Mr Jérémy

Il y a quelques années j’ai quitté La Banque Postale. La cause ? Une appli et un site horrible, aucun service associé, des tonnes de formulaires à remplir en bureau de Poste pour un simple changement d’adresse, etc…

J’y suis revenu il y un an et demi via LBPCS (La Banque Postal chez Soi), leur offre 100% en ligne. Et cela non sans regret : elle ne cesse de proposer de nouveaux services (paiement mobile sur Android, nouvelles applis et sites), tout en sachant qu’elle est souvent désignée comme une des “banques traditionnelles” la moins chère de France 

Parmis ces nouveaux services, on en retrouve un unique en France, lancé au début de l’été dernier après plus de 4 ans de Recherche & Développement : l’authentification vocale pour le paiement à distance. Comment ça marche, est-ce que c’est fiable, est-ce que c’est pratique ? Je l’utilise depuis plus de 6 mois, je vais donc essayer de répondre à ces questions !

Comment ça marche ?

TalkToPay est une option payante à souscrire via son espace client en ligne : 5€ pour les moins de 25 ans, 10€ pour les autres. Une fois l’option souscrite, on reçoit un courrier avec un code à entrer sur son espace client, si le code est ok alors on reçoit un appel et l’on doit répéter plusieurs fois la phrase “Bonjour, {prénom nom}, je m’authentifie par ma voix”.

Une fois tout activé, le CVV (Card Validation Value : le cryptogramme à 3 chiffres derrière la CB) devient totalement inactif. Impossible de l’utiliser pour les prochains paiements : il faudra systématiquement passer par TalkyToPay pour le générer. Vous recevrez alors un appel, et si l’authentification est validé, vous pourrez obtenir votre cryptogramme.

Pas tout compris ? C’est normal j’ai fait la version rapide : car mieux qu’un long discours, ci-contre la vidéo promo de la banque qui explique le fonctionnement. 

Et c’est vraiment fiable ?

Biensûr je me suis amusé a essayé de tester de transformer un peu ma voix pour essayer de payer, mais rien n’y fait : le paiement est systématiquement refusé !

Et même pire que ça : depuis que j’ai changé de téléphone, ma reconnaissance vocale est même souvent refusé à tort et je dois répéter plusieurs fois ma phrase (cf l'exemple audio ci-dessous)… Il faudrait certainement que j'enregistre de nouveau ma voix pour éviter ce problème mais impossible de trouver comment faire sur le site de la banque...

Bref, ce qui est sûr c'est que ce petit test n'a aucune réelle valeur.... Mais les paiements sont forcéments plus sécurisés avec TalkToPay qu'en recevant un code par SMS qu'il est bien souvent possible de prévisualiser sur l'écran de verouillage de téléphone avant même d'avoir scanné son empreinte !

Pas toujours pratique…

Personnellement, j’utilise le gestionnaire de mot de passe Dashlane pour stocker mes mots de passes et mes numéros de CB, ce qui me permet de gagner un temps de fou. Le logiciel rempli le numéro de carte, je valide et je mets quelques secondes de plus le temps de valider mon paiement sur mon tel.

Sur mon ordi perso, et avec l’extension navigateur Talk To Pay, cela ne prend pas beaucoup plus de temps : l’extension se déclenche automatiquement sur une page de paiement : il n’y a qu’à cliquer sur le bouton pour déclencher l’appel. Je reçois l’appel et si la reconnaissance vocale est ok, l’extension rempli tous les champs : numéro de CB, nom et cryptogramme. (Bon après encore faut-il trouver comment télécharger l'extension, impossible de la trouver sur le site de la banque ou Google depuis que j'ai changé de navigateur internet...)

Mais sur smartphone ou sur un ordi ne m’appartenant pas ça devient vite un sacré sport. Il faut entrer le numéro de CB sur le site marchand, switcher sur l’appli mes Paiement (c’est l’appli qui regroupe toutes les fonctionnalités de paiement de LBP : paiement PayLib, paiement sur mobile, etc...) pour demander à générer un CVV ou se connecter sur le site internet de la banque, recevoir l’appel / rentrer son code, repasser sur l’appli mes paiements pour récupérer le code et enfin copier le cryptogramme pour retourner sur le site du marchand et le coller…

Des problèmes avec les paiements récurrents !

Je ne sais pas vraiment comment cela fonctionne en pratique mais il semblerait qu’il y ai différents types d’autorisations lors d’un paiement en ligne : par exemple, même après avoir activé l’option et donc le cryptogramme dynamique je peux continuer à payer sans souci sur Amazon ou Netflix sans avoir à modifier le CVV à chaque fois. (On peut d’ailleurs se poser la question sur la raison de l’acceptation des paiements avec un cryptogramme invalide. Si ces sites peuvent continuer à prélever de l’argent sans avoir le bon cryptogramme, quid d’autres vendeurs peut-être moins scrupuleux). J'ai par exemple eu le souci avec OVH qui a réussi à me prélèver alors que je ne voulