Ameli et le login pas très user friendly

Ameli et le login pas très user friendly

L’identifiant “numéro de sécurité sociale”

Parfois je me pose des questions existentielles, mais c’est mon métier qui veut ça, une sorte de déformation professionnelle un peu tordue. Aujourd’hui par exemple, j’ai reçu par mail la confirmation de mon accès à Ameli, le service en ligne qui va me permettre de suivre mes remboursements de l’assurance maladie. Je me dis “cool, ça va être pratique”. On me demande dans le mail de confirmer mon adresse e-mail en cliquant sur un lien. Je me dis “ok, je clique, je dois sans doute pouvoir entrer un mot de passe après avoir confirmé l’adresse e-mail”.

Après la confirmation, je tombe sur cette page :

ameli

J’avoue que là, je suis perplexe. Je ne comprends pas pourquoi Ameli demande un numéro de sécurité sociale à 13 chiffres pour le login alors qu’ils viennent me de me faire confirmer mon adresse e-mail. Combien d’utilisateurs connaissent par cœur leur numéro de sécurité sociale VS combien connaissent par cœur leur adresse e-mail ? Un login ne devrait-il pas être quelque chose de simple et de rapide ? Je ne vois rien de simple dans le fait de devoir entrer une suite de 13 chiffres qu’on ne connait pas forcement par cœur. En plus niveau erreurs, on est à mon avis prompt à faire bien plus d’erreurs en recopiant un numéro à 13 chiffres qu’en entrant l’adresse mail qu’on utilise tous les jours. Je me demande s’il ne serait pas possible de laisser le choix entre login par mail ou numéro. Beaucoup de sites le proposent (adresse email ou nom d’utilisateur) par exemple.

Et je ne vous parle même pas de l’envoie du code par courrier papier en 2015…

Edit : dans le même genre, on me souffle à l’oreille que le site pour déclarer ses impôts en auto-entreprise est pas mal non plus puisqu’il demande numéro de SIRET, nom, prénom et mot de passe.

Le mot de passe, tout sauf sécurisé

J’ai depuis eu mon mot de passe à mon espace (que j’ai changé depuis). Je doute donc de plus en plus de l’argument “on demande le numéro de sécurité sociale pour des questions de sécurité” puisque mon mot de passe par défaut était tout bonnement mon année de naissance  écrit deux fois. Année de naissance qui figure pour rappel sur nos cartes vital.

On continue dans le fun (ou pas), je change donc mon mot de passe pour quelque chose de plus sécurisé. Là stupeur et tremblement (oui j’aime le mélodramatique), le mot de passe est obligatoirement 8 à 13 chiffres. Oui, vous lisez bien, chiffres. Ça m’ennuie pour deux raisons. Tout d’abord, c’est tout sauf sécurisé un mot de passe de 13 chiffres, ça peut se cracker en entre 41 minutes et 6h avec un ordinateur de bureau. Je vous laisse faire le test sur howsecureismypassword.net (merci Rémi)

Ensuite, d’un point de vue mnémotechnique c’est une plaie. Vous arrivez à retenir 13 chiffres à la suite ? Perso j’ai déjà du mal à me souvenir de mon numéro de casier à 3 chiffres à la piscine. J’ai l’habitude d’avoir pour mot de passe des phrases ou des expressions assez simples à retenir en remplaçant certaines lettre par des chiffres ou par de la ponctuation. Par exemple si je prenais la phrases culte “négatif, je suis une mite en pullover” ça pourrait donner un mot de passe comme “njs1m3npovR” (6 ans à craker), voir “njs1m3npovR” (412 ans à cracker) et en complexifiant encore un peu : “n;js1m3npovR!” (465 millions d’années à cracker). A lire comme ça c’est pas simple, mais en se souvenant de sa phrase de film culte, c’est facile de s’en souvenir.

Bon ils sont sympas, ils vous donnent quand même quelques conseils :

ameli.fr mot de passe pas sécurisé du tout

Sans tomber dans la parano, beaucoup d’organismes et d’individus ont mon numéro de sécurité sociale, dont d’ailleurs mon agence de location qui en a soit disant besoin pour éviter les homonymes (je me demande pourquoi le numéro de carte d’identité suffisait pas). Du coup ça me met un peu mal à l’aise cette histoire.

Besoin d'un design de site, d'interface ou d'application mobile ? De conseils en ergonomie ou en expérience utilisateur ? Envie de travailler ensemble ? N'hésitez pas à consulter mes réalisations et à me contacter directement.

11 réflexions au sujet de « Ameli et le login pas très user friendly »

  1. Dans le même genre sur Free Mobile l’identifiant c’est des chiffres, à composé sur un “digicode virtual” qui ne marche pas sous Firefox.

