Sécurisation d’une application eHealth de suivi de patient à domicile

Sécurisation d’une application eHealth de suivi de patient à domicile

Durant l’année universitaire 2012-2013, Amira Kallel , étudiante en informatique à l’ISIM ( Institut Supérieur d’Informatique et de Mathématiques) a réalisé son travail de fin d’étude de mastère au CETIC et en collaboration avec l’ANCE (l’Agence de Certification Electronique Tunisienne). Son travail a porté sur la sécurisation d’une application eHealth en comparant les technologies belges (eid) et tunisiennes (token électronique).

Contexte

Tous les citoyens belges ont depuis plusieurs années déjà une carte d’identité électronique offrant des fonctions de capture de données, d’authentification et de signature électronique. Lentement mais surement, des applications dédiées apparaissent et adoptent ce nouveau moyen : accès au registre national, tax-on-web, compte citoyen dans les communes, eBay Belgique. Depuis peu la SNCB permet également d’associer un billet électronique à la carte d’identité.

D’autres pays ont adoptés des technologies exploitant elles-même des technologies également basées sur la PKI (Public Key Infrastructure), notamment la Tunisie où l’ANCE a mis en œuvre un token de sécurisation.

Avec le développement des réseaux informatiques, à la fois au sein des hôpitaux, mais aussi au domicile des patients, le domaine des applications eHealth est en pleine expansion. Comme toute application informatique de sécurité, la mise en place de telles technologies exige un certain nombre de précautions, liées au niveau d’assurance par rapport aux propriétés de sécurité souhaitées (confidentialité, intégrité, disponibilité). En outre des contraintes liées à la notion de vie privée faisant l’objet d’une législation stricte doit également être respectée pour les données personnelles sensibles, notamment le dossier médical.

L’objet de ce stage mené conjointement par le CETIC et l’ANCE (agence tunisienne de certification) était d’étudier la mise en œuvre de technologies respectives des deux pays : la carte eiD belge et le token tunisien. Une validation a également été réalisée sur une solution open source largement répandue : OpenMRS.

Travail réalisé

Le travail a tout d’abord réalisé une étude comparative des solutions eGov eId et ANCE ainsi que systèmes eHealth belge et OpenMRS.

Sur cette base, un prototype mettant en œuvre les fonctions d’identification, d’authentification et de signature a été réalisé. La partie identification a consisté en la récupération des informations d’une personne. La partie d’authentification a mis en œuvre les mécanismes d’authentification forte proposés par la carte eID pour authentifier l’utilisateur. Elle est basée sur ce que l’utilisateur possède (la clé privée) aussi bien que sur ce que l’utilisateur sait (le mot de passe qui protège cette clé privée) afin d’éviter l’utilisation de l’authentification par login et mot de passe trop faible qui cause plusieurs risques d’attaques inacceptables dans le contexte médical considéré. La partie de signature visait à signer un message ou des données via le mécanisme d’insertion d’un hash codé par la clef privée ainsi que le certificat public.

Ces fonctionnalités ont été intégrée au sein de la plateforme OpenMRS servant de support à notre travail. Ces diverses étapes ont été réalisées selon une démarche de développement itérative de type Agile.

Rapport

Texte du travail de fin d’étude issu du stage