Journal Mutuelle et mot de passe

Posté par  . Licence CC By‑SA.
16
6
déc.
2022

Bonjour cher journal,

Je vais te parler de ma mutuelle santé/prévoyance (que je n'ai jamais vraiment choisie, elle m'est proposée par mon entreprise), à laquelle je ne me connecte presque jamais.

Le changement de mot de passe chez la mutuelle

Je n'ai pas stocké le mot de passe la dernière fois que je me suis connecté, et j'ai donc cliqué sur Mot de passe oublié afin de créer un nouveau mot de passe.
Un mot de passe pas trop faible si possible, car sur ce site sont accessibles (après connexion) divers informations personnelles comme l'adresse postale, le numéro de sécurité sociale, le numéro de téléphone, le nom de mon employeur, la date d'entrée chez mon employeur, sans oublier tout ce qui est santé.

L'étonnement

À ma grande surprise, le mot de passe doit être de 12 caractères maximum (j'ai le droit aux caractères spéciaux). C'est pour ma sécurité dit le formulaire.

C'est même explicitement inscrit dans la FAQ (on notera qu'il manque la référence aux caractères spéciaux, qui apparaît dans quand même bien dans le formulaire de changement de mot de passe):

Votre mot de passe doit contenir des chiffres et des lettres. Pour des raisons de sécurité, il doit être composé de 8 à 12 caractères, comprenant au moins deux lettres (a-z, A-Z) et deux chiffres (0-9).

Les recommandation de l'ANSSI

Quelles sont les recommandations à ce sujet ? Regardons ce que dit l'ANSSI.

Sur le site de l'ANSSI, on peut calculer la force d'un mot de passe. Un longueur de 12 caractères avec un alphabet de 90 a une force à peu près équivalente à une clé de 78 bits.

L'ANSSI qualifie ce mot de passe de faible et commente cette force ainsi:

Taille minimale recommandée par l’ANSSI pour des mots de passe ergonomiques ou utilisés de façon locale.

Je suis donc rassuré de voir que toutes ces informations sont bien protégées !

Conclusion

Voilà mon cher journal, c'était la première fois que je t'écrivais.

Peut-être devrais-je écrire aussi à ma mutuelle pour l'informer, mais ne travaillant pas dans la cybersécurité, je ne me sens pas vraiment légitime (et je n'ai peut-être pas le temps ou l'envie).
Peut-être que ce mot de passe est suffisamment robuste, et que je me suis trop inquiété à ce sujet.

  • # keepassxc

    Posté par  . Évalué à 4.

    Intéressant !

    Pour ma part j'utilise désormais un portefeuille de mot de passe dont le mot de passe pour le déverrouiller est une phrase de passe (ou passe de phrase ? je ne sais jamais !) assez longue que j'ai généré en jouant avec un dé.

    Ensuite je confie la création de tous mes nouveaux mots de passe à KeepassXC, enfin quand les sites internet le permettent de manière efficace car pour certains faut pas dépasser x caractères ou ne pas utiliser tels types de caractères.

    Je vais tacher de mettre en place une double authentification pour KeepassXC.

    • [^] # Re: keepassxc

      Posté par  . Évalué à 3.

      une phrase de passe (ou passe de phrase ? je ne sais jamais !)

      Une phrase de passe, comme on dit un mot de passe.

      • [^] # Re: keepassxc

        Posté par  (site web personnel, Mastodon) . Évalué à 2.

        J'ai cru qu'il s'agissait d'un tour de magie (passe passe quoi)
        Sinon une passe de mots, n'est-ce pas une joute verbale ? Du coup avec des phrases ça devient …une bataille verbale ?

        “It is seldom that liberty of any kind is lost all at once.” ― David Hume

    • [^] # Re: keepassxc

      Posté par  . Évalué à 1.

      En français: phrase de passe
      En anglais : passphrase

  • # Sécurité adaptée

    Posté par  (site web personnel) . Évalué à 0. Dernière modification le 06 décembre 2022 à 11:33.

    C'est pour ma sécurité dit le formulaire.

    C'est la partie "mini 8" pour la sécurité, genre évite 1 caractère.

    Je suis donc rassuré de voir que toutes ces informations sont bien protégées !

    Ben oui.

    Car :

    car sur ce site sont accessibles (après connexion) divers informations personnelles comme l'adresse postale, le numéro de sécurité sociale, le numéro de téléphone, le nom de mon employeur, la date d'entrée chez mon employeur, sans oublier tout ce qui est santé.

    En gros, des trucs pas très "bankable" qui mériterait l’investissement dans une attaque brute (si elle est possible contre le site qui ne te bloquerait pas après x tentatives) et l'important est que le pass soit unique (pour pas qu'une autre base de données l'ai à partir d'une faille ailleurs), et encore (on se fout vraiment pas mal de ta santé, pas mal de monde sait déjà ton numéro de sécu et employeur etc, à la limité pour l’ingénierie sociale mais tu vaux tant que ça?).


    A un moment, il va falloir sortir du fantasme qu'un mot de passe à rallonge est forcément mieux, un code de CB (autrement plus intéressant pour les "méchants") c'est 10000 possibilités seulement et ça suffit car tu ne peux pas essayer plus de 3x.
    Demandes-toi pourquoi tu as peur d'un mot de passe de 12 caractères pour des données dont tout le monde se fout mais que tu as (sans doute) une CB et que tu n'as jamais eu peur de l'avoir malgré ses 4 chiffres comme mot de passe et que pas mal de monde aimerait bien connaitre.

    Ici, pour qu'il y ai un problème, il faut que tu démontres que tu peux faire une attaque par force brute (j'en doute, ce n'est pas chez toi qu'il y a le "secret", et je me demande combien de tentatives par jour sont possible sur leur site) et que en plus les données dont tu as peur qu'elles fuitent valent une centaine de millions de $ (je me base sur ça ou ça et 12 caractères).

    Et le xkcd qui va bien.

