fix(ci): tests HTR-United remote + bandit B324 SHA-1 cache

Échecs CI sur la branche claude/fix-module-rewiring-MHssX :
``CI / Tests`` (Linux+macOS+Windows, Python 3.11/3.12) + ``CI /
Security scanners``.

## 1. Tests HTR-United remote en CI

Phase 4.4 du chantier post-rewrite avait fait passer le router
``/api/htr-united/catalogue`` de ``from_demo()`` exclusif à
``from_remote(timeout=5)`` avec fallback démo. En local avec
``PICARONES_HTR_UNITED_OFFLINE=1``, ``from_demo()`` est forcé et les
tests passent. En CI sans cette variable, ``from_remote()`` réussit
mais le catalogue distant retourne parfois des entrées avec
``id=""`` (schéma YAML évolutif), ce qui cassait
``test_known_entry_calls_importer`` (422 Pydantic au lieu de 200).

Sprint J (commit 9228764) avait déjà appliqué le fix à
``test_sprint6_web_interface.py::test_import_valid_entry``, mais
``tests/web/routers/test_s4_importers_router.py::test_known_entry_calls_importer``
avait été oublié. Même correctif appliqué : filtre sur entrées
non-vides + skip si catalogue uniquement entrées vides.

## 2. Security scanner — bandit B324 (SHA-1 high severity)

Phase 2.3 du chantier (commit 5e48c0b) avait introduit
``hashlib.sha1`` dans ``_engine_config_for_fingerprint`` pour
identifier un prompt LLM dans le nom du fichier partial — pas une
garantie crypto, juste un cache key court. Bandit (qui ne peut pas
deviner l'intention) signale ça en High severity B324.

Fix : ajout du flag ``usedforsecurity=False`` (Python 3.9+) qui
exprime explicitement l'intention non-crypto et neutralise le faux
positif.

Vérifications locales :
- ``bandit -r picarones/ -ll`` : 0 High, 19 Low (vs 1 High avant).
- Suite sans ``PICARONES_HTR_UNITED_OFFLINE`` : 4686 passed,
14 skipped (vs 1 failed avant).

https://claude.ai/code/session_01ArfZ8kcgv7Cyda7VbJVmpn

picarones/app/services/benchmark_runner.py

@@ -528,8 +528,13 @@ def _engine_config_for_fingerprint(engine: Any) -> dict:
             # Hasher le prompt pour éviter de polluer le nom du fichier
             # partiel avec un prompt multi-lignes (et de fuiter le
             # contenu d'un prompt institutionnel dans un nom de fichier).
+            # SHA-1 utilisé comme identifiant de cache uniquement
+            # (fingerprint partial store, pas une garantie crypto) —
+            # ``usedforsecurity=False`` neutralise le faux positif
+            # bandit B324 et exprime l'intention pour le reviewer.
             cfg["prompt_sha1"] = hashlib.sha1(
                 str(prompt).encode("utf-8"),
+                usedforsecurity=False,
             ).hexdigest()[:12]
         llm = getattr(engine, "llm_adapter", None)
         if llm is not None:

tests/web/routers/test_s4_importers_router.py

@@ -109,9 +109,16 @@ class TestHTRUnitedImport:
             assert "non trouvée" in r.json()["detail"]
 
     def test_known_entry_calls_importer(self, tmp_path: Path) -> None:
-        """Avec un entry_id du catalogue démo, l'endpoint appelle
+        """Avec un entry_id du catalogue, l'endpoint appelle
         ``import_htr_united_corpus``.  On mocke pour éviter le
-        download réel."""
+        download réel.
+
+        Phase 4.4 du chantier post-rewrite : le router utilise
+        désormais ``from_remote()`` avec fallback démo ; en mode
+        remote certaines entrées peuvent avoir un ``id`` vide
+        (schéma YAML distant évolutif).  On filtre pour récupérer
+        un id réellement importable, sinon on skip — un id vide
+        serait rejeté par Pydantic en 422 (sécurité OK)."""
         from fastapi.testclient import TestClient
 
         app = _make_app()
@@ -120,12 +127,18 @@ class TestHTRUnitedImport:
         ) as mock_import:
             mock_import.return_value = {"imported": 3, "output_dir": str(tmp_path)}
 
-            # Récupère un entry_id du catalogue démo.
             with TestClient(app) as client:
                 catalog = client.get("/api/htr-united/catalogue").json()
-                if not catalog["entries"]:
-                    pytest.skip("Catalogue démo vide")
-                entry_id = catalog["entries"][0]["id"]
+                non_empty = [
+                    e for e in catalog.get("entries", []) if e.get("id")
+                ]
+                if not non_empty:
+                    pytest.skip(
+                        "Catalogue HTR-United sans entrée avec id non-vide "
+                        "(probable en CI réseau-restreint, ``from_remote`` "
+                        "fallback démo limite).",
+                    )
+                entry_id = non_empty[0]["id"]
 
                 r = client.post(
                     "/api/htr-united/import",
@@ -135,7 +148,7 @@ class TestHTRUnitedImport:
                         "max_samples": 3,
                     },
                 )
-                assert r.status_code == 200
+                assert r.status_code == 200, r.text
                 assert mock_import.called