Jordi Inglada
07 May 2021

Comment mon banquier veut m'obliger à me faire surveiller par les GAFAM et tuer des ours polaires

tl;dr1 : Le nouvel mécanisme d'authentification des paiements en ligne risque de déclencher des achats massifs de smart-phones dotés des dernières versions d'Android et iOS, et ceci, parce que les banques le veulent bien.

Quand on fait des achats en ligne et qu'on paye par carte bancaire, la sécurité de la transaction est primordiale. Actuellement, après avoir rentré les informations de la carte bancaire sur le site marchand, on reçoit un SMS avec un code que l'on doit ensuite rentrer sur le site de la banque pour finaliser la transaction. Ce système nous protège en cas de vol de la carte, car le malfrat devrait aussi être en possession de notre téléphone portable pour réaliser le paiement. Cependant, ce système n'est pas infaillible, car on peut se faire voler le téléphone et la carte. Il suffit que le téléphone n'ait pas de système de verrouillage fiable pour que le voleur puisse consulter le SMS avec le code nécessaire pour la transaction. Il est aussi possible d'intercepter des SMS si on s'y connaît un peu.

Afin de rendre la procédure plus robuste, à partir du 15 mai, le code reçu par SMS ne suffira plus et il faudra utiliser un mode d'authentification forte. Cela veut dire qu'il faudra une étape supplémentaire dépendant de quelque chose plus difficile à voler.

La plupart des banques vont privilégier l'utilisation de l'application mobile sur smart-phone. Lors de l'installation de l'application, l'utilisateur rentrera un code fourni par la banque qui active le service de paiements. Ensuite, lors d'un achat, il recevra une notification sur l'application qui lui demandera un mot de passe (que seul l'utilisateur connaît et qui est permanent). Puis l'application enverra la validation à la banque pour confirmer la transaction. De cette façon, si la carte et le téléphone sont volés, la transaction ne peut pas être validée sans connaissance du mot de passe. Certaines versions des applications mobiles pourront permettre l'utilisation de biométrie (empreinte digitale, par exemple) à la place du mot de passe.

Cette solution semble très appropriée, mais elle suppose que les utilisateurs disposent d'un smart-phone adapté. On peut se dire que la plupart de clients de services bancaires qui font des achats en ligne sont équipés du téléphone approprié. Cependant, il s'agit d'une hypothèse grossière, car un smart-phone adapté est un dispositif équipé de la bonne version d'Android ou de iOS (les systèmes d'exploitation – OS – de Google et d'Apple respectivement). Que se passe-t'il si vous avez choisi d'être sobre numériquement et que votre appareil a une version un peu trop ancienne le l'OS? Que se passe-t'il si vous avez choisi de ne pas vous soumettre à la surveillance numérique des GAFAM et que vous avez un appareil équipé d'un OS alternatif (et libre, de préférence)?

Je suis dans un de ces cas. Comme tout un chacun, j'ai cherché conseil sur internet et j'ai trouvé ça :

«Que faire si vous ne souhaitez pas télécharger l’application mobile de votre banque ?

Il conviendra de contacter votre conseiller bancaire qui pourra vous renseigner sur les solutions alternatives mises en place par votre banque : achat d’un appareil pour lire un QR Code ou envoi d’un code par SMS doublé d’un code permanent comme celui pour accéder à son compte en ligne par exemple.»

Je me suis donc retourné (virtuellement, évidemment, gestes barrière obligent) vers mon conseiller bancaire (il n'a pas encore été remplacé par un chat-bot) et lui ai posé la question. Il m'a très gentiment répondu que ma banque allait proposer une alternative pour les clients ne disposant pas de smart-phone adapté. Après plusieurs relances de ma part, il est revenu vers moi avec une solution : ma banque me propose d'acheter (à ma charge!) un boîtier dans lequel on insère la carte bancaire et qui génère un code à rentrer sur le site de la banque lors de chaque paiement.

Au premier abord, j'étais plutôt satisfait. Le boîtier ressemble à une GameBoy et ce côté mi-hipster mi-cyberpunk m'a plu. Le coût modique (à ma charge!!) serait acceptable. Mais plus tard, je me suis dit que ça n'allait pas : je garde le même smart-phone depuis des années pour réduire ma pollution numérique, je me rends ridicule en roulant à vélo non électrique pour protéger la biodiversité, j'utilise du shampooing solide pour être économe en emballages plastiques (et je suis chauve!!!). Je ne vais donc pas être complice de la fabrication d'encore un machin électronique qui n'est pas vraiment nécessaire.