    • [^] # Re: Sécurité adaptée

      Posté par  . Évalué à 6.

      une CB et que tu n'as jamais eu peur de l'avoir malgré ses 4 chiffres comme mot de passe et que pas mal de monde aimerait bien connaitre.
      

      La carte est bloquée/avalée au bout de 3 erreurs … le site c'est moins sûr, c'est donc plus compliqué de tester les 10000 possibilités

      Bonne journée

      • [^] # Re: Sécurité adaptée

        Posté par  (Mastodon) . Évalué à 6. Dernière modification le 06 décembre 2022 à 15:16.

        La carte est bloquée/avalée au bout de 3 erreurs … le site c'est moins sûr, c'est donc plus compliqué de tester les 10000 possibilités

        Le comportement du site n'est pas un détail, un mot de passe c'est l'un des éléments de la sécurité, ça ne fait pas tout loin de là.

        Par exemple si on regarde cette page de la CNIL (aller à "Trois politiques de mots de passe au niveau équivalent") c'est complètement contre intuitif : on voit qu'ils recommandant une entropie minimum de 80 pour un simple blog, de 50 pour un site de e-commerce et de 13 pour une carte bancaire !

        C'est parce que c'est au sein d'un processus complet, et que associé à d'autres mécanismes (la colonne de droite) la sécurité est garantie.

        Ici l'auteur ne nous dit pas comment marche le site en question, notamment si il y a de la 2FA forcée, ou sans aller jusque là à partir de combien de tentatives le compte est bloqué.

        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

        • [^] # Re: Sécurité adaptée

          Posté par  . Évalué à 3.

          Merci pour le lien, j'irai titiller mon RSSI au prochain changement imposé de mot de passe.

          Ça, ce sont les sources. Le mouton que tu veux est dedans.

          • [^] # Re: Sécurité adaptée

            Posté par  . Évalué à 4.

            Merci pour le lien, j'irai titiller mon RSSI au prochain changement imposé de mot de passe.

            Si ton RSSI est un minimum compétent il est au courant.
            Le souci c'est que si vous devez être certifié PCI DSS, c'est obligatoire. Si vous devez être certifié ISO 27001, c'est plus facile de convaincre votre auditeur que votre politique de gestion de mots de passe est bonne si le mot de passe expire tous les 2 jours. Et il y a sûrement 500 autres certifications toutes aussi bidons chères inutiles reconnues qui exigent des expirations même si ce n'est plus l'état de l'art.
            Il ne faut pas oublier qu'être certifié est plus important qu'être sécurisé !

          • [^] # Re: Sécurité adaptée

            Posté par  (site web personnel) . Évalué à 6.

            Si tu RSSI te force à changer de mot de passe, c'est :

            1. soit que tu as un compte à privilèges
            2. soit qu'il est en retard sur les recommandations de l'Anssi. La nouvelle politique préconisée en matière de mot de passe (donc après la mise en place d'authentification forte ou à plusieurs facteurs), c'est :
              • renouvellement régulier des mots de passe pour les comptes d'administration
              • renouvellement d'un mot de passe utilisateur en cas de suspicion de compromission (piratage du poste ou d'un serveur, mot de passe entré au mauvais endroit, …)
        • [^] # Re: Sécurité adaptée

          Posté par  . Évalué à 3. Dernière modification le 07 décembre 2022 à 13:56.

          Après plusieurs essais (volontairement infructueux), on a bien des mesures complémentaires qui n'apparaissent pas au début (je ne les avait pas vus lorsque j'ai écris le journal)
          Au bout de 25 tentatives, le compte est bloqué pendant 24 heures (et il y a un minuteur de 60 secondes pour réessayer immédiatement + un Captcha).

          • [^] # Re: Sécurité adaptée

            Posté par  (site web personnel, Mastodon) . Évalué à 3.

            N'empêche, ces systèmes qui veulent imposer des contraintes hautes pensées avec les pieds. Du coup, au lieu de pouvoir mettre ton mot de passe fort de quinze caractères, tu finis par mettre un truc aussi faible que des Tr0ub@d0ur$ :-(

            “It is seldom that liberty of any kind is lost all at once.” ― David Hume

    • [^] # Re: Sécurité adaptée

      Posté par  . Évalué à 5.

      C'est en cas de leak de la base de mots de passe les recommendations, le but c'est de se proteger contre une attaque bf en local pas remote…

    • [^] # Re: Sécurité adaptée

      Posté par  . Évalué à 5.

      un code de CB (autrement plus intéressant pour les "méchants") c'est 10000 possibilités seulement et ça suffit car tu ne peux pas essayer plus de 3x.

      Et dans ce monde ultra-sécurisé ou la banque mets en place une double authentification (qui casse plus les… qu'autre chose) il ne faut pas oublier qu'une CB est utilisable sans code dans de nombreuses situations: péages (autoroutes, ponts), ou depuis quelques années, sans contact.

      J'espère que l'auteur du journal à désactivé le sans contact de sa CB, ça serait cohérent avec ce type de peur (perso je l'ai fait, je préfère de loin taper mon code à 4 chiffres. Même si d'un autre côté je paie souvent en liquide, qui manque totalement de protection, excepté le fait que ça ait une limite physique qui est entièrement sous mon contrôle).

      • [^] # Re: Sécurité adaptée

        Posté par  (site web personnel) . Évalué à 0.

        Un peu HS mais bon, allons-y:

        Et dans ce monde ultra-sécurisé ou la banque mets en place une double authentification (qui casse plus les… qu'autre chose)

        Mais pour le moment il est estimé que c'est largement plus efficace qu'un mot de passe même de 1000 caractères (le problème n'est pas sa longueur). Et perso je ne vois pas trop la complexité, c'est sur mon tel avec empreinte donc très rapide à valider le popup qui arrive sur mon tel.
        C'est même plutôt un bon exemple (quand les banques ne font pas n'importe quoi avec leur app, certes, bon j'ai une banque où je ne met pas l'empreinte car ça permet aussi l'accès à mes comptes, ce que je ne veux pas pour… des raisons de sécurité trop faible de mon point de vue dans ce cas, et cette banque ne sépare pas les 2, donc bon le code, ça va aussi).

