Comme si les menaces de hameçonnage (entre autres techniques de fraude à distance) et les risques d'intrusion dans les systèmes des banques ne suffisaient pas à mettre en danger l'argent déposé dans les institutions financières par les particuliers et les entreprises, il s'avère que le vol de téléphone expose également leur propriétaire à des pertes, dans lesquelles des choix malheureux (et consternants) de conception, d'architecture et d'implémentation du logiciel jouent souvent un rôle majeur.
Bien entendu, la première défaillance est celle de l'individu qui ne surveille pas suffisamment son appareil et qui saisit son code de déverrouillage sans prendre garde à la personne qui l'observe par-dessus son épaule. Mais une fois le précieux objet dérobé et le malfaiteur entré dans l'outil de la banque, les protections qui devraient en principe permettre de limiter les dégâts, dont, en priorité, les transferts de fonds délictueux, se révèlent totalement inopérantes, comme si elles étaient conçues pour un autre univers.
Les exemples les plus flagrants cités par Which? comprennent des procédures de réinitialisation de mot de passe ou d'ajout de bénéficiaire de virement dont la validation s'effectue par la fourniture du numéro de carte de paiement – bien évidemment accessible dans l'application elle-même – et/ou par l'intermédiaire d'un code de sécurité envoyé par SMS et/ou par courriel – que celui qui s'est emparé du téléphone n'a assurément aucune difficulté à récupérer. Et passons sur les alertes aussi envoyées par SMS !
Dans les banques coupables de ces manquements et qui, pourtant, se prétendent fréquemment « mobiles d'abord » (ou « mobile first », en anglais), les équipes en charge de la lutte contre la fraude semblent bloquées sur les mécanismes imaginés initialement pour les services sur le web, donnant l'impression qu'elles n'ont pas pris conscience de l'existence – et encore moins de la prédominance, aujourd'hui – des applications pour smartphone. Hélas, les criminels savent parfaitement exploiter leur négligence.
Comme je le répète depuis des années (et la prolifération des mots de passe à usage unique par SMS), le recours à des moyens de contrôle utilisant le même canal que celui du système protégé est tellement aberrant que les responsables de ces bévues devraient être sévèrement sanctionnés. Qu'il existe encore de tels cas en 2023, quand la majorité des clients des banques interagissent avec celles-ci via leur téléphone, particulièrement vulnérable aux vols, justifierait d'en faire l'objet d'une réglementation spécifique.