Parce que, en fait, il y a d'autres solutions que ce boîtier ou que l'achat d'un nouveau téléphone qui aurait la bonne version de l'OS espion de Google ou d'Apple.

Une première solution est de coupler le code reçu par SMS à un mot de passe seulement connu de l'utilisateur et que l'on rentre sur le site de la banque lors de l'achat2. Mais on pourrait aussi imaginer que la banque fournisse une application installable sur n'importe quel ordiphone. Ça peut sembler fou, mais, si, c'est possible de faire des applications que marchent sur tous les systèmes d'exploitation, sur ordinateur, sur tablette.

Je suis donc revenu vers mon conseiller de la banque pour lui demander confirmation du fait que seulement l'application sur smart-phone et le lecteur GameBoy étaient proposés par son entité.

«Je suis surpris que la seule solution proposée par [le nom de ma banque] soit l'achat d'un dispositif électronique supplémentaire et à la charge du client.

De nombreuses banques proposent aussi l'authentification par mot de passe couplée au code reçu par SMS.

Pouvez-vous me confirmer que [le nom de ma banque] ne propose pas cette solution? Ce serait vraiment dommage, car elle est plus écologique (pas de dispositif électronique supplémentaire) et plus économique.»

C'est là où je me suis dit que j'avais à faire à un chat-bot, parce que sa réponse a été complètement à côté de la plaque :

«Justement, les banques sont dans l'obligation de renforcer la sécurité sur les opérations sensibles, l'envoi de SMS ne suffira plus à partir de fin juin.

D’où la nécessité d'avoir un smartphone ou d'un lecteur»

Il n'a donc pas répondu à la question et m'a donné une argumentation fallacieuse : nécessité de smart-phone ou lecteur de cartes. S'il y a une 3ème option, par définition, les 2 autres ne sont pas nécessaires.

Comme j'avais à faire à un chat-bot, je me suis dit que je pouvais insister sans qu'il se sente harcelé (banker lifes matter, tout de même) :

«Bonjour,

Apparemment, ma question n'était pas claire.

Il y a 3 options proposées par les banques :

  1. une application sur smart-phone qui demande un mot de passe permanent (qui ne change pas à chaque achat) et qui valide la transaction
  2. un lecteur pour la carte qui, après avoir rentré le code de la carte, génère un code à utilisation unique, l'utilisateur rentre ce code sur le site de paiement pour valider la transaction
  3. réception par SMS d'un code à utilisation unique + utilisation d'un mot de passe permanent (que l'utilisateur choisit sur son espace client sur internet, par exemple), les 2 informations sont à rentrer sur le site de paiement pour valider la transaction

J'ai bien compris que [le nom de ma banque] propose les options 1 et 2. Dans mon message précédent, je vous demandais de me confirmer que vous ne proposez pas l'option 3. Vous n'avez pas répondu à cette question.

J'espère que cette fois-ci ma question est claire et que vous pourrez la transmettre au service concerné. Je conçois parfaitement que le sujet de la sécurité informatique ne soit pas de votre ressort.

L'avantage de la 3è option est qu'elle ne nécessite pas de démarche particulière de la part des clients. Je suis persuadé que, à degré de sécurité égal, la satisfaction des clients est sans doute le souci principal de [le nom de ma banque].»

Le dernier paragraphe, était mon test de Turing, car j'avais toujours le doute concernant le chat-bot. La réponse a été claire, ce n'est pas un chat-bot, mais quelqu'un qui se soucie bien peu des clients et qui pourrait donc être facilement remplacé par une IA bon marché :

«Bonjour ,

comme dit précédemment, les deux solutions proposées sont :

Rien d'autre»

Donc, les «solutions» proposées par ma banque (bon, OK, c'est la Caisse d'Épargne) sont, soit l'achat forcé du lecteur GameBoy, soit l'installation d'une application qui demande un smart-phone très récent contrôlé par les GAFAM. Une alternative économe, écologique et non intrusive n'est pas à l'ordre du jour.

