C'est pas mon idée !

vendredi 19 septembre 2014

Quand Rabobank perd de vue l'expérience client

Rabobank
Face à la hausse de la fraude en ligne, les banques sont constamment à la recherche de nouvelles solutions pour protéger les comptes de leurs clients. Mais, en parallèle, ces derniers deviennent aussi extrêmement exigeants quant à la qualité de leur expérience. Un « détail » que Rabobank semble avoir oublié avec son « Rabo Scanner »…

Jusqu'à maintenant, la banque néerlandaise mettait déjà en œuvre un dispositif de sécurité à deux facteurs, baptisé « Random Reader », consistant en un petit appareil (au format calculette) avec lequel l'utilisateur des services mobiles ou en ligne génère un code secret à usage unique pour confirmer son identification ou valider ses transactions. D'ici à fin 2015, les plus de 5 millions de lecteurs en circulation (tous les clients sont équipés) seront remplacés par le nouveau modèle, présenté comme plus sûr.

En effet, le « Rabo Scanner » dispose d'une caméra qui lui permet de capturer le code à barres 2D (en couleur) qui accompagnera désormais les contrôles de sécurité. Celui-ci sert non seulement à générer un mot de passe à usage unique, comme avec le modèle précédent, mais également à vérifier les détails de la transaction, décodés et affichés sur l'écran du lecteur, évitant ainsi les attaques de type « man in the middle » dans lesquelles du code malicieux manipule les données transmises aux serveurs de la banque sans que l'utilisateur ne se rende compte des changements opérés.

Démonstration de « Rabo Scanner »

Le niveau de sécurité de l'ensemble est incontestablement renforcé. Hélas, il suffit de dérouler le mode opératoire pas à pas pour comprendre que la solution est vouée à l'échec. Prenons l'exemple d'une authentification sur le site de banque en ligne ou dans l'application mobile :
  • Saisie de l'identifiant et du mot de passe ;
  • Introduction de la carte bancaire dans le « Rabo Scanner » ;
  • Composition du code PIN de la carte sur le clavier du lecteur ;
  • Scan du code 2D affiché à l'écran du PC ou du mobile ;
  • Retranscription du mot de passe généré par le lecteur sur le PC ou le mobile ;
  • Validation de la saisie.
Seule différence, lors de la confirmation d'un virement, la numérisation du code 2D provoque aussi l'affichage des caractéristiques de l'opération, pour contrôle.

Imaginer que les consommateurs acceptent de porter en permanence sur eux le lecteur de sécurité pour utiliser les services de banque mobile est déjà très ambitieux ; croire qu'ils sont prêts à passer par une procédure d'identification aussi complexe (quoi qu'en dise Rabobank, qui la considère « simple ») à chaque accès à leur compte (jusqu'à 10 fois par jour !), tient de l'aveuglement. Et quand on pense au coût de déploiement du système (les 5 millions d'appareils, les évolutions sur le site et les applications, l'assistance utilisateur…), l'initiative n'a décidément aucun sens.

Dans le monde numérique moderne, les consommateurs attendent que les services qui leurs sont offerts soient disponibles instantanément, d'un seul geste, comme ils en ont l'habitude avec les applications d'Apple, de Google, de Facebook… Bien entendu, une telle exigence rend plus difficile la sécurisation indispensable dans un contexte bancaire, mais elle ne peut (malheureusement ?) pas être ignorée pour autant, sous peine de voir l'insatisfaction et, probablement, les taux de défection exploser…

Aucun commentaire:

Publier un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)