        C'est en fait plutôt un exemple pas trop mal de sécurité adaptée aux utilisateurs par rapport au niveau de risque.

        J'espère que l'auteur du journal à désactivé le sans contact de sa CB (perso je l'ai fait […] Même si d'un autre côté je paie souvent en liquide,

        Alors d'une il y a une limite de paiement, et de 2 avec le sans contact et contrairement au liquide on retrouve facilement qui encaisse, et en pratique il y a bien moins de problème qu'avec le liquide.

        Pareil, la sécurité a été adaptée, pas trop chiante tout en étant au niveau de sécurité limitant l’intérêt de "voler". Pas pour rien que ça marche, contrairement à d'autres projets qui ont merdé car soit niveau de sécurité insuffisant soit niveau de sécurité trop chiant.

        Et c'est bien le problème que soulèvent les réactions, on voit un dogmatisme en plus d'une réponse qui montre ne pas avoir lu le commentaire (car le sujet était déjà abordé, et "bizarrement" pas de contre-argumentation sur ce que j'avais déjà écrit en avance sur leur réaction), et de vouloir du "sécurisé top secret même si c'est chiant" partout.

        Pour revenir au sujet, la base de données n'est pas locale (et personne n'a démontré qu'il n'y avait pas de limite par jour pour dire que ce n'est pas un problème pour casser) et si elle se fait voler on réinitialise de suite les mot de passe dès qu'on apprend la fuite (au pire quelques personnes se plaignent avant qu'on comprenne que la base a été volée) et donc la valeur de la base de donnée est bien faible.

        Si l'auteur du journal utilise déjà ce qu'il a comme possibilité (mot de passe aléatoire de 12 caractères non réutilisé ailleurs par lui), il a déjà une protection largement supérieure à la valeur de ce qu'il veut protéger, ou il faudra démontrer le contraire.

    • [^] # Re: Sécurité adaptée

      Posté par  . Évalué à 8. Dernière modification le 06 décembre 2022 à 21:14.

      Demandes-toi pourquoi tu as peur d'un mot de passe de 12 caractères pour des données dont tout le monde se fout

      Personnellement, c'est pas une question de peur qu'un mot de passe de 12 caractères soit insuffisant. C'est que
      1) Un site web qui met ça en place ne respecte pas les standards/recommandations de sécurité sur la taille maximale des mots de passe. Forcément ça incite à se demander comment ils ont pu en arriver à cette décision et malheureusement la réponse la plus probable c'est par ignorance. Du coup, la question qui suit c'est quelles sont les autres points sur lesquels ils sont ignorants ?
      2) C'est gonflant d'avoir des limites arbitraires comme ça. Pourquoi sur un site j'ai le droit à 16 caractères, sur celui d'à côté 12, sur l'un j'ai le droit à une plage de caractères spéciaux qui n'est pas la même que celui d'à côté ? J'aimerais bien pouvoir configurer mon gestionnaire de mot de passe une fois pour toutes avec les règles qui me conviennent(*). Tant pis si les mots de passe générés sont plus forts que nécessaires sur 99% des sites, ça me coûterait au final moins d'effort.

      (*) Dans mon cas, le XKCD qui va bien c'est le 936. C'est hyper pratique quand pour une raison ou une autre on doit retaper/dicter le mot de passe. Par contre, forcément ça ne marche pas quand le site limite le nombre de caractères.

      • [^] # Re: Sécurité adaptée

        Posté par  (site web personnel) . Évalué à 8.

        Certains xkcd ont été traduits en français1 pour ceux qui préfèrent :

        Pour moi j'hésite, entre :


        1. mais pas en SVG, même s'il y a une appli pour faire des graphiques à la xkcd https://matplotlib.org/stable/gallery/showcase/xkcd.html 

      • [^] # Re: Sécurité adaptée

        Posté par  . Évalué à 4.

        Le journal n'est pas assez écrit dans ce sens, mais c'est bien que: "ah zut le mot de passe généré ne leur convient pas" (point 2 du commentaire précédent) et "comment ils ont pu fixer cette limite haute ?" (d'où la section L'étonnement du journal) (point 1 du commentaire précédent).

        Pour le 1), ce qui m’embête c'est que j'ai eu l'impression que quelqu'un chez eux a décidé de mettre une limite maximale à la sécurité.
        D'accord j'ai un compte utilisateur qui n'accède que à mes données, d'accord ces données ne valent pas tant que ça (même si c'est un historique médical).
        Ces mêmes limites sont-elles appliquées aux comptes un peu plus privilégiés (ou de gestion à divers degrés) qui ont accès à l'ensemble des clients  ?

  • # Ignorance et effet de mode

    Posté par  . Évalué à 4.

    Bonjour,

    Je ne suis pas étonné, cela montre une certaine ignorance des ces services qui souhaitent des mots passes 'forts' mais parfois sans caractère alpha-numérique, souvent court (12 caractères dans l'exemple), mais par contre s'empressent de se mettre à la mode et de nous imposer une double authentification sur un téléphone via SMS voire via une appli ….

    Il doit effectivement être très compliqué de retenir non pas un mot de passe mais une 'phrase de passe' qui pourrait contenir une centaine de caractères avec la ponctuation et les majuscules (une phrase quoi ;-) ), mais ce n'est sûrement pas 'sécurisé'…

    Bref, ce n'est pas encore vendredi … ;-)

    Bonne journée

  • # Écris-leur

    Posté par  (site web personnel) . Évalué à 6.

    Peut-être devrais-je écrire aussi à ma mutuelle pour l'informer, mais ne travaillant pas dans la cybersécurité, je ne me sens pas vraiment légitime (et je n'ai peut-être pas le temps ou l'envie).

