L'identification par vidéo (vidéo-identification) est actuellement stoppée auprès des caisses d'assurance maladie. Cette décision fait suite à une attaque réussie du Chaos Computer Club (CCC), qui a permis à une personne test d'accéder à un dossier médical électronique avec des documents d'identité manipulés. Par crainte d'une utilisation abusive des données sensibles des patients ainsi accessibles, les caisses d'assurance maladie ont tout d'abord bloqué tous les fournisseurs de services d'identification par vidéo, indépendamment des failles de sécurité connues.
Les procédures d'identification par vidéo continuent-elles à ne pas poser de problèmes en termes de sécurité des données ?
Où la vidéo-identité est-elle utilisée ?
Jusqu'à présent, les procédures d'identification vidéo ont été utilisées dans de nombreux domaines où il est possible d'accéder en ligne à des données sensibles. L'identification par vidéo est un élément important de la sécurité des données numériques lors de l'ouverture d'un compte bancaire, des vérifications de crédit, des contrats d'assurance, des vérifications pour les services de covoiturage et dans le domaine de la santé.
Depuis 2021, la procédure de vidéo-identification permet d'accéder au dossier électronique du patient et, entre-temps, à l'ordonnance électronique.
Comment l'identification par vidéo peut-elle être déjouée ?
Sur le site Rapport du CCC les chercheurs en sécurité expliquent comment, "à l'aide d'un logiciel open source et d'un peu de peinture rouge à l'aquarelle, ils ont réussi à déjouer six solutions Videoident par le biais d'une 'recombinaison technique vidéo de plusieurs documents sources' et à faire croire aux collaborateurs ou au logiciel qu'ils avaient une identité étrangère". Les attaques sont passées inaperçues.
Le CCC a ainsi pu accéder aux données de santé de la personne testée. Cela a été possible en peu de temps et à peu de frais, avec peu de connaissances préalables. D'un autre côté, le risque et la sensibilité de ces données sont très élevés.
Même l'utilisation d'une IA dans la procédure ne remédie pas à cette importante faille de sécurité. Les chercheurs en sécurité ont constaté que "l'hypothèse selon laquelle les procédures modernes d'identification vidéo peuvent remédier aux faiblesses connues 'par l'utilisation d'une intelligence artificielle' s'est avérée fausse dans la pratique".
Pourquoi arrêter immédiatement toutes les procédures d'identification par vidéo ?
Sur la base des résultats du CCC, la Gematik a interdit aux caisses d'assurance maladie d'utiliser toute procédure de vidéo-identification avant même la publication du rapport, pour des raisons de sécurité.
L'association professionnelle de l'informatique Bitkom a critiqué cette décision globale. Les personnes qui doivent désormais s'identifier auprès de leur caisse d'assurance maladie sont contraintes de choisir des moyens analogues. Cela constitue un "obstacle inutile sur la voie des soins de santé numériques". L'identification immédiate par le biais de la procédure d'identification vidéo est "essentielle pour rendre les services numériques disponibles de manière rapide, sûre et simple". Elle doit donc être à nouveau autorisée sans délai auprès des caisses d'assurance maladie.
Le CCC demande en revanche "de ne plus utiliser cette technologie peu sûre là où le potentiel de dommages est élevé".
Avis des ministères de la Santé et de l'Intérieur
Le ministère fédéral de la Santé s'est prononcé en faveur d'un blocage, tout comme la Gematik.
Le ministère fédéral de l'Intérieur a qualifié la procédure d'identification vidéo de "technologie de transition actuellement utilisée pour l'identification à distance en raison de sa pénétration du marché et de sa disponibilité". La question de savoir si et dans quelle mesure elle pourrait continuer à être utilisée sera examinée avec soin.
Vous avez besoin d'aide dans le domaine de la sécurité des données ou de la protection des données ? Notre équipe d'experts se fera un plaisir de vous aider !