La dernière mise à jour de l'application officielle de la Carte Vitale bloque les gestionnaires de mots de passe et neutralise toutes les options d'accessibilité. Censée renforcer la sécurité, elle produit l'effet inverse.

La dernière mise à jour de l'app Carte Vitale est un fiasco - ©Pixavril / Shutterstock
La dernière mise à jour de l'app Carte Vitale est un fiasco - ©Pixavril / Shutterstock

Décidément, la Carte Vitale numérique a mauvaise presse. Depuis le début de l'année, des campagnes de phishing successives ont ciblé des millions d'assurés avec des faux mails aux couleurs d'Ameli, réclamant des coordonnées bancaires sous prétexte d'une inexistante « carte Vitale 2026 », puis plus récemment comme en témoignent de nombreux assurés sur Signal Arnaques. Ces escroqueries tombent d'autant plus mal que l'éditeur de la Carte Vitale, le GIE SESAM-Vitale vient d'éditer une mise à jour qui, elle, pose un problème. Un vrai.

Petit rappel utile : depuis le 18 novembre 2025, tous les assurés peuvent activer leur Carte Vitale sur leur smartphone, quel que soit leur régime d'assurance maladie. Un déploiement progressif, département par département, pendant des mois, pour un bilan modeste : sur les 4,4 millions d'assurés ayant téléchargé l'application à la veille de la généralisation, seuls 1,8 million l'avaient réellement activée. L'appli commence donc tout juste à exister pour le grand public. La première grosse mise à jour tourne au fiasco.

Clavier propriétaire et copier-coller bloqué : l'appli pousse les utilisateurs vers des mots de passe faibles

Le 30 mars 2026, le GIE SESAM-Vitale a poussé une mise à jour censée apporter un « niveau de sécurité optimal ». En pratique, l'application embarque désormais son propre clavier AZERTY. Adieu le copier-coller, adieu le remplissage automatique, adieu toute intégration avec un gestionnaire de mots de passe. Quand on veut utiliser un mot de passe fort généré par son coffre-fort numérique, il faut basculer manuellement entre les deux applications, lire le mot de passe caractère par caractère, puis le saisir lettre par lettre sur ce clavier propriétaire.

Pour les développeurs, c'était plutôt logique. Comme certaines applications bancaires, ils ont voulu s'assurer que leurs utilisateurs ne tapent pas leur mot de passe sur un clavier vérolé capable d'enregistrer chaque frappe. Mais bloquer les gestionnaires de mots de passe aujourd'hui, contrairement à ce que recommande explicitement le NIST dans sa norme SP 800-63B, c'est pousser mécaniquement les utilisateurs à créer le seul mot de passe qu'ils peuvent retenir : un mot de passe faible. L'appli demande dix caractères minimum avec majuscules, chiffres et symboles, mais sans copier-coller ni remplissage automatique, la quasi-totalité des utilisateurs va choisir quelque chose de mémorisable, donc de court et prévisible. C'est l'exact opposé du but affiché.

L'application permet pourtant déjà d'utiliser l'empreinte digitale ou la reconnaissance faciale du smartphone pour le déverrouillage quotidien - © SESAM VITALE
L'application permet pourtant déjà d'utiliser l'empreinte digitale ou la reconnaissance faciale du smartphone pour le déverrouillage quotidien - © SESAM VITALE

Sans lecteur d'écran ni dictée vocale, les personnes handicapées se retrouvent exclues de l'application

On nage en plein paradoxe. Les personnes en situation de handicap paient le prix le plus lourd de ce choix technique. Lecteurs d'écran, dictée vocale, claviers adaptés : aucun de ces outils d'assistance ne fonctionne avec ce clavier propriétaire. L'application devrait au contraire simplifier l'accès aux droits de santé aux utilisateurs malvoyants ou dont la motricité est réduite, mais lui ferme désormais la porte. Une application publique de santé, accessible à tous depuis le 18 novembre 2025, qui exclut précisément les utilisateurs les plus vulnérables à la première mise à jour sécuritaire, c'est un comble.

L'application permet pourtant déjà d'utiliser l'empreinte digitale ou la reconnaissance faciale du smartphone pour le déverrouillage quotidien. On aurait évité tous ces désagréments sans sacrifier une once de sécurité en faisant de la biométrie le mode de sécurisation principal ou en réservant le mot de passe à un usage de secours avec copier-coller autorisé.

À l'heure où nous écrivons ces lignes, le GIE SESAM-Vitale semble toutefois avoir pris le problème en considération, comme le montre cette réponse à un assuré sur le Google Play Store: « Bonjour, nous sommes désolés pour le désagrément lors de la saisie du mot de passe. Le clavier spécifique apporte le niveau de sécurité nécessaire à l’utilisation de l’appli carte Vitale en mode « hors ligne » chez les professionnels de santé. Nous prenons en compte le besoin d’amélioration du clavier et vous invitons à activer la biométrie ».

Source : Frandroid

France Identité
  • Contrôle total de votre identité
  • Simplification de la vérification d'identité
  • Accès pratique à de nombreux services en ligne
8 / 10
Télécharger