Heureux utilisateur d'une carte bancaire qui me permet, parmi mille merveilles, de commander un livre un jour et de le recevoir le lendemain, je sais que cette facilité se double d'un risque certain d'arnaque ou de vol.

(Notez que je ne voudrais pas avoir l'air de stigmatiser la carte bancaire et que cette phrase aurait aussi pu être : Heureux utilisateur de l'argent liquide qui me permet de donner un rectangle de papier contre l'assurance de pouvoir sortir un livre du magasin sans être coursé par le vigile, je sais que cette facilité se double d'un risque certain de perte ou de vol. Seulement, ce n'est pas le sujet.)

La sécurité des paiements par carte a plutôt tendance à aller en s'améliorant. Ceux qui font des achats en ligne se rappellent sans doute leur perplexité la première fois qu'on leur a demandé leur code de vérification (alias numéro CVV, ou les trois derniers chiffres au dos de la carte).

Étant abonné au service de gestion de mon compte en ligne, il m'a un jour été proposé d'activer un nouveau dispositif de sécurité : la carte de clés personnelle. Il s'agit d'un tableau de codes reçu par courrier postal : les lignes et les colonnes sont numérotées et chaque case contient un code à quatre chiffres. Lors de la plupart des paiements en ligne, j'ai le droit de répondre à deux questions : Quel est votre identifiant de banque en ligne ? (un numéro à 13 chiffres construit à partir de mon numéro de compte) puis Quel est le code en case A3 ? (ou B7 ou ce que vous voulez).

Très bien. Je range cette carte à un endroit séparé de ma carte de paiement, ainsi le risque est faible que je me fasse voler les deux en même temps. Quant à l'identifiant, il est dans ma tête (et peut être déduit de mon chéquier mais ça commence à devenir sacrément compliqué pour le voleur potentiel).

On m'informe aujourd'hui qu'en plus de tout ça, un nouveau dispositif va être mis en place prochainement : lors de certaines opérations bancaires en ligne, un code me sera envoyé par SMS, que je devrai alors recopier avant qu'il ne devienne invalide au bout de « quelques minutes. »

Je suis ravi que des gens se penchent sur la sécurité des opérations bancaires (même si ça profite plus aux assurances qu'aux utilisateurs) mais là, ça commence à faire, comment dire, un peu lourd.

La recette

Pour faire un achat en ligne, il vous faut :

  • un ordinateur connecté au net
  • un téléphone portable chargé et en zone de réception
  • une carte de paiement
  • une carte de clés personnelle
  • un identifiant de banque en ligne à 13 chiffres
  1. Mettez de l'eau à bouillir. Sur le formulaire de paiement, renseignez à l'aide de la carte de paiement :
    • votre numéro de carte : XXXXXXXXXXXXXXXX
    • la date d'expiration : XX/XX
    • le code de vérification : XXX
    • et votre nom, évidemment
  2. Touillez un peu, cliquez, laissez colorer. Sortez votre carte de clés personnelle.
    • entrez votre identifiant de banque à distance : XXXXXXXXXXXXX
    • référez-vous à votre carte de clés pour trouver le code ; versez délicatement : XXXX
  3. Laissez mijoter à feu doux pendant que le téléphone reçoit son code de vérification.
    • à réception du code, incorporez-le : XXXX[1] (attention, ce code s'oxyde en quelques minutes, il faut l'utiliser très frais)
  4. Dressez, servez.

En résumé, les chiffres à taper : XXXXXXXXXXXXXXXX XX XX XXX XXXXXXXXXXXXX XXXX XXXX

Soit quarante-quatre (en supposant que le code de confirmation soit à quatre chiffres), provenant de quatre sources différentes et à entrer sur trois ou quatre pages différentes.

Il est à noter qu'aucun des trois vols dont j'ai été victime à travers ma carte bancaire n'aurait été empêché par cet empilement de systèmes.

Notes

[1] J'ignore le nombre réel de chiffres.