Toute fière de l'accord obtenu de la part CNIL pour la mise en œuvre d'un dispositif biométrique dans ses solutions de paiement en ligne, la Banque Postale présentait [PDF] LBPPay la semaine dernière. Hélas, comme il arrive trop souvent avec les initiatives en matière de sécurité, l'expérience client semble avoir été totalement oubliée.
Naturellement, la préoccupation des banques vis-à-vis de la protection des moyens de paiements de leurs clients est légitime. Tandis que plusieurs d'entre elles (à commencer par les Banques Populaires et les Caisses d'Épargne) ont lancé des expérimentations avec des cartes à code de validation (« CVV ») dynamique (qui ne me paraissent pas entièrement convaincantes), la Banque Postale reprend, en quelque sorte, la même idée, mais en lui appliquant une couche d'authentification vocale supplémentaire.
Récapitulons donc d'abord le fonctionnement de LBPPay. Une fois l'inscription au service terminée, qui aura pour effet de désactiver le code de sécurité inscrit sur la carte en plastique, le client est invité à installer une extension sur son navigateur web. Grâce à celle-ci, au moment de régler un achat en ligne, l'internaute va déclencher une séquence d'authentification. Concrètement, il reçoit un appel téléphonique et doit prononcer une phrase de contrôle. Si son identité est confirmée, un CVV à usage unique est généré et les informations nécessaires à la transaction sont remplies automatiquement.
Comme le cryptogramme de la carte – désormais indispensable sur la plupart des sites de e-commerce – a été rendu inopérant lors de l'initialisation du système, un mode « dégradé » sera également prévu dans le cas d'une transaction à effectuer sur un autre appareil que le micro-ordinateur où le greffon LBPPay est installé : l'application « Mes Paiements » de la Banque Postale sera en mesure de générer le précieux sésame – sans authentification vocale, toutefois, la sécurité étant assurée là par un code PIN.
À l'instar de tous les dispositifs à base de CVV dynamique, le principal avantage de LBPPay est d'être immédiatement compatible avec toutes les pages de paiement existantes. Dans cette logique, la biométrie n'est finalement qu'un argument secondaire, même s'il peut être perçu comme un facteur de sécurité additionnel. Autre avantage que ne manque pas de souligner la communication de la banque, son extension pour navigateur évite à l'utilisateur d'avoir à saisir les coordonnées de sa carte de paiement.
Naturellement, la préoccupation des banques vis-à-vis de la protection des moyens de paiements de leurs clients est légitime. Tandis que plusieurs d'entre elles (à commencer par les Banques Populaires et les Caisses d'Épargne) ont lancé des expérimentations avec des cartes à code de validation (« CVV ») dynamique (qui ne me paraissent pas entièrement convaincantes), la Banque Postale reprend, en quelque sorte, la même idée, mais en lui appliquant une couche d'authentification vocale supplémentaire.
Récapitulons donc d'abord le fonctionnement de LBPPay. Une fois l'inscription au service terminée, qui aura pour effet de désactiver le code de sécurité inscrit sur la carte en plastique, le client est invité à installer une extension sur son navigateur web. Grâce à celle-ci, au moment de régler un achat en ligne, l'internaute va déclencher une séquence d'authentification. Concrètement, il reçoit un appel téléphonique et doit prononcer une phrase de contrôle. Si son identité est confirmée, un CVV à usage unique est généré et les informations nécessaires à la transaction sont remplies automatiquement.
Comme le cryptogramme de la carte – désormais indispensable sur la plupart des sites de e-commerce – a été rendu inopérant lors de l'initialisation du système, un mode « dégradé » sera également prévu dans le cas d'une transaction à effectuer sur un autre appareil que le micro-ordinateur où le greffon LBPPay est installé : l'application « Mes Paiements » de la Banque Postale sera en mesure de générer le précieux sésame – sans authentification vocale, toutefois, la sécurité étant assurée là par un code PIN.
