jacques de Varax, le directeur du GIE Sesam-Vitale expliquait que Vitale 2 "deviendra la clé du coffre-fort de santé personnel", c'est-à-dire du Dossier Médical Personnel, qui selon la loi du 13 aout 2004 devait être généralisée pour tous les français au 1^er juillet 2007. Effectivement il est prévu que la carte puisse contenir un certificat d'authentification et un certificat de signature de document de son titulaire. Pour ces usages Vitale 2 comporte un composant IAS (identification, authentification et signature) mais qui n'est pas activé. Le décret du 14 février 2007 autorisant la carte Vitale 2 renvoie à un décret ultérieur la mise en action de fonctions de sécurité. Pourtant la DGME (Direction générale de la modernisation de l'État) soulignait dès avril 2006, l'importance d'implanter des certificats électroniques dans les cartes Vitale 2 lors de leur émission, afin en particulier d'authentifier fortement l'accès au Dossier Médical Personnel. Mais cette étude ne sera débutée que fin 2007 par la CNAMTS et arrêtée suite au gel du chantier du DMP par Roselyne Bachelot en juin 2007. La Direction de la Sécurité Sociale (DSS) estimait que les coûts d’implantation des certificats d’authentification dans la carte Vitale 2 et de gestion de l'Infrastructure à clés publiques (IGC), seraient pour les cinq premières années, de 50 à 130 millions d'euros par an. Pour chaque carte, le coût annuel des certificat X509 serait de 0,85 € à 2,2 €. Sur le modèle de celle qui gère les 600 000 cartes de professionnels de santé (CPS), il faudrait construire une lourde infrastructure de gestion de 60 millions de certificats assurant l'enregistrement de l’identité des personnes, la certification, gérant les listes de révocation de certificats.