Sécurité et autres écueils sur ameli.fr

La sécurité sociale offre depuis plusieurs années à ses assurés la possibilité de s’inscrire sur son site internet afin de ne plus recevoir de relevés de remboursement par voie postale. Suite à la réception d’un courrier m’incitant à ouvrir mon compte en ligne, j’ai décidé de tester ce service il y a quelques jours.

Je me rends sur www.ameli.fr comme me le recommande le courrier, puis je clique sur l’encart en bas à gauche « Mes remboursements en temps réel … J’ouvre mon compte ».


(On ne met pas d’espace devant des points de suspension, mais ce n’est pas le propos.)

La page sur laquelle je suis redirigé me propose plusieurs choses :
• je peux commander un code provisoire (tiens, on me parle de code provisoire, alors que le courrier fait mention d’un simple code) si je n’ai pas encore de compte ameli ;
• je peux résoudre mes problèmes d’accès ;
• je peux consulter une démo pour connaître les avantages du compte ameli ;
• je peux me connecter à mon compte.
Et pour les gens qui ont reçu un code par courrier mais qui n’ont pas encore de compte ?

Cette page manque de précision. Un simple bouton « vous avez reçu un code par courrier et souhaitez créer votre compte » résoudrait cet écueil.


(Les astérisques présentes à côté des légendes ne renvoient à rien, mais ce n’est pas le propos.)

Par déduction, je choisis « connexion à votre compte » (compte que je n’ai pas encore créé : le choix des mots est à revoir.) Je saisis mon numéro de sécurité sociale, puis mon code confidentiel (tiens, on me parle de code confidentiel désormais), et je valide en cliquant sur « me connecter ».

La page suivante décrit les conditions d’utilisation du compte. Je clique sur continuer.


(Les boutons radio se baladent à droite des labels au lieu d’être proprement alignés à gauche, mais ce n’est pas le propos.)

Je suis désormais sur la page de création de compte. Première remarque : le langage utilisé dans le premier paragraphe ne correspond pas tout à fait à ce que l’on attend d’un organisme comme la sécurité sociale. La phrase « C’est votre première visite… » devrait être supprimée. Deuxième remarque : les 2 mentions « tous les champs sont à compléter obligatoirement », ainsi que le texte « de 8 à 13 chiffres » sont en verdana… 8pt ! Dire que la sécurité sociale ne rembourse quasiment pas les achats de lunettes…

Le premier champ à remplir est intitulé « Mon code confidentiel provisoire », le second « Mon code personnel ». Si je récapitule, jusqu’à maintenant, on m’a parlé de :
• code (dans le courrier que j’ai reçu) ;
• code confidentiel ;
• code provisoire ;
• code confidentiel provisoire ;
• code personnel.

Tout ceci est très confus. Il est indispensable d’utiliser un seul terme pour qualifier une seule chose. C’est d’autant plus vrai qu’ici le code personnel n’est pas le même que les 4 autres – qui eux se réfèrent tous au même code. Heureusement, la popup d’aide permet d’y voir un peu plus clair.

Je remplis le premier champ puis passe au second. Mon code personnel, de 8 à 13 chiffres ? Un second coup d’œil à l’aide me le confirmera, le code ne peut contenir que des chiffres ! D’un point de vue sécurité, c’est une catastrophe. Sans parler de la limitation de longueur, elle aussi très gênante. Une attaque type « bruteforce » viendrait à bout de cette sécurité en quelques heures.

L’aide précise qu’il n’est pas possible d’utiliser son numéro de sécurité sociale, une suite de chiffre ou sa date de naissance. Quelles possibilités reste-t-il ? Je me lance : je parie que plus de 80% des codes créés sont soit des dates de naissance (conjoint, enfant) soit des numéros de téléphone.

Des règles de sécurité pareilles sur le site de la sécurité sociale (63 millions d’assurés), en 2011, c’est difficile à croire. Pendant ce temps, la loi Hadopi sanctionne le défaut de sécurisation de l’accès à internet…

Je poursuis. Paragraphe suivant : « Votre question secrète vous sera demandée… ». Demander une question ? Il y a de gros efforts de français à fournir… Je poursuis (encore). « …en cas d’oubli ou de perte de votre code confidentiel ». De mon code confidentiel, ou de mon code personnel ?

Je poursuis (toujours). La question secrète permet donc de récupérer son code en cas d’oubli. Une fonctionnalité très pratique à laquelle il convient d’appliquer une règle de sécurité évidente : il ne faut pas que la réponse soit trop facile à trouver. C’est loin d’être le cas ici : le nom de votre chien, le prénom de votre premier enfant, le prénom de votre père etc. sont des données très faciles à retrouver sur internet.

Pour finir, un petit mot sur l’interface de l’ensemble. Le site utilise des codes plutôt datés : largeur limitée, polices minuscules… Une mise à jour semble nécessaire. Quant au bouton d’aide situé en haut à droite de toutes les pages, il peut induire en erreur : son contenu n’est pas relatif à la page consultée. Pas la peine d’y chercher des indications sur votre code personnel provisoire et confidentiel, il n’est question ici que de « résolution » (une aide sur la résolution d’affichage ?), de « compatibilité des environnements » et de « cookie ». Pas certain que cette popup aide qui que ce soit, finalement.

Bilan

langage peu adapté, fautes de français
taille de certaines polices
désignations approximatives de fonctionnalités et d’éléments importants
sécurité !