    Et si tu change tes coordonnées tu reçoit un courrier avec le code de confirmation, mais je reçoit le courrier trop tard du coup il est plus valide…

    Certains process sont beaux sur papiers mais pas en réel :s

    • J’ai lu quelque part que l’identification Free Mobile était sous cette forme pour éviter que des applications puissent se brancher dessus. (applications Android par exemple)

  2. Je pense que c’est plus un problème de sécurité et de durée de vie de la donnée.
    En effet, combien de personnes utilisent l’adresse email fournie par leur opérateur ? Un changement d’opérateur, et l’email n’est plus valide.
    On peut aussi facilement se faire pirater sa boite mail. Et l’adresse email est une donnée qu’on est obligé de renseigner régulièrement ici ou là (ne serait-ce que pour écrire ce commentaire).
    Alors que mon numéro de sécu, normalement, ne se balade pas partout.

    Et quand cela concerne la santé, la sécurité prime sur le “user friendly”.

    • Oui c’est ce qui me vient en premier à l’esprit quand je vois ce genre de formulaires et c’est ça que je trouve dommage. Faire passer des considérations sécurité et serveur avant les considérations utilisateur c’est un peu ce que beaucoup de sites font au final. On demande plus de choses plus complexes à l’utilisateur comme ça on a moins à gérer côté sécurité de notre côté. C’est un peu comme les captchas, on demande aux utilisateurs de remplir des trucs de moins en moins lisibles, parce qu’on veut pas gérer le spam de notre côté :/
      Pour ce qui est de l’adresse fournie par l’opérateur, j’ai l’impression que c’est de moins en moins le cas avec toutes les boites indépendantes comme gmail, etc. C’était sans doute vrai aux débuts du web, mais ça s’est démocratisé aujourd’hui. La question du piratage de la boite mail est un autre souci par contre, effectivement un numéro de sécu est peut-être moins “utilisé” :/ Perso je trouve ça plus simple de pirater la boite aux lettre de mes voisins et leur voler leur courrier que pirater une adresse mail :D
      Je comprends l’argument, mais je trouve ça triste de devoir encore aujourd’hui choisir entre le user friendly et la sécurité, pourquoi ne pourrait-on pas avoir les 2 ?

  3. Comme le dit Stéphanie, la saisie de 13 chiffres entrainent environ 10 % d’erreurs, sur tout qu’il n’y a pas d’aide à la saisi comme les regroupements de chiffres sur la carte vitale.

    Pour le site de la déclaration net-entreprise.fr (de mémoire), il oublie de préciser qu’il faut saisir tout en majuscule sans accent (ou un truc dans le genre) parce que sinon ça ne marche pas, mais tu ne sais pas trop pourquoi…

  4. J’ai eu mieux hier :D pour une commande sur le site vmware dans la listes des champs obligatoire outre nom / adresse / phone ! , il y a avait le champ entreprise en OBLIGATOIRE et en dessous en astuce écrit “si vous êtes un particulier entrer la valuer N/A ”
    Dans le sens design fixé par la base de donnée on fait pas mieux :P
    Je dirais rien sur le mail de confirmation en pdf sécurisé qui contient la facture mais pas le code de licence des produits achetés !

    • Je pense qu’on pourrait constituer un tumblr tellement il y a d’exemples de design basés sur les besoins de la BDD et non de l’utilisateur :(
      Dans le même genre Opodo limite le champ d’adresse à 24 caractères, un peu léger quand t’as de longs noms de rues :/

  5. La limite des 24 caractères est imposée par les transporteurs (largeur des étiquettes etc…) et se retrouve donc assez souvent sur les gros sites e-commerce. Pour limiter la contrainte imposée, on peut remplir jusqu’à 3 lignes d’adresse (d’où les champs “complément d’adresse” etc…).

    • Merci pour l’éclaircissement sur le transporteur, ça explique effectivement pas mal de choses :)
      Le souci pour revenir à mon exemple précédent c’est surtout qu’il n’y avait (ça a peut-être changé depuis j’espère) aucune indication à l’utilisateur que le champ était limité (j’ai check le code pour voir le max-lenght). J’avoue ne jamais avoir compris en tant qu’utilisateur ce qu’on attend de moi dans “complément d’adresse”, pour moi c’est plus un étage par exemple. C’est peut-être l’intitulé qui n’est pas bon. Mais mettre un “92 rue du faubourg” dans l’adresse et “national” dans le champ complément d’adresse n’est pas vraiment intuitif.
      Encore une fois, c’est comme souvent un double souci non semblement d’intitulé et aussi et surtout de proposer à l’utilisateur les retours nécessaires pour l’aider à remplir le champ sans erreur.

  6. En vrai, le temps qu’on met à cracker un mot de passe dépend surtout de la fonction de hashage utilisée pour le stocker en base de données et puis ça n’est un problème que s’il y a une fuite de la base de données un jour.
    Par contre, je ne vois pas l’intérêt de n’utiliser que des chiffres…