Depuis peu, les clients de l'établissement ont pu découvrir l'ajout d'une nouvelle étape lors de la finalisation de leurs transactions. Dorénavant, dans le processus de paiement d'un achat à distance, après avoir saisi les informations habituelles de leur carte bancaire (numéro, mois d'expiration, code CVV), il leur est demandé de fournir leur identifant de connexion à la banque en ligne (à 12 chiffres, tout de même !) pour pouvoir (enfin) obtenir sur le téléphone le code 3D Secure permettant de valider l'opération.
L'idée même d'un tel dispositif paraît terriblement contre-productive. En premier lieu, il est évident que le besoin de rechercher un identifiant supplémentaire, en plus des données de la carte, va avoir deux effets directs : des abandons de panier ou des reports sur un autre moyen de paiement (donc une perte nette d'activité pour le Crédit Mutuel) et le développement de comportements à risque avec les codes d'accès à la banque en ligne (plus il vont être requis, plus les consommateurs vont être tentés de les noter, de manière à les avoir à portée de la main).
D'un point de vue opérationnel, le résultat pour la banque ne peut être que négatif. Et l'impact sur son image n'ira pas dans un sens plus favorable, la gêne occasionnée étant certainement plus sensible que le gain de sécurité perçu, surtout au vu du déficit d'information sur la mise en place du nouveau système. En contrepartie, les bénéfices sont discutables : le code additionnel demandé à l'utilisateur est exposé à une partie des attaques menaçant déjà les données de la carte ou du téléphone utilisé pour 3D Secure.
Par ailleurs, la démarche prend un tour déloyal quand le Crédit Mutuel met en avant un prétexte réglementaire – accompagné d'un léger rejet de responsabilité vers le marchand – dans un message d'aide, afin de justifier sa décision : « Suite à la mise en place d'une nouvelle réglementation (…) votre site commerçant nous demande de vous authentifier » (pour être honnête, il s'agit là du texte d'information historique associé à la procédure d'authentification 3D Secure, qui prend ici un relief particulier) !
La banque voudrait dégoûter les consommateurs d'utiliser leur carte sur internet qu'elle ne s'y prendrait pas autrement. Alors, il est facile d'imaginer qu'elle veut ainsi promouvoir sa solution de carte virtuelle, PayWebCard. Hélas, cette dernière est tout aussi catastrophique pour la fluidité de l'expérience, puisqu'elle demande une authentification (avec les identifiants de banque à distance plus un code spécifique), le choix de la carte et la saisie du montant souhaité. Avant même de passer au paiement proprement dit !
La croissance exponentielle de la fraude à la carte et des vols de données serait-elle en train de déclencher un mouvement de panique dans les banques ? Quelles que soient les circonstances, la réponse du Crédit Mutuel est certainement la pire qui soit face à une augmentation des risques. En effet, à l'ère numérique, les consommateurs peuvent être prompts à changer de fournisseur si le service qui leur est offert n'est pas au niveau de leurs attentes, notamment en termes d'expérience utilisateur…
Information partagée par L. Penou (merci !)