J'ai souvent raconté sur ce blog que je fais énormément d'achats en
ligne — et les différentes sortes
de first world
problems que je rencontre. Il y a une chose qui m'a toujours
donné confiance, c'est que je fais mes achats avec des numéros de
carte bancaire à usage unique : quand je veux acheter quelque chose
sur un site marchand, genre www.bigfatdildos.tld
ou www.enhanceyourpenis.gov (sites de vente de matériel
informatique que je consulte souvent), je ne donne jamais le
vrai numéro de ma carte bancaire au site en question ; à la place, je
me connecte à un site de ma banque (enfin, techniquement, géré par
le GIE Cartes Bancaires) au moyen
d'identifiants spécifiques, j'indique combien je veux payer, ce site
me génère un numéro de carte bancaire (avec date d'expiration
et code de
sécurité) valable uniquement pour ce montant et pour un unique
commerçant, et c'est ce numéro que je communique au site marchand. Ce
système e-carte bleue
est rassurant parce que cela limite mes
pertes : même si le site marchand est une pure escroquerie, au
pire, je perds l'argent de la commande et je ne reçois pas ce que
j'ai commandé, ce qui, vu le profil typique de mes commandes
(nombreuses mais de faible valeur), ne sera pas un désastre. Le site
ne peut pas prélever plus que ce que j'ai autorisé, et mon vrai numéro
de carte bancaire n'est ni communiqué en ligne ni stocké chez le
marchand.
Avantage supplémentaire, ce système permet de donner un numéro à usage unique à des sites qui proposent des abonnements à tacite reconduction (ce qui devrait être illégal, soit dit en passant) où la désinscription est compliquée : ils ne pourront pas prélever plus qu'une fois, et devront bien annuler le service.
Et il y a très peu d'inconvénients. C'est un tout petit peu plus
long, et certains sites sont pénibles parce qu'ils tiennent à
mémoriser les numéros de carte qui, du coup, s'accumulent ; parfois il
y a le problème que le montant final à payer, compte tenu des frais de
port, n'est donné qu'après que le numéro de carte bancaire a été
saisi : pour ça, je génère un numéro complètement pipo qui n'a que la
somme de contrôle de bon, et je reviens en arrière une fois que je
connais le montant correct. Les sites Web les plus embêtants sont
ceux qui utilisent PayPal, parce que PayPal (en lequel j'ai exactement
zéro confiance, peut-être encore moins
que www.bigfatdildos.tld) veut absolument que je me
connecte avec mon « compte PayPal », et ils limitent le nombre de
cartes bancaires qui peuvent être « liées » à ce compte : je dois donc
faire l'exercie fastidieux de dé-lier un numéro de carte déjà périmé
avant d'entamer un nouveau paiement. Il y a aussi le cas particulier
des sites comme Voyages SNCF, ou certains hôtels, qui ne
livrent rien mais demanderont la carte bancaire physique utilisée pour
le paiement : dans ce cas, il ne faut évidemment pas utiliser un
numéro jetable — là, ma solution est de faire faire ce genre d'achats
par mon poussinet qui a toute une panoplie de cartes bancaires, et qui
par ailleurs travaille chez Capitaine
Train Trainline
donc il ne va évidemment pas utiliser Voyages SNCF.
Bref, je suis très content de ce système, ou plutôt, je l'étais, parce que je viens d'apprendre avec effarement que LCL y met un terme. Comme d'habitude avec les banques, il n'y a aucune information précise, le message d'annonce est aussi vague qu'une promesse de Donald Trump :
LCL arrête le service e-Carte Bleue à partir du 31 décembre 2016 et travaille sur d'autres solutions pour renforcer la sécurité des paiements sur Internet.
Que va-t-il se passer à partir du 01 janvier 2017 ?
Pour vos paiements sur Internet, vous pouvez utiliser directement les données de votre carte bancaire après avoir pris connaissance des règles de prudence disponibles dans la fiche sécurité de votre carte sur www.LCL.fr
Ceci ne dit absolument rien. Quand on m'écrit vous
pouvez utiliser directement les données de votre carte bancaire
,
moi je comprends ça comme vous pouvez aller vous faire voir, nous
fermons le service et nous ne proposons rien à la place
, et
les autres solutions
sont une pure promesse en l'air.
