Quand l'australienne Westpac introduit un nouveau mécanisme de protection contre les fraudes au virement, elle reprend une méthode adoptée de longue date par l'industrie britannique (entre autres). Cependant, en choisissant une implémentation légèrement différente de la norme, elle a peut-être trouvé un moyen d'en renforcer l'efficacité.
À la base, le principe est tellement trivial que les établissements qui ne le mettent pas en œuvre devraient être sanctionnés. Considérant qu'une des arnaques les plus courantes consiste pour un escroc à convaincre, sous divers prétextes, sa victime de remplacer un compte bénéficiaire par le sien, une vérification avant tout transfert de la concordance entre le nom officiel de son titulaire (potentiellement falsifié) et celui (légitime) fourni par le client permet de déjouer une grande partie des tentatives de malversation.
Tel est exactement le système que vient donc d'instaurer Westpac, qui l'accompagne en outre d'un petit enrichissement, pour les cas où le destinataire d'un virement est préalablement inconnu de la banque (en estimant qu'une majorité d'attaques exploitent des comptes créés récemment, pour la circonstance). Mais la véritable spécificité de la démarche réside dans la procédure d'alerte déployée lorsqu'un risque est identifié.
Ainsi, au lieu de signaler la suspicion au cœur du parcours de l'usager, en lui demandant de confirmer immédiatement la validité de l'opération en cours, comme le font les adeptes existants de ce genre de dispositif, Westpac retient une approche asynchrone : la requête de contrôle est transmise par SMS, tandis que l'exécution du transfert est suspendue pendant 4 heures, laissant le temps de changer d'avis si nécessaire.
Naturellement, c'est une friction supplémentaire qui affecte l'expérience du client, mais comme elle n'intervient que s'il y a doute, elle ne devrait pas s'avérer trop gênante. En revanche, la rupture insérée entre la détection et la notification présente plusieurs avantages significatifs. En effet, si le recours à un canal distinct constitue une première mesure (minimale) de précaution, le (petit) décalage temporel ajouté entre les événements représente probablement le facteur de sécurisation le plus important.
Il peut éviter à la personne visée, d'une part, d'être manipulée en continu par le malfaiteur dans toutes étapes de la transaction, y compris au passage sur les avertissements émis en temps réel par la banque (avec des justifications faciles à imaginer… et à croire quand la pression est forte), et, d'autre part, de succomber au syndrome du « clic automatique », quand, à la longue, l'internaute accepte les sollicitations de confirmation sans plus vraiment prêter attention aux messages qui lui sont soumis.
Les ajustements apportés par Westpac à une technique éprouvée paraîtront largement anecdotiques. Pourtant, au vu de la croissance exponentielle des menaces (l'institution indique qu'un record de pertes a été enregistré par ses clients en décembre, correspondant à une multiplication par deux en un an), il est absolument indispensable de mettre toutes les chances du côté des stratégies de défense. Et ceux qui se reposent sur leurs lauriers seront rapidement rattrapés par la réalité de l'agilité des fraudeurs.