    Les observations de ton journal sont tout à fait pertinentes, tu devrais leur écrire.

    Et si tu as le temps d'écrire un journal comme celui-ci, je pense que tu peux trouver le temps d'écrire un mail ;)

    • [^] # Re: Écris-leur

      Posté par  (site web personnel) . Évalué à 8.

      Un retour client sur la sécurité alors qu'un Dieu dans un bureau a déterminé qu'il fallait entre 8 et 12 (parce que 12 c'est bien, et le PDG voudra pas plus de 8 donc c'est figé aussi).

      Combien de systèmes doivent stocker le MDP ? Quelles contraintes pour le stocker (je parle pas de hash, bien sûr, encore moins de hash salé).

      Le poids du legacy x le poids des supports a modifier sur les contraintes de MDP, ca fait que ca changera pas demain.
      (Mais oui, il faut remonter le point).

      Et de mon cote ce qui me saoule sur ces politiques c'est que ca refuse mes MDP générés par Firefox d'une quinzaine de caracteres parce qu'il manque un caractère spécial, alors que Azerty0! passe.

      => la seule politique de MDP que n'accepterais sans broncher, c'est le test du << ton MDP est il dans un dico des 30 M de MDP leakés ? >>. Si c'est oui, alors c'est non. (En plus c'est éducatif )

      • [^] # Re: Écris-leur

        Posté par  . Évalué à 3.

        Je ne me fais pas spécialement d'illusions sur un retour client à propos de la taille d'un mot de passe (et je n'ose pas espérer que un mail arrive à la bonne personne à ce sujet).

        Les contacter en général c'est pour la prestation de remboursement (vu que c'est leur métier). J'ai essayé d'utiliser Security.txt mais je me retrouve devant un 404. Et je n'ai pas l'envie de passer des heures au téléphone à ce propos.

  • # À quand l'Unicode dans les mots de passe ?

    Posté par  (site web personnel) . Évalué à 4.

    Moi, je voudrais mettre des formulaires qui me permettent de mettre toute sorte de caractères unicodes dans mon mot de passe.

    Quant au problème de pouvoir les taper partout, ben, utilisant un gestionnaire de mots de passes, ça ne m'importe guère.

  • # Mutuelle imposée

    Posté par  . Évalué à 3.

    Je rebondis sur la phrase d'intro dans laquelle tu indiques que ta mutuelle t'es imposée. C'est aussi le cas dans mon entreprise. La question que je me pose, c'est que ma femme a une mutuelle d'entreprise meilleure que la mienne et que sa mutuelle peut me couvrir.

    Est ce que la mutuelle de mon entreprise peut s'opposer à mon départ si je lui prouve que je suis aussi assuré par la mutuelle d'entreprise de ma femme ?

    Est ce que certains ou certaines ont un retour d'expérience sur ce genre de question ?

    • [^] # Re: Mutuelle imposée

      Posté par  . Évalué à 9.

      j'ai le cas: mutuelle imposée par la boite de mon épouse. On a voulu stopper ça et… Cest possible uniquement si la seconde mutuelle est dite familiale, donc couvre toute la famille par défaut sans surcout. Raté pour moi: ma mutuelle me protège mes enfants et moi, mais pas mon épouse par défaut, je cotise en plus (>95 euros) pour elle (et pour de meilleures garanties). Et dans ce cas impossible de se débarrasser de la première, qu'on paie donc pour rien.

      • [^] # Re: Mutuelle imposée

        Posté par  . Évalué à 8.

        A savoir:
        Si la première mutuelle ne rembourse pas à totalement, tu peux envoyer ta facture à la seconde qui peut compléter à hauteur maximum de 100% des frais réel.

        • [^] # Re: Mutuelle imposée

          Posté par  (Mastodon) . Évalué à 5. Dernière modification le 06 décembre 2022 à 15:22.

          Oui il faut le savoir, c'est totalement possible (les mutuelles ont l'habitude), on l'a beaucoup fait avec les lunettes de nos enfants. Tu envoies à la 2e mutuelle la facture qui contient :

          • le montant total
          • le remboursement sécu
          • le remboursement de la première mutuelle

          La 2e mutuelle te remboursera le complément (que tu as donc avancé), et ainsi tu auras un zéro à charge (on n'a pas eu le cas où ça ne suffisait pas, même an ayant un verre particulièrement traité pour l'un des enfants).

          En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

      • [^] # Re: Mutuelle imposée

        Posté par  (Mastodon) . Évalué à 6.

        mais pas mon épouse par défaut

        J'ai été dans une boîte où le conjoint était compris dans le forfait et qui s'est faite redresser car c'était jugé avantage en nature non déclaré (contrairement aux enfants où ça reste accepté). Du coup ils ont un peu baissé la cotisation mais supprimé le conjoint, qu'il fallait en effet prendre "en option" si on le désirait.

        Tout ça pour dire que ça va sûrement être de plus en plus courant, et qu'on va donc se retrouver souvent avec 2 mutuelles.

        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

        • [^] # Re: Mutuelle imposée

          Posté par  (site web personnel) . Évalué à 6.

          Avantage en nature non déclaré ‽ Avantage en nature, d'accord, mais non déclaré, c'est n'importe quoi, la cotisation apparaît sur la fiche de paie !

          Je comprendrais que des célibataires se sentent lésés par le fait de cotiser ce qu'il faut pour couvrir les conjoints des autres, mais ce n'est pas du tout un problème de déclaration de l'avantage en question.

          • [^] # Re: Mutuelle imposée

            Posté par  (Mastodon) . Évalué à 5.

            Avantage en nature non déclaré

            Oui, on a considéré que l'entreprise faisait un "cadeau" aux employés en leur offrant (puisqu'il n'y avait pas de surcoût) la protection du conjoint. Apparemment il est considéré normal "d'offrir" la protection des enfants (toujours sans surcoût), mais pas du conjoint.

