Je rebondis sur un billet de l'excellent blog Signal, où l'auteur se plaint des procédures « de sécurité » bizarres d'un site marchand qu'il fréquente, et qui lui demande d'envoyer par courrier une photocopie de sa carte bleue pour valider un paiement par Internet. Il m'arrive une mésaventure assez similaire, sauf qu'elle ne se restreint pas à un site, et ça me chagrine fortement.
Je dispose d'une carte Visa, qui me permet notamment de régler mes achats dans les magasins que je visite, mais aussi théoriquement d'effectuer des paiements par Internet sur des sites de commerce électronique. En général, ça marche, mais depuis peu les sites qui se targuent d'être “Verified by Visa” me sont fermés. Parce que le site demande à ma banque si ma carte est bien valide, et que ma banque répond que non. Il fut un temps où la banque disait tout le temps que oui, puis la « sécurité » a été « renforcée », et son approbation est devenue conditionnée à ma capacité à répondre correctement à une question. Jusque-là, ça allait, c'était juste désolant parce que ça n'augmentait en rien la sécurité du système (la réponse à la question était facile à trouver pour tout pirate en herbe). Mais maintenant, la banque a pris une mesure énergique, et elle a décidé de n'accepter la transaction qu'après… une vérification par téléphone. Donc il faut, petit 1, que j'enregistre un numéro de téléphone chez eux, petit 2, que je reçoive sur ce téléphone un code de sécurité pour chaque transaction.
Je reprends : pour faire un paiement par Internet, j'ai maintenant besoin d'être joignable par téléphone. L'Internet… ne suffit plus.
Pour prévenir les procès d'intention : je ne râle pas uniquement parce que je n'ai pas envie de laisser traîner mon numéro de téléphone n'importe où (même si ça joue aussi). Je râle parce que je trouve débile d'imposer une restriction arbitraire et irréaliste sur une opération aussi courante en 2009 qu'un paiement sur un site marchand. Procédure de sécurité, OK, pourquoi pas, mais rien ne dit que je suis chez moi prêt à recevoir un appel. Rien ne dit non plus que j'ai un téléphone mobile, et même si j'en avais un, il y a encore en France des zones non couvertes par un réseau GSM, et où l'Internet est accessible quand même. Alors que si je suis en train de faire un paiement par Internet, où que je sois, j'ai forcément accès à Internet. Donc pourquoi ne pas me faire parvenir ce code de sécurité par ce biais ? Dans un e-mail, par exemple, ou sur le site sécurisé de gestion de mes comptes ? Ou pourquoi ne pas utiliser un système de codes préétablis, un peu comme les protections des jeux vidéo des années 80, genre quel est le troisième mot de la cinquième ligne de la page 18 d'un document qui n'a été communiqué qu'à moi ? Ou carrément un véritable dispositif sécurisé (genre un token RSA), comme ça se fait partout où les gens ont besoin de sécurité informatique et pas de farce ?
Bon, vous me connaissez, je râle facilement, donc j'ai contacté ma banque pour obtenir des précisions. J'ai pas été déçu du résultat. Ma question (après un exposé de ce que je viens de vous relater) : « et comment font les gens qui n'ont pas de téléphone sous la main ? » Première réponse : « oui, c'est pour augmenter la sécurité, donnez-moi votre numéro et je l'enregistre ». Non, merci, je veux justement m'en passer, parce que je ne suis pas forcément joignable par téléphone, répondez à la question siouplaît. Deuxième réponse, donc : « c'est une mesure imposée par Visa, et c'est tout ». Mes super-pouvoirs de geek (et des potes en qui j'ai tout lieu d'avoir confiance) me disent que c'est un gros mensonge, et que ce système est spécifique à ma banque. OK, je fais quoi maintenant ?
Maintenant, je cherche des alternatives, parce que les procédures « de sécurité » qui bloquent l'utilisation de ce qu'on cherche à sécuriser, ça ne correspond pas à l'idée communément admise de la sécurité des systèmes d'information, qui inclut, ne l'oublions pas, la confidentialité des données, leur intégrité, le contrôle d'accès, et la disponibilité du service. Si le service n'est plus disponible… la sécurité n'est pas là. Donc je suis preneur de toute information concernant des banques dont les informaticiens prennent en compte les contraintes des clients avant de développer des systèmes qui ne marchent pas. Par e-mail, ou sur carte postale, au choix.
Je note en passant que le système de carte bleue virtuelle (qui crée un numéro de carte à usage unique, et qui est censé pallier ce défaut) ne constitue pas une solution, parce que les gens qui ont mis en œuvre ce système pour ma banque n'ont pas jugé utile de m'autoriser à m'en servir, moi qui ai le mauvais goût de n'avoir ni Windows ni Mac OSX.
Quand j'étais étudiant (notamment en informatique), on ne parlait de l'informatique bancaire qu'à mi-voix, et avec l'immense respect dû aux gens qui font des systèmes quasi-invulnérables, avec des taux de disponibilité de 99,999 %, etc. Dans la vraie vie : le site de gestion de mes comptes est, parmi ceux que je fréquente, le deuxième site le plus fréquemment en carafe (celui de la SNCF est intouchable), je ne peux plus faire de paiements par Internet, je ne peux plus non plus faire de virements par Internet (il faut que je passe d'abord au guichet)… Je sais bien qu'on ne voit que les problèmes et pas le reste du temps quand tout fonctionne, mais quand même. Force est de constater que le mythe en a pris un sacré coup, et la tendance ne me semble pas en voie de renversement. Hélas.