(Accessoirement, je n'ai même pas réussi à trouver la fiche
sécurité
à laquelle il est fait référence : la personne qui a
rédigé ce message n'était apparemment pas au courant que
le HTML permet de faire un lien vers une page précise
pour éviter de devoir naviguer à la recherche de la page en question à
partir d'un titre approximatif.) J'ai écrit pour demander des
précisions, mais je n'ai pour l'instant pas obtenu de réponse.
Ajout : à peu près le même
message se
trouve ici, avec un lien un peu plus précis sur la fiche
sécurité
; il reste néanmoins qu'elle ne dit que des banalités et
absolument rien d'utile sur ce qui se passera à partir de 2017.
Alors bien sûr, il existe d'autres solutions que les numéros de carte bancaire à usage unique : le plus populaire, par exemple, consiste à ce que chaque achat par numéro de carte donne lieu à l'envoi d'un SMS au numéro du client (préenregistré par la banque), SMS qui demande de confirmer l'achat, ou bien qui fournit un code à quatre chiffres qui doit être saisi sur le site Visa / 3-D Secure. J'ai aussi entendu parler d'un projet bizarre où le code de sécurité au dos de la carte serait dynamique (il y aurait un petit écran LC qui affiche un numéro qui change régulièrement), mais je n'ai pas de détails et je ne comprends pas comment ça peut fonctionner. Toutes ces solutions, cependant, sont inférieures en tout point à celle des numéros à usage unique, car elles passent par la communication du vrai numéro de carte bancaire.
Le problème principal est que, même si les sites marchands sécurisés se répandent (qui vont passer, donc, par l'envoi d'un SMS ou une solution du genre évoqué ci-dessus), les paiements par numéro de carte seule restent possibles. Aucune banque ne permet — à ma connaissance — de refuser systématiquement tout paiement qui n'aurait pas été authentifié par un mécanisme sûr. Il y a donc un danger réel pour le client si son numéro de carte bancaire fuite sur Internet. Même si, en principe, il est facile pour le client de contester un paiement ainsi effectué de manière non sécurisée avec le seul numéro de carte bancaire et sans aucun mécanisme de protection supplémentaire, et d'obtenir un remboursement en cas de fraude, cela représente néanmoins un risque, au moins du désagrément de devoir faire la démarche de contestation ou de se retrouver avec un compte vidé au mauvais moment ; et au pire qu'elle n'aboutisse pas si on remarque la fraude trop tard ou si la banque est mal lunée. Et du coup, si la seule manière de payer impose de fournir le (vrai) numéro de carte bancaire, même s'il y a un code de vérification après, on s'expose à ce que ce numéro soit volé au passage et qu'il puisse resservir lors d'un paiement non sécurisé, qui sera pénible et fastidieux à contester. Aucune solution de paiement qui utilise le vrai numéro de carte bancaire n'est donc raisonnablement sécurisée, sauf si la banque fournit aussi (or comme je l'ai dit ce n'est jamais le cas) un moyen de refuser tout paiement passant par le seul numéro.
Souvent, par le passé, quand j'ai évoqué ces problèmes et ma
satisfaction de la solution « e-carte bleue », on m'a répondu ceci :
c'est une solution qui protège, en fait, la banque, car c'est la
banque qui est tenue de rembourser tout paiement frauduleux, donc ça
ne devrait pas être le problème du client. Voilà bien une réponse
complètement déconnectée de la réalité : quiconque a déjà affronté les
emmerdements consistant à obtenir un remboursement de la part de sa
banque sur un achat frauduleux le
sait[#]. Pour ceux qui
persistent à croire que ce n'est pas un problème, je propose
l'exercice suivant : pour la modique somme de 0€ je vous adresserai
mes plus vives félicitations ; si cet achat vous intéresse,
postez votre numéro de carte bancaire, avec date d'expiration et code
de sécurité, sur un site public comme Reddit ou 4chan, et envoyez-moi
un lien vers le post, et je vous adresserai mes plus vives
félicitations dans les plus brefs délais. Si vous avez vraiment
confiance en la possibilité de contester un paiement frauduleux, ceci
devrait le prouver. Si vous n'êtes pas prêts à le faire, vous
comprenez maintenant pourquoi je n'ai pas envie de fournir mon vrai
numéro de carte bancaire (même s'il y a un SMS derrière)
à un site marchand de réputation aussi douteuse
que www.enhanceyourpenis.gov ou PayPal.