            En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

            • [^] # Re: Mutuelle imposée

              Posté par  (site web personnel) . Évalué à 7.

              Sauf que ce n'est pas du tout offert, c'est payé par les cotisation des employés. À moins qu'ils n'y ait des preuves, ou au moins de soupçons que l'employeur paie discrètement un supplément de cotisation sans le déclarer justement.

              Sinon, ça ce compte-là, on pourrait aussi dire que le remboursement de l’ostéopathie est « offerte » puisqu'il n'y a pas de surcoût. C'est idiot, ça fait partie du contrat, en échange de la cotisation.

              • [^] # Re: Mutuelle imposée

                Posté par  . Évalué à 5.

                Oh si tu savais.
                Si tu veux faire un cadeau de fin d'année à tes employés, tu n'as pas droit de donner des choses que ta boite vends, sinon c'est un avantage en nature non déclaré.
                Tu dois désigner un produit en édition limitée et non vendu.

                « l'avantage en nature non déclaré » se cache partout.

                https://www.editions-tissot.fr/actualite/droit-du-travail/l-urssaf-fait-la-chasse-aux-avantages-en-nature-non-declares

                L'entreprise offrait aux salariés le journal qu'elle vend => avantage en nature

                • [^] # Re: Mutuelle imposée

                  Posté par  (site web personnel) . Évalué à 1. Dernière modification le 06 décembre 2022 à 18:48.

                  Tu parles de fin d'année mais passe ensuite sur un exemple permanent, difficile de suivre.
                  Pour le permanent, ça passe si tu proposes jusqu'à 30% de ristourne sur le prix public. Genre tu es un FAI qui vend un truc 100 €/mois tu peux faire une offre à 70 €/mois sans payer de cotisations sur les 30 €/mois "offerts". Forcément en cas de redressement et que tu as "oublié" (faut pas déconner, ça se trouve vite) de te renseigner ils ne vont pas te faire de cadeau, prix en entier (quoique, maintenant, avec le "droit à l'erreur", ça doit pouvoir se négocier si tu évites de les prendre pour des cons à aller en procès contre eux comme dans ton exemple).

                  PS : j'avais ces -30% à un moment… Et faisait toujours tiquer mes collègues car malgré cette "remise" je préférais la concurrence, j'aimais mon taf dans la boite mais pas l'offre commerciale de cette dernière :).

            • [^] # Re: Mutuelle imposée

              Posté par  . Évalué à 3.

              La couverture des enfants par le mutuelle du salarié est une obligation dans SYNTEC.

        • [^] # Re: Mutuelle imposée

          Posté par  (site web personnel, Mastodon) . Évalué à 1.

          Normalement il faudrait vous proposer les deux : une individuelle (qui, pour moi, ne devrait pas prendre en compte les enfants) et une familiale (qui couvrirait tout le foyer —donc toute la famille recomposée)

          “It is seldom that liberty of any kind is lost all at once.” ― David Hume

        • [^] # Re: Mutuelle imposée

          Posté par  . Évalué à 1.

          Wow, une boîte où le conjoint est compris dans le contrat ? C'est cool pour les geeks boutonneux incapables d'approcher une fille.
          Je comprends que ce soit compté comme avantage en nature, ce genre de prestation est généralement aseez cher. Et pour ´es enfants c'est encore pire !

          ---> []

        • [^] # Re: Mutuelle imposée

          Posté par  (site web personnel) . Évalué à 8.

          « Du coup ils ont un peu baissé la cotisation mais supprimé le conjoint […] »

          C'est vraiment la jungle ce monde des mutuelles d'entreprise. En arriver à supprimer les conjoints…

          -->[]

          « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

      • [^] # Re: Mutuelle imposée

        Posté par  (site web personnel) . Évalué à 8.

        j'ai le cas: mutuelle imposée par la boite de mon épouse. On a voulu stopper ça et… Cest possible uniquement si la seconde mutuelle est dite familiale, donc couvre toute la famille par défaut sans surcout.

        Pas tout ça fait, c'est pire que ça. L'assurance complémentaire peut exigée une preuve que tu es couvert obligatoirement par celle de ton conjoint. Si c'est facultatif, même sans surcoût, ils peuvent refuser.

        Ça fait partie des idées de lois dont je dois parler à mon député. Dans le même sens que la liberté de choisir son assurance emprunteur, ce serait bien d'avoir la liberté de choisir son assurance complémentaire santé. L'obligation pour l'employeur d'en fournir une pourrait être maintenue, avec la possibilité de cesser d'y cotiser sur preuve qu'on a déjà une complémentaire santé, sans plus de contrainte.

    • [^] # Re: Mutuelle imposée

      Posté par  (site web personnel) . Évalué à 6. Dernière modification le 06 décembre 2022 à 16:37.

      Oui. On a le droit de ne pas adhérer à la mutuelle assurance complémentaire santé (cf. infra) obligatoirement proposée par son employeur, à condition de prouver qu'on est obligatoirement couvert par celle de son conjoint.

      C'est très subtil, parce que si par exemple, l'assurance de ton conjoint te couvre de façon optionnelle, mais sans surcoût, ça ne te donne pas le droit de ne pas adhérer à la tienne.

      (Bon, après, la seule différence entre un certificat comme quoi on est couvert sans surcoût, et un certificat comme quoi on est obligatoirement couvert sans surcoût, c'est un seul mot, donc rien d'insurmontable, si vous voyez ce que je veux dire. o:-) )

      • [^] # Re: Mutuelle imposée

        Posté par  . Évalué à 4.

        Merci à nos bureaucrates de l'année pour avoir inventé cet incroyable concept. Ça fait plaisir de ne plus payer ses impôts en France !

        A noter en ayant été au RSA, entre l'embauche et la fin de couverture par la CMU-C (je crois qu'ils appellent ça PUMA maintenant…) il est possible d'être exempté de la complémentaire employeur au profit de la complémentaire universelle, gratuite, au tiers payant et qui interdit les dépassements d'honoraires.

