Nous sommes en 2013, l’internet est désormais un moyen de communication évident pour la quasi totalité des gens, une économie entière repose dessus et de plus en plus de services de la vie réelle prennent vie grâce à ça. Si l’on ajoute que les appareils mobiles ont massivement été adoptés par le public, que ce soit les smartphones ou autres tablettes, difficile d’ignorer le numérique de nos jours.
Pour autant, il existe un secteur qui semble traîner des pieds et faire le minimum dans le domaine, celui des banques. Pire encore, alors que les éléments que nous allons manipuler avec leurs services en ligne sont plus que sensibles, la sécurité est, il faut le dire, risible !
Je précise toutefois, cet article est bien évidement basé sur mon expérience personnelle, étant client LCL et BNP Paribas, j’évoquerais principalement ces deux établissements, mais une bonne partie des critiques pourraient être reportés sur d’autres.
Un smartphone ? Une tablette ? C’est quoi ?
Je commence par ce qui me semble être la première aberration. Alors que toutes les banques ou presque nous vendent des forfaits mobiles et tout un tas de services connectés dans leurs publicités, difficile d’y croire dans notre quotidien.
La qualité des applications est ainsi bien souvent à des années lumières de la moindre chose utilisable. Ma pire expérience étant tout de même la myriade d’applications créées BNP Paribas, tant sur Android qu’iOS. Car plutôt que de faire une seule application regroupant bien les choses, ils ont dédié d’en sortir tout un tas qui font chacune une petite partie de ce qu’on peut attendre… Jugez plutôt, sur le Google Play Store, on trouve pas moins de 12 applications éditées par BNP Paribas ! Pire, ils ont même été obligé de créer une application qui liste toutes les autres… Je ne reviendrais même pas sur l’inutilité de la chose…
Premier effet pervers de la chose, au lieu d’avoir une application unique BNP Paribas, simple à trouver et reconnaître, on se retrouve dans le menu Android avec différentes applications aux noms aussi peu pratiques que « Mon solde », « Mes comptes » ou « Mon coffre »… Imaginez si toutes les banques faisaient ainsi, seul l’icône vous permettrait de savoir de quelle banque il s’agit… Deuxième effet pervers, si jamais vous avez besoin d’un des services qui était proposé par une des applications non installée, il va falloir le faire avant toute chose… Ainsi pour le simple fait de chercher l’agence la plus proche de vous, impensable de le faire depuis l’application de gestion des comptes, il faut y penser en amont… Vous parlez d’un pratique !
Mais passons, si ces applications étaient bien réalisées… Cela ne poserait aucun soucis. Seulement voilà, c’est loin d’être le cas. Ainsi les applications BNP Paribas sont toutes réalisées par les pires équipes de développement qui soit, en étant massivement basées sur des pages HTML affichées dans une vue web. J’en veut pour preuve l’identification qui me demande de RETENIR le code secret de mon compte… Le résultat est malheureusement assez attendu, c’est d’une lenteur abominable, et le résultat est très éloigné des codes d’interfaces du système et l’ergonomie est désastreuse (lire : Interfaces et applications en HTML, comble de l’hérésie ?). Tout ceci laisse de sérieux doutes quant à la sécurité de telles applications, là ou sur un navigateur classique tout se fait via une connexion sécurisée en HTTPS, il me semble plus que probable que cela ne soit pas le cas ici.
Côté LCL, ce n’est pas franchement plus brillant. Bon point tout de même, ils ont eu l’intelligence de ne produire qu’une seule application, ouf ! La réalisation semble même un tantinet plus aboutie quand on regarde rapidement la chose… Cependant ce n’est toujours pas ça ! On retrouve là encore une application de toute évidence réalisée en HTML. Ainsi l’affichage de la carte des agences les plus proches n’utilise clairement pas le composant Google Maps d’Android (ou alors très mal), et se trouve du coup être d’une lenteur incroyable. Sur Paris, le nombre d’agences affichées est tel qu’il est impossible ou presque de s’y retrouver… Détail amusant, l’application propose même un bouton d’actualisation de la liste des agences… A se demander à quoi sert la connexion internet…
Le reste n’est pas des plus brillant, même si c’est tout de même un peu mieux que chez BNP Paribas, la lenteur associée à une interface hors du temps et non adaptée à nos appareils rends l’usage de ces applications très pénible. Le LCL se garde toutefois de mémoriser mon code d’accès, grand merci, mais en oublie par la même d’utiliser le célèbre clavier « virtuel » à la mode, j’en parlerais plus loin, la sécurité, ou plutôt son absence, vous en remercie vivement !
Alors, bien évidement, soit je n’ai clairement pas de chances avec mon choix de banque, soit il y a un réel souci. D’autres semblent toutefois s’en sortir avec les honneurs, Société Générale, Caisse d’Epargne, CIC ou Crédit Mutuel semblent proposer des applications correctes si on s’en fie aux avis utilisateurs. Mais d’autres ne sont pas aussi respectueuses de leurs clients, Fortuneo, Banque Populaire ou Carrefour Banque semblent être dans le même bateau que mes deux exemples.
Mais si certaines s’en sortent honorablement sur smartphone, il faut croire que les établissements n’ont pas jugé bon de prendre en compte le format tablette… Sur Android tout du moins. Ainsi, en dehors de la Caisse d’Epargne, aucune semble n’avoir créé une version adaptée ! Et quand ont voit les avis de cette dernière, on se dit finalement que c’est peut être pas plus mal… La BNP a elle aussi tenté l’expérience, seulement l’application refuse tout simplement de se lancer sur ma Nexus 7, elle plante avant même d’afficher le moindre écran… Déplorable !
Et la sécurité dans tout ça ?
Si on met de côté les considérations des applications mal faites, il reste un dernier problème majeur. Celui de la sécurité.
Alors bien évidement, l’ensemble des sites bancaires utilisent tous une connexion sécurité en HTTPS, le minimum vital. Mais il reste toutefois un maillon plus que faible dans l’accès à vos données sur ces sites : le code d’accès.
On nous dis depuis des années qu’un mot de passe sécurisé ne doit absolument pas contenir que des chiffres, qu’il doit être composé de lettres minuscules, majuscules, de caractères annexes tels que des # ou des ! et qu’il doit être d’au minimum 8 caractères… Bref un mot de passe complexe, long et sécurisé (lire : Sécurité : Une méthode simple pour créer des mots de passes complexes). Et pourtant, à quoi ressemble le code que vous utilisez pour accéder à vos données d’argent ?
Hé oui, aussi incroyable que cela puisse paraître, le site qui offre l’accès à ce que vous avez de plus important en valeur, votre propre argent, ne le protège que derrière un petit code, composé de 6 chiffres… Vous me direz, il reste l’identifiant à trouver ! Effectivement, sauf que là encore, bien des banques n’utilisent finalement que votre numéro de compte pour cela, une donnée relativement facile à récupérer…
La plus grosse blague reste toutefois le fameux clavier « virtuel », une grille de boutons sous forme d’image qui sont censés éviter de pouvoir être interceptés par un keylogger (application malveillante installé sur votre ordinateur qui enregistre vos saisies au clavier). Sauf que bien évidement, ce système n’a rien de plus fiable. Non seulement un bon logger saura sans aucun problème faire des captures d’écrans et récupérer la position de la souris, mais le code va forcément écrire dans une zone de saisie « classique » et donc être envoyé en clair par l’envoi du formulaire. Bref, une donnée très facile à intercepter finalement pour quelqu’un qui s’y connait un minimum.
Alors, bien évidement, mon but n’est pas d’alarmer les gens étant donné qu’il reste encore relativement complexe de réunir aisément toutes les informations, mais le risque est bel et bien là, et je m’étonne encore de voir à quel point les banques semblent ne pas prendre la chose sérieusement. Les sites comme Paypal offrent par exemple une bien meilleure sécurité finalement, un comble !
J’espère vraiment que la chose évoluera à l’avenir, on peut ainsi aisément imaginer un système similaire au « 3D Secure » qui est de plus en plus utilisé pour les paiement par cartes bancaires qui nécessite de saisir un code reçu par SMS au moment de la transaction. Un système similaire serait très facile à mettre en place pour sécuriser l’authentification à votre compte. C’est d’ailleurs un système que Google propose sur tout ses comptes (validation en deux étapes) et qui a déjà prouvé sa robustesse.