On pourrait se dire que le développement logiciel n'est pas le métier d'une banque et donc qu'il est normal qu'ils soient incompétents dans le domaine. Mais en fait, ce serait faux. Les banques ne font que du logiciel, ne vivent que grâce au logiciel. Le monde financier n'est que du logiciel. Et ceux qui développent du logiciel savent qu'il est plus simple de faire un logiciel qui tourne chez soi, dans une infrastructure maîtrisée, plutôt que de faire du logiciel qui tourne chez le client (le smart-phone ici). Donc la raison pour ne pas proposer d'alternative logicielle à l'appli ne peut être qu'un choix délibéré avec des objectifs précis.

Comme le signale 60 millions de consommateurs dans son article récent sur le sujet

«Beaucoup de banques ne communiquent pas sur cette option du code SMS couplé à un mot de passe, et semblent inciter par tous les moyens au téléchargement de leur appli.»

Quel est l'intérêt de nous forcer à utiliser l'application mobile? Nous surveiller? Remplacer complètement les agences? Faire que l'usager s'occupe personnellement de tout gérer au lieu d'embaucher des «conseillers»? Tiens, c'est cohérent avec le remplacement de mon cher conseiller par un chat-bot.

Ou s'agit-t'il simplement de proposer des solutions qui donnent une impression de sécurité (un smart-phone dernier cri, ou un bidule où on insère sa carte pour ceux atteints d'illectronisme) tout en sachant que la plupart d'usagers sont habitués à accepter des technologies qu'ils ne comprennent pas et sur lesquelles ils n'ont aucune prise?

En tout cas, la conséquence de tout ça est l'obsolescence programmée systémique. C'est la même logique qui fait que les anciennes versions de Windows et des OS d'Apple et de Google ne sont plus maintenues, et que les nouvelles versions ne tournent que sur des machines plus puissantes. Et nous en sommes tous complices parce que nous acceptons ça comme si c'était une fatalité.

Et le 16 mai, on changera de smart-phone, parce que grâce aux confinements répétés (et en prévision de ceux à venir), nous avons pris goût aux courses en ligne3 et les ours polaires, ça commence à bien faire.

Merci mon banquier.

Édition du [2021-05-16 Sun]

Quelqu'un d'averti en sécurité informatique m'a expliqué que la solution code SMS + mot de passe permanent est moins sécurisée que la solution basée sur l'application mobile, car le code SMS ne voyage pas par un canal chiffré. Ceci remet en question une des solutions que je demandais à mon banquier. Mais cela remet aussi en question la solution GameBoy, car les boîtiers actuels ne sont pas conformes non plus. En conséquence, la seule solution serait bien une application qui ne soit pas liée à une version particulière d'un OS.

Il est important de noter que les applications mobiles des banques n'ont pas forcément besoin d'accès au réseau mobile. Cette fois-ci, je ne me suis pas limité à lire sur le net et j'ai fait le test. J'ai emprunté un dispositif équipé d'Android 5.04, mais sans carte SIM. J'y ai installé l'application mobile de ma banque, je l'ai configurée pour accéder à mes comptes et ai activé l'option magique pour les paiements méga-sécurisés. Ça a marché. Si je comprends bien, l'application identifie la machine sur laquelle elle est installée et la banque n'acceptera que les validations des paiements issus de cette machine. La même fonctionnalité peut donc être fournie par une application installée sur l'ordinateur sur lequel l'utilisateur fait ses achats en ligne (là on peut supposer que quelqu'un qui fait des achats en ligne a un ordinateur).

Il y a donc bien une solution logicielle qui ne nécessite pas de mettre à la poubelle le matériel actuel. Il suffit un peu de bonne volonté des banques. On peut toujours rêver.

Footnotes:

1

Résumé pour ceux souffrant d'un déficit d'attention dû à la consommation de contenu sur Twitter, Instagram et autres réseaux dits sociaux.

2

Comme précisé dans l'édition du [2021-05-16 Sun] cette solution n'est pas compatible avec la nouvelle réglementation. La seule vraie solution est donc un outil multi-plate-forme (Android, iOS, Linux, Windows, MacOS) et qui ne soit pas lié à une version trop récente de ces OS.

4

Oui, je sais, c'est limite. Mais je me dévoue pour la science et je me suis désinfecté les mains avec du gel hydro-alcoolique à la fin de l'opération.

Tags: fr freesoftware internet banque
Creative Commons License
jordiinglada.net by Jordi Inglada is licensed under a Creative Commons Attribution-ShareAlike 4.0 Unported License. RSS. Feedback: info /at/ jordiinglada.net Mastodon