  • # Mutuelle

    Posté par  (site web personnel) . Évalué à 10.

    Je vais te parler de ma mutuelle santé/prévoyance

    Non. Tu nous parles de ton assurance santé et prévoyance. Une mutuelle, c'est une forme d'entreprise, assez répandue dans le domaine de l'assurance et de la banque, mais ce n'est sans doute pas le cas de la tienne. C'est très facile à vérifier : est-ce que tu es invité à voter pour élire les dirigeants de cette société d'assurance ? Sinon, ce n'est pas une mutuelle.

    Je ne sais pas d'où sort cette utilisation du terme de « mutuelle » pour désigner de façon générique une assurance santé, mais il faut vraiment arrêter ça.

    C'est comme l'utilisation du terme de « sécurité sociale » pour désigner un organisme imaginaire, je trouve que cela nuit à la compréhension de la réalité. La sécurité sociale, c'est un système, pas une entreprise. Ce système est essentiellement composé de multiples compagnies d'assurance, la plus grosse d'entre elles étant la Caisse primaire d'assurance maladie. On ne cotise pas à « la sécu », on est adhérent d'un assureur particulier, en l'occurrence la CPAM pour les salariés du privé, mais il y en a d'autres.

    • [^] # Re: Mutuelle

      Posté par  (site web personnel) . Évalué à 5.

      Quitte à couper les cheveux en 4 et les mots de passe en 12, on devrait dire une CPAM et pas la (il y en a plusieurs).

      Et on dit CGSS dans les DROM.

      • [^] # Re: Mutuelle

        Posté par  (site web personnel) . Évalué à 8.

        Exact, mais sans intérêt. Ce qui est intéressant, c'est de comprendre de quoi on parle : un système régi par la loi et des assurances qui en sont l'implémentation, sous la forme d'une sorte d'oligopole légal assez unique en son genre.

        L'utilisation de termes aussi vague que « la sécu » me semble donner l'impression qu'il s'agirait d'une administration d'État, avec laquelle les citoyens auraient la même relation qu'avec le fisc ou la préfecture du coin. Ça en fait un organisme puissant et distant de ses clients.

        Alors que c'est bien plus clair en parlant simplement d'assurance : il n'est pas question de citoyens mais d'adhérents (voire de clients), et la relation est la même que celle qu'on peut avoir avec son assureur habitation ou automobile (d'ailleurs c'est obligatoire aussi, seulement pour celles-là, on a le choix de l'assureur).

        • [^] # Re: Mutuelle

          Posté par  (site web personnel) . Évalué à 2. Dernière modification le 06 décembre 2022 à 18:11.

          L'utilisation de termes aussi vague que « la sécu » me semble donner l'impression qu'il s'agirait d'une administration d'État

          Perso j'utilise volontairement "la sécu", pour une seule raison : je n'ai pas le choix de l'entité. A partir de la, c'est bien de facto une administration d'État (c'est bien l'État qui a choisi telle entité et n'en change pas, et peut utiliser la loi quand ça lui chante pour ponctionner ou changer les règles).

          Le jour où j'aurai le choix de mon prestataire de sécu (comme par exemple en Allemagne, qui pour une fois fait les choses largement plus intelligemment, tu as le choix de l'entité qui fait en même temps base obligatoire et complémentaire optionnelle avec les mêmes règles pour le paiement; qu'on se rassure, ils ont merdé ailleurs en permettant du "privé" qui ne respectent pas ces règles. Et sur quoi se battent les différentes entités si elles ne peuvent jouer sur le prix? Sur la qualité de prestation!), je changerai et ferai la différence entre la sécu couverture obligatoire et la sécu entité à laquelle je me suis inscrite.

          Pour la complémentaire santé (c'est ce dont en parle en fait) obligatoire, "on" (en réalité pas toi mais l'employeur, n'importe quoi…) a le choix et c'est alors déjà un peu plus négociable de parler de différence entre le principe et l'implémentation.

          les citoyens auraient la même relation qu'avec le fisc ou la préfecture du coi

          J'ai la même relation : aucun choix individuel de prestataire dans tous les cas, la forme de l'entité c'est surtout du cosmétique en pratique.

          Ça en fait un organisme puissant et distant de ses clients.

          Ben ça l'est, pour l'assurance santé obligatoire de base je n'ai pas mon individualité ni mon employeur.
          Pour l'assurance obligatoire santé complémentaire c'est mon employeur qui a son individualité (contre celle des employés, grrr)

          Un jour on simplifiera le bousin avec une seule assurance obligatoire de base avec un choix d'entités choisissable par l'employé offrant cette prestation et en option une complémentaire qui aurait son nom comme il faut (complémentaire… Donc pas obligatoire, enfin dans le genre parce qu'en pratique on ne voit pas la différence avec la base).

          Bref, quelle usine à gaz ce truc français…
          (ceci dit, ce n'est pas non plus que la, entre "base" et "complémentaire" en plus de différence salarié/indé/blabla pour la retraite qui n'a de différence que pour avoir plus de petits chefs…)

          et la relation est la même que celle qu'on peut avoir avec son assureur habitation ou automobile (d'ailleurs c'est obligatoire aussi, seulement pour celles-là, on a le choix de l'assureur).

          La différence est que si je ne suis pas content de la prestation je peux me barrer. Pas avec la sécu/CPAM. Donc non la relation n'est pas du tout la même : je n'ai pas le droit du tout de me fâcher avec elle.

          PS : je critique qu'on m'impose un gestionnaire, mais perso je dois reconnaître que cette entité a toujours fait son taf comme il faut.

          • [^] # Re: Mutuelle

            Posté par  . Évalué à 8.

            C'est un peu la bizarrerie du système français, à cheval entre le modèle bismarckien (dont il hérite la complexité administrative) et le modèle beveridgien dont il hérite l'acteur "unique" imposé.

