Dans certaines banques, à l’image du Crédit Agricole et de sa banque en ligne BforBank, ou de la Caisse d’Epargne, il est nécessaire d’attendre plusieurs jours avant de pouvoir virer de l’argent en ligne à un nouveau bénéficiaire. En cause, un protocole de sécurisation aujourd'hui désuet mais que les établissements bancaires vont remplacer progressivement par un système d'authentification renforcée.

Après plusieurs rappels d’Aurélia, vous vous apprêtez finalement à vous connecter à votre espace bancaire en ligne afin de lui rembourser les 15,50 euros que vous lui devez depuis près de deux mois. Malheureusement, votre amie devra attendra encore un peu, votre banque vous demandant, une fois son IBAN ajouté, d’attendre plusieurs jours avant de pouvoir lui envoyer de l’argent.

Si vous avez récemment vécu cette situation, c’est que vous êtes client d’un établissement bancaire qui n’a pas encore revu son processus d’authentification. C’est le cas notamment du groupe Crédit Agricole (les caisses locales, leur banque en ligne BforBank et LCL) ou encore de la Caisse d’Epargne. Ces derniers imposent en effet entre 48 heures et 72 heures d’attente avant d’effectuer un virement à un nouveau destinataire.

Une mesure de sécurité pour éviter la fraude

La raison invoquée ? « Ce délai a été mis en place afin de lutter contre les fraudes », expliquent les responsables de Crédit Agricole Payment Services (CAPS), filiale de la banque verte dédiée aux paiements. « Les fraudeurs sont de plus en plus organisés et ingénieux. Ils tentent de se substituer à votre identité numérique pour se connecter à votre espace bancaire afin, entre autres, d’ajouter des IBAN frauduleux », poursuivent-ils. Pour limiter ce risque, le Crédit Agricole, comme la Caisse d’Epargne, font donc patienter leurs clients. Les banques espèrent ainsi décourager les personnes malveillantes, ces derniers devant se connecter au moins à deux reprises pour commettre leur larcin.

« Le délai de 48h permet également aux utilisateurs de se rendre compte d’un problème et de le signaler », explique en outre CAPS. En effet, une fois le délai écoulé, certains établissements bancaires préviennent par email leurs clients qu’ils peuvent enclencher un virement. S'ils n'ont pas enregistré un nouveau bénéficiaire, ils peuvent en déduire que leur compte a été piraté.

A lire également notre test des virements bancaires dans les banques en ligne

Un protocole voué à disparaître

A l'âge du temps réel, les clients ont de plus en plus de mal à comprendre ces rigidités. Les établissements bancaires en sont conscients et planchent sur de nouveaux procédés pour authentifier leurs clients. Leur problématique : être sûr que la personne qui se connecte à l’espace utilisateur, en ligne ou via l’application, et y réalise une opération (un virement, un achat en ligne…) est bien le titulaire du compte. Certaines banques se sont déjà adaptées.

Ainsi, au Crédit Mutuel Arkéa, si le client enrôle son smartphone ou sa tablette, il n’a pas besoin d’attendre 48 heures après avoir ajouté un nouvel IBAN. « Nous proposons depuis 2 ans cette solution à nos clients », explique Jean Luc Dubois, directeur des flux du groupe Arkéa. « Ajouter son téléphone est une démarche personnelle. Pour cette phase d’enrôlement, après en avoir fait la demande, le client reçoit actuellement un courrier papier avec un QRcode, qu’il flashe avec son smartphone , mais pourra le faire directement très prochainement au moyen de sa carte bancaire ». En cas de perte ou de vol, il peut le désynchroniser instantanément dans son espace client. S’il souhaite ensuite envoyer de l’argent vers un nouveau compte, il doit à nouveau patienter 48 heures. Sans nous révéler la part de clients ayant enrôlé leur téléphone, Jean Luc Dubois assure que le procédé séduit de plus en plus.

Triple authentification

Les clients du Crédit Agricole, eux non plus, n’auront bientôt plus besoin de s’y prendre à deux fois avant d’initier un virement. A la fin de l’été, la banque verte va déployer un nouveau système d’identification forte, basé en partie sur la biométrie, dans les 39 caisses du groupe.

Baptisé SCAD, pour « Service centralisé d’authentification dynamique », ce protocole va permettre une triple authentification du client. Une première par la mémoire : il devra entrer une donnée que lui seul est censé connaître (un mot de passe ou un code chiffré par exemple). Une seconde basée sur la reconnaissance du matériel utilisé : comme chez Arkéa, l’utilisateur devra enregistrer en amont ses appareils (smartphone, ordinateur ou tablette). Une troisième s’appuyant sur l’empreinte digitale du client à apposer sur le détecteur de son mobile. « Aujourd’hui, nous avons choisi d’utiliser l’empreinte digitale. Mais nous étudions également la biométrie faciale. Et en septembre, nous lancerons une expérimentation sur la biométrie veineuse », détaille ainsi CAPS. Conséquence directe : « Le délai de 48h devrait être supprimé dans la mesure où nous saurons que le propriétaire du compte est bien derrière l’opération. »