Bref, je ne comprends décidément pas pourquoi les banques imaginent des solutions tordues et qui fonctionnent mal alors que le système des numéros à usage unique est simple, efficace, et largement plus sûr que tout le reste.
Toujours est-il que je suis pris complètement au dépourvu par la terminaison de ce service, et maintenant il faut que je me mette en quête, au plus vite, d'une banque chez laquelle ouvrir un nouveau compte. Mon poussinet m'apprend que Fortuneo fournit un service équivalent de cartes bancaires à usage unique, et qu'ils ne prennent pas de frais. Mais si je choisis cette solution, il reste l'emmerdement à faire la démarche pour ouvrir le compte, à avoir une carte bancaire supplémentaire à transporter (et un code secret supplémentaire à mémoriser), un compte supplémentaire à gérer dans ma comptabilité et à alimenter, bref des tracas dont je me passerais bien. Et l'anecdote racontée dans la note qui suit ne me prédispose pas à faire confiance à cette banque.
[#] À titre d'exemple, je peux raconter l'anecdote suivante. Quand mon poussinet et moi sommes allés à New York il y a deux ans, une des transactions par carte qu'il a faites (très exactement, le , dans ce Deli's, au croisement de Broadway et de la 52e rue, que je déconseille donc vivement) a été fraudée par le commerçant. Ce dernier a ajouté un « tip » que mon poussinet ne voulait pas lui verser (au motif qu'il n'y a pas à verser un pourboire s'il n'y a pas de service à table — c'était un repas à emporter). Mon poussinet avait bien sûr l'exemplaire client du ticket, sur lequel il était clair qu'il n'avait pas mis de tip : la fraude était donc manifeste, et prouvable. Qui plus est, elle rentre parfaitement dans une des cases prévues par le réseau gérant la carte (MasterCard). Mais mon poussinet n'a jamais pu obtenir de Fortuneo (la banque émettrice) que la fraude soit corrigée ou dénoncée au réseau : chaque mail qu'il envoyait était apparemment traité par une personne différente, qui n'avait apparemment aucune mémoire des échanges précédents, et on lui a fait quantités de réponses fausses, absurdes ou contradictoires (par exemple, on a essayé de lui dire qu'il s'agissait de frais de change, ce qui est faux ; on lui a fait remplir un formulaire qui a ensuite disparu dans la nature ; on lui a prétendu qu'on ne « pouvait rien faire » ; etc.). Finalement, il a renoncé à se battre pour le principe, parce que la somme était vraiment dérisoire (quelques dollars). Mais cela donne une idée de combien cette banque prend au sérieux la défense de ses clients face à la fraude.
PS : Personnellement, si je devais inventer un système de paiement, ça ressemblerait beaucoup au système des cartes bancaires à usage unique : on se connecterait sur le site de la banque avec des identifiants personnels, on demanderait à payer une certaine somme et on remplirait quelques cases supplémentaires pour des questions comme comme accepte-t-on que le paiement soit renouvelé (avec avec quelle fréquence maximale), accepte-t-on que le montant soit partagé par plusieurs tireurs, combien de temps veut-on qu'il reste valable, etc. ; pour un gros montant, il y aurait une authentification en plusieurs étapes (au minimum, l'envoi d'un SMS) ; la banque fournirait alors un numéro unique de 256 bits qui permet le prélèvement de la somme autorisée sur le compte, et on communiquerait ce numéro au marchand. Ceci marcherait aussi entre particuliers (si je veux donner de l'argent à un copain, j'irais sur le site de ma banque, j'obtiendrais un tel numéro que je transmettrais à mon copain, par exemple par QR-code, il l'entrerait sur le site de sa banque avec le montant à transférer, au maximum celui que j'ai autorisé, et le virement aurait lieu). Ceci remplacerait à la fois l'usage des cartes bancaires en ligne, et aussi des virements par numéro de compte, qui sont une calamité au niveau sécurité (avec SEPA, n'importe qui peut tirer sur n'importe quel compte en Europe avec juste le numéro de compte, et c'est au fraudé de s'en rendre compte et de protester — c'est quand même d'une stupidité affolante). C'est quand même dire beaucoup du niveau de compétence du système bancaire que, en cinq minutes et sans réfléchir j'arrive à concevoir un système beaucoup plus sûr, beaucoup plus simple et beaucoup plus efficace que tout ce qui existe actuellement !