            Je mets volontairement unique entre parenthèses car l'acteur n'a rien d'unique en pratique. Il y a une myriade de caisses de sécurité sociale, chacune avec ses règles propres de fonctionnement, et comme la caisse est imposée par le domaine d'activité, c'est vite le bordel. Ma compagne a mis plus d'un an à repasser sur le régime général du fait des lenteurs administratives de la mutuelle des agriculteurs, et je me bats en ce moment avec la sécu militaire. Ces caisses sont souvent justifiées par une meilleure connaissance des problématiques de la population couverte, mais en réalité, la justification est qu'elles préexistaient à la création du régime général et que personne n'a jamais pris le temps d'organiser une fusion propre, ajouté au fait qu'une bonne partie de ces caisses couvrent des populations moins malades que la moyenne et proposent donc des cotisations plus basses, permettant à leurs adhérents de s'affranchir de la solidarité qui prévalait à la création de la sécurité sociale (qui, elle, n'indice pas vos cotisations sur votre risque mais uniquement sur vos moyens).

            Un exemple éclatant du caractère bismarckien de la France est celui des chômeurs. Dans le modèle bismarckien, on est couvert grâce à son travail, et un chômeur n'a droit à rien. En théorie, ce n'est pas un problème, puisque dans l'après-guerre, on pensait rapidement revenir au plein-emploi. Sauf qu'avec l'apparition de chômeurs longue durée, c'est devenu un problème car ils étaient moins couverts et plus malades que la moyenne. On a donc ajouté une rustine sous la forme de la CMU. Et puis, situation par situation, on a ajouté de plus en plus de rustines jusqu'à ce que plus personne n'y comprenne rien.

            Au final, on arrive à une situation où tout le monde est couvert d'une manière ou d'une autre, mais pas de la même manière, ce qui ajoute une étape nécessaire de complexité administrative dans les établissements de santé pour s'assurer que vous êtes couvert (ce qui est toujours le cas. La question, c'est comment), , où les prélèvements obligatoires s'apparentent à un impôt déguisé dont le montant varie sur des bases qui, dans n'importe quel autre contexte, feraient hurler le conseil constitutionnel au nom de l'égalité devant l'impôt, et où des entreprises privées bien moins efficaces que la sécurité sociale assurent le différentiel entre le coût remboursé par l'assurance maladie et le coût réel des soins. On hérite de 77 ans de rustines et d'adaptations ponctuelles là où le système complet aurait besoin d'un refactoring complet. Il nous faudrait un système beaucoup plus simple, universel, financé par les impôts (qui pourraient augmenter en contrepartie de la suppression d'une grande partie des prélèvements obligatoires)) et, de ce fait, bien plus égalitaire. Il y a fort à parier qu'on y gagnerait beaucoup, tant en frais de gestion qu'en couverture des plus précaires (qui, bien souvent, ignorent leurs droits et ne se soignent pas du tout pour cette raison). Un vrai système beveridgien en somme.

            Ça, ce sont les sources. Le mouton que tu veux est dedans.

          • [^] # Re: Mutuelle

            Posté par  (site web personnel) . Évalué à 1.

            Le jour où j'aurai le choix de mon prestataire de sécu (comme par exemple en Allemagne, qui pour une fois fait les choses largement plus intelligemment, tu as le choix de l'entité qui fait en même temps base obligatoire et complémentaire optionnelle avec les mêmes règles pour le paiement; qu'on se rassure, ils ont merdé ailleurs en permettant du "privé" qui ne respectent pas ces règles. Et sur quoi se battent les différentes entités si elles ne peuvent jouer sur le prix? Sur la qualité de prestation!), je changerai et ferai la différence entre la sécu couverture obligatoire et la sécu entité à laquelle je me suis inscrite.

            Je suis tout aussi critique que toi sur le fait de ne pas avoir le choix. Je rêve d'avoir le choix entre la CPAM et d'autres assureurs. Et je ne vois pas le problème que ça poserait, du moment que la couverture est règlementée (obligation de couvrir au moins ceci et cela à tel taux ou plafond de remboursement), ainsi et que l'éligibilité et la tarification différenciée : concrètement, interdiction de refuser les vieux et les cancéreux et de leur faire payer plus cher parce que ce n'est pas un choix, mais permission de faire payer plus cher les fumeurs, et moins cher les gens qui font trois heures d'exercice par semaine, vélotaf inclus.

            • [^] # HS

              Posté par  (site web personnel) . Évalué à 3. Dernière modification le 07 décembre 2022 à 14:50.

              mais permission de faire payer plus cher les fumeurs

              Du moment où ils ont la permission de ne moins payer la cotisation retraite (espérance de vie moindre) et de ne pas payer les taxes déjà actuelles sur les cigarettes (pas payer 2x la même chose), ok, ils vont applaudir les fumeurs de ne payer que ce qu'ils coûtent comme tu le souhaites!

              Tu commences à faire une sélection subjective, pas sûr que tu en sortes gagnant (les taxes actuelles rapportant plus que ce que ça coûte en soins pour les fumeurs, et les accidentés vélotafs sont actuellement acceptés sans surcoût mais si tu veux des différences je militerai pour que toi tu payes un max suivant l'usage vélotaf que je jugerai pour toi comme plus dangereux que train, X ou Y tout aussi subjectif que toi). C'est surtout démagogique pour te croire mieux que d'autres, pas factuel.

              PS : perso si on va dans cette direction je serai plus sur faire sur-cotiser les non-vaccinés de tout poil (vous avez fait vos rappels adultes?) car un choix très individuel et calcul de risque qui fait que ça coûte plus (et c'est ce qu'on fait des assurances US) sans apporter assez ailleurs (risque de survivre après réa, pas d'autres taxes déjà en cours), mais la ça risque de troller :).

              • [^] # Re: HS

                Posté par  (site web personnel) . Évalué à 4.

