BUENODIA

Application Carte Vitale : mise à jour de sécurité, connexion plus complexe

Smartphone affichant l’application Carte Vitale avec écran de connexion et icône de cadenas de sécurité

La Carte Vitale - mise à jour

Mise à jour stricte : sécurité accrue, ergonomie réduite

La Carte Vitale se veut plus sûre — et plus pénible. La dernière mise à jour de l’application, développée par le GIE SESAM‑Vitale, durcit l’accès avec l’obligation d’un mot de passe "fort". La conséquence inattendue : une connexion plus longue et des outils utiles, comme les gestionnaires de mots de passe ou le copier‑coller, bloqués par un clavier propriétaire.

Exigences techniques et impossibilité d'utiliser des gestionnaires

La version 7.9.7 sur iOS et 7.8.11 sur Android impose un mot de passe d’au moins 10 caractères, contenant une minuscule, une majuscule, un chiffre et un caractère spécial. Sur le papier, c’est exactement ce que veulent les experts en cybersécurité. Dans les faits, l’application instaure son propre clavier pendant la création et la saisie du code, ce qui empêche l’utilisation des gestionnaires (1Password, Bitwarden, etc.), du copier‑coller et d’autres aides à la saisie. Il faut taper chaque caractère à la main, sur le petit écran, sans raccourci.

Risques d'usabilité et d'accessibilité

On comprend l’intention : limiter le risque qu’un clavier compromis capture votre mot de passe. Mais le remède crée ses propres maux. Privés d’outils pour générer et remplir automatiquement des mots de passe complexes, de nombreux utilisateurs vont naturellement choisir un code plus court ou plus simple, exactement l’inverse de l’objectif. De plus, cette architecture casse plusieurs fonctions d’accessibilité : personnes malvoyantes ou à mobilité réduite se retrouvent particulièrement pénalisées par l’obligation d’une saisie exclusivement manuelle.

Biométrie : une consolation après l'effort initial

Une fois le mot de passe configuré, l'application permet normalement de basculer sur la reconnaissance faciale ou le lecteur d'empreinte. C’est l’unique consolation : la contrainte n’est que ponctuelle. Après l’étape initiale, l’accès quotidien peut se faire via biométrie, plus pratique et rapide. Reste que pour installer un mot de passe conforme, il faut d’abord supporter la corvée — et parfois renoncer à la complexité recommandée.

Bilan : sécurité théorique versus sécurité réelle

Le bilan est donc mitigé. La mise à jour répond à un vrai besoin de sécurité mais le choix technique du clavier propriétaire empêche des protections complémentaires (gestionnaires, copier‑coller) et fragilise l’accessibilité. Si l’objectif est d’empêcher les keyloggers, il aurait été plus cohérent d’exploiter des mécanismes systèmes sûrs — ou d’autoriser, à minima, les gestionnaires fiables — plutôt que d’imposer une saisie laborieuse qui risque d’affaiblir la sécurité réelle.

Publié le : 1 avril 2026
link