Yu Blogue

Nos dernières réflexions

05
Juil 2006

Sécurité de sites bancaires: quelle limite est acceptable pour les utilisateurs?

La sécurité bancaire en ligne est de plus en plus nécessaire, vu la quantité d’arnaques envoyées par courriel par de prétendues banques ces jours-ci. Je ne connais personne qui s’opposerait à des mesures de sécurité accrues pour protéger son argent mais je crois qu’on commence vraiment à atteindre la limite du supportable en ce qui concerne l’expérience utilisateur qui vise à s’identifier pour accéder à ses données bancaires.

Prenons, à titre d’exemple, le site Web de la plus grande banque privée au Brésil Bradesco (www.bradesco.com.br), une des quatre premières banques au monde à mettre à disposition de sa clientèle un site transactionnel en 1995. Je vous invite à passer à travers le processus d’identification du site en question et à partager avec moi le calvaire par lequel j’ai du passer durant des années, lorsque j’habitais encore au Brésil, pour accéder à mes données personnelles.

1. Page d’accueil : ici il faut saisir le numéro de succursale et le numéro du compte.

 

2. Une fenêtre pop-up s’ouvre et on a trois champs à remplir : 

2.1 le statut (titulaire, conjoint, etc.). On le saisit à partir d’un menu déroulant, pas très compliqué.

2.2 le mot de passe à quatre chiffres et/ou lettres. Ici ça commence à être difficile. On ne peut pas taper les caractères, il faut les saisir à partir d’un clavier virtuel qui change la disposition des touches à chaque visite (!). Lors de l’implantation de ce clavier il y a quelques années on nous a recommandé de changer aussi le contraste du clavier avant de l’utiliser.

 

2.3 Une phrase secrète d’au moins 22 caractères. Essayez de trouver une phrase longue comme ça, qui soit en même temps facile à se rappeler, facile à taper, sécuritaire et vous allez comprendre le niveau de difficulté associé à cette étape.
3. Si tout va bien jusqu’ici il faut passer par une dernière étape, qui vient d’être implémentée. Tout dépendant de notre statut comme client un des deux écrans suivants sont affichés : 

Pour les clients privilégiés, on demande d’entrer six chiffres. Cette fois-ci il ne s’agit pas d’un autre mot de passe mais d’un chiffre généré à partir d’un dispositif électronique.



L’écran



Le dispositif

Pour les clients moins privilégiés, on demande d’entrer trois chiffres qui doivent être trouvés dans une position spécifique dans une carte unique qui possède une matrice de caractères. 

 

L’écran

 

La carte

4. Finalement, si on a réussi ce marathon de mots de passe, phrases secrètes, chiffres, etc., on est dans notre compte et on peut commencer à exécuter la tâche pour laquelle on est venu sur le site (si on se la rappelle encore…) 

Ouf… je trouve très difficile pour un utilisateur non-expert d’arriver à entrer dans le site et de réussir à réaliser une tâche. La grande majorité des transactions demande à nouveau un mot de passe pour confirmer l’action. Tout ça exige beaucoup de patience et bonne volonté.

Or, comment expliquer que des produits tellement difficiles à utiliser soient capables de présenter une croissance de 49,7% en 2005 par rapport au nombre d’utilisateurs en 2004? Selon la Fédération Brésilienne des Banques (Febraban), l’année dernière, 16,5% de toutes les transactions bancaires réalisées au Brésil ont été faites via le Web.

Du point de vue de l’utilisateur, plusieurs affirmations pourraient expliquer cette croissance :

1) « C’est difficile, mais j’ai appris comment procéder! »
Après toutes les difficultés de la première visite, on s’habitue au processus et on ne se demande plus quoi faire. Ce qui peut laisser penser que la fidélité envers un procédé est directement proportionnelle à l’investissement d’apprentissage nécessaire à acquérir ce nouveau procédé. Plus tu investis de temps et d’énergie pour apprendre quelque chose, fut-il imparfait, plus tu y tiens !

2) « C’est long sur le Web mais c’est beaucoup moins long qu’à la banque! »
Les lignes d’attente sont de plus en plus longues et difficiles à supporter, sans compter le temps de déplacement.

3) « C’est dur, mais c’est moins cher! »
Les transactions en ligne coûtent moins cher via le Web qu’à la banque. Les banques renoncent à quelques frais standard afin de motiver leurs clients à utiliser leurs sites Web.

4) « Ça vaut le coût parce que ça vise à protéger mon argent. »
Ces sont des mesures de sécurité et les utilisateurs sont prêts à les accepter.

5) « Je n’ai pas le choix, toutes les banques offrent un système semblable. »
Les formats varient mais l’expérience est à peu près la même partout au Brésil.

6) « C’est compliqué de m’authentifier donc je l’utilise moins souvent, mais je l’utilise quand même. »
Le comportement en ligne reprend le comportement du monde physique : les clients concentrent leurs transactions et vont à la banque une seule fois par mois. Le nombre des visites au site diminue mais le nombre de clients augmente.

Quoiqu’il en soit, je crois qu’on atteint là un sommet en ce qui concerne le nombre d’étapes pour une authentification dans un système sécurisé. On ne peut pas ajouter des mesures de sécurité qui touchent l’expérience utilisateur infiniment et considérer que les affirmations ci-dessus seront toujours valides.

Il faut commencer à penser à des solutions qui chargent moins les clients et plus les systèmes informatiques.

Les mots clés ne sont pas définis.

0 Commentaire(s)

Laisser un commentaire