                Du moment où ils ont la permission de ne moins payer la cotisation retraite (espérance de vie moindre) et de ne pas payer les taxes déjà actuelles sur les cigarettes (pas payer 2x la même chose), ok, ils vont applaudir les fumeurs de ne payer que ce qu'ils coûtent comme tu le souhaites!

                Il y a plusieurs choses là-dedans. Les taxes ont deux rôles :

                • financer le coût des soins pour les fumeurs : avec une possibilité de tarifier différemment l'assurance santé, ça devrait effectivement disparaître ;
                • financer le coût des soins aux victimes de tabagisme passif : ça doit rester ;
                • dissuader le tabagisme, notamment à cause des nuisances qu'il représente : ça doit rester aussi.

                et les accidentés vélotafs sont actuellement acceptés sans surcoût mais si tu veux des différences je militerai pour que toi tu payes un max suivant l'usage vélotaf que je jugerai pour toi comme plus dangereux que train, X ou Y tout aussi subjectif que toi

                Ça n'a rien de subjectif, ça a été étudié, et surprise, le vélotaf est dangereux, mais ne pas en faire l'est encore plus. Les assureurs sont d'accord, ce qui est l'essentiel, dans cette discussion.

                https://www.matmut.fr/assurance/nvei/conseils/velo-travail-bonnes-raisons
                https://www.ors-idf.org/nos-travaux/publications/les-benefices-et-les-risques-de-la-pratique-du-velo/

                C'est surtout démagogique pour te croire mieux que d'autres, pas factuel.

                Non, pas du tout, c'est une question de justice. C'est comme les assurances emprunteur par exemple : non fumeur, ça coûte moins cher que fumeur, c'est juste normal. Et ça ne pénalise que ceux qui le veulent bien.

                PS : perso si on va dans cette direction je serai plus sur faire sur-cotiser les non-vaccinés de tout poil (vous avez fait vos rappels adultes?) car un choix très individuel et calcul de risque qui fait que ça coûte plus (et c'est ce qu'on fait des assurances US) sans apporter assez ailleurs (risque de survivre après réa, pas d'autres taxes déjà en cours), mais la ça risque de troller :).

                Pas forcément moduler ainsi les cotisations, simplement permettre de le faire. Pour la vaccination, c'est pertinent aussi en effet. Beaucoup plus pertinent qu'une obligation plus ou moins forte en fait, puisqu'il s'agit de répercuter directement le coût statistique d'un choix personnel sur le budget de celui qui le fait. Pour responsabiliser les gens, on ne peut pas faire mieux je pense. Tant qu'il s'agit simplement de critères qui relèvent du choix des gens, aucun problème.

              • [^] # Re: HS

                Posté par  (site web personnel) . Évalué à 3.

                En fait, en matière d'assurance, et d'assurance de quoi que ce soit en fait, je pense qu'il serait possible d'autoriser la modulation de cotisation en fonction de n'importe quoi qui relève du choix de l'assuré, à condition que le traitement des informations correspondantes soit légal évidemment. L'âge et l'état de santé par exemple, ne relèvent pas du tout du choix.

                Mais le tabagisme, le nombre d'infractions routières ou encore le nombre de soirées passées au cinéma chaque mois, relèvent du choix. Le dernier exemple n'a rien de pertinent, mais inutile d'interdire la modulation d'un tarif en fonction de cela : lorsque ce n'est pas pertinent, c'est inintéressant à appliquer, parce que cela ne correspond pas au risque assuré, que ça attirera juste une clientèle spécifique et que la remise correspondante s'avérera coûteuse pour l'assureur.

            • [^] # Re: Mutuelle

              Posté par  . Évalué à 3.

              C'est peu ou prou le système suisse.
              Ça s'appelle la LAMal. C'est le minimum à fournir, à prix fixe décidé par le gouvernement.
              Derrière il y a une myriade de caisses dans lesquelles tu peux prendre ta LAMal, libre à toi ensuite de prendre des extensions.

              Ça marche. Après, les services fonctionnent quand même bien mieux en Suisse qu'en France de manière générale.
              Ça répond toujours au téléphone, la personne parle ta langue et connaît son métier ou n'hésitera pas à le dire directement et te passer instantanément la bonne personne.
              Ensuite, la personne ne va jamais :
              - insinuer que c'est toi le problème,
              - tenter de te ridiculiser car tu ne connaissais pas la circulaire 4.313 interne au service,
              - essayer d'écourter la discussion,
              - te parler tellement nerveusement que tu n'oses plus parler.

              Du coup, quand t'auras raccroché, généralement ton problème sera fixé. On dirait pas, mais ça prend vachement moins de temps à tout le monde (même à eux). Je me souviens avoir envoyé 5 fois le même courrier à la sécu française. Ou être allé 3 fois aux impôts pour le même problème.

              Bref, un système multi-caisse (qui semble anarchique face à notre pseudo-monolithe) ça marche dans les pays qui tiennent la route sur le service client.

    • [^] # Re: Mutuelle

      Posté par  . Évalué à 2.

      Donc en gros, dans le privé, on peut ne pas payer les cotisation (qui sont dans les charges salariés) de la CPAM si on a une autre assurance santé ? La CPAM n'a pas un monopole ?

      Emacs le fait depuis 30 ans.

    • [^] # Re: Mutuelle

      Posté par  (site web personnel) . Évalué à 3.

      Non. Tu nous parles de ton assurance santé et prévoyance. Une mutuelle, c'est une forme d'entreprise, assez répandue dans le domaine de l'assurance et de la banque, mais ce n'est sans doute pas le cas de la tienne.

      D'où tu sors ce genre de certitude ? Il te parle bien de sa mutuelle, qu'il connaît probablement mieux que toi. Je ne sais pas combien de temps tu as passé à rédiger ton message, mais en moins d'une minute on peut vérifier que le groupe APICIL a un mode de gouvernance paritaire et mutualiste d'après Wikipedia et son propre site web.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.