À l'instar de tous les dispositifs à base de CVV dynamique, le principal avantage de LBPPay est d'être immédiatement compatible avec toutes les pages de paiement existantes. Dans cette logique, la biométrie n'est finalement qu'un argument secondaire, même s'il peut être perçu comme un facteur de sécurité additionnel. Autre avantage que ne manque pas de souligner la communication de la banque, son extension pour navigateur évite à l'utilisateur d'avoir à saisir les coordonnées de sa carte de paiement.
Pour le reste, ce ne sont malheureusement que défauts et inconvénients, qu'il faut bien aborder. En premier lieu, le principe du greffon web, justement, semble totalement anachronique, à une ère où les éditeurs cherchent à en décourager l'utilisation, qui plus est pour des raisons de sécurité ! Non seulement ces modules représentent-ils une menace sérieuse par les failles logicielles qu'ils sont susceptibles d'introduire mais, après plus de 10 ans de tentatives en tout genre, il faudrait enfin admettre que les internautes ne sont pas enclins à adopter ce genre de solutions pour leurs paiements en ligne.
Attardons-nous ensuite un instant sur le parcours client : à l'arrivée sur une page de paiement, il faut d'abord activer l'authentification vocale, attendre un appel téléphonique, prendre celui-ci, écouter la phrase de challenge puis répéter celle-ci. Enfin, si LBPPay a correctement reconnu le formulaire web sur le site visité, celui-ci est rempli, prêt à valider. Certes, le nombre d'informations à saisir est limité, mais peut-on sérieusement considérer que cette expérience est fluide et plus rapide que les méthodes habituelles ?
Dernière critique à formuler, qui constitue une lacune d'une majorité de nouvelles options de sécurité, celle-ci n'est pas adaptée à un usage sur mobile, ce qui devient problématique quand le m-commerce tend à prendre de plus en plus d'importance. Il est toujours possible d'arguer que le système est techniquement compatible avec le smartphone mais, à partir du moment où l'authentification (forte) est réalisée sur le même appareil que celui où se déroule la transaction, c'est une faille qui s'ouvre…
D'innombrables initiatives ont montré que les consommateurs – aussi inquiets pour la sécurité de leur argent soient-ils – sont rarement prêts à consentir à adopter une expérience de paiement (en ligne ou en boutique) qui dérange leurs habitudes sans être considérablement simplifiée. Il est tout de même étonnant qu'après (environ) 18 mois d'expérimentation de son système « Tap to Pay », la Banque Postale n'ait pas réalisé que ses clients risquent de ne pas y trouver le progrès qu'elle essaie de leur promettre…
Ou serais-je injustement pessimiste et les mentalités auraient-elles évolué ? À suivre…
Attardons-nous ensuite un instant sur le parcours client : à l'arrivée sur une page de paiement, il faut d'abord activer l'authentification vocale, attendre un appel téléphonique, prendre celui-ci, écouter la phrase de challenge puis répéter celle-ci. Enfin, si LBPPay a correctement reconnu le formulaire web sur le site visité, celui-ci est rempli, prêt à valider. Certes, le nombre d'informations à saisir est limité, mais peut-on sérieusement considérer que cette expérience est fluide et plus rapide que les méthodes habituelles ?
Dernière critique à formuler, qui constitue une lacune d'une majorité de nouvelles options de sécurité, celle-ci n'est pas adaptée à un usage sur mobile, ce qui devient problématique quand le m-commerce tend à prendre de plus en plus d'importance. Il est toujours possible d'arguer que le système est techniquement compatible avec le smartphone mais, à partir du moment où l'authentification (forte) est réalisée sur le même appareil que celui où se déroule la transaction, c'est une faille qui s'ouvre…
D'innombrables initiatives ont montré que les consommateurs – aussi inquiets pour la sécurité de leur argent soient-ils – sont rarement prêts à consentir à adopter une expérience de paiement (en ligne ou en boutique) qui dérange leurs habitudes sans être considérablement simplifiée. Il est tout de même étonnant qu'après (environ) 18 mois d'expérimentation de son système « Tap to Pay », la Banque Postale n'ait pas réalisé que ses clients risquent de ne pas y trouver le progrès qu'elle essaie de leur promettre…
Ou serais-je injustement pessimiste et les mentalités auraient-elles évolué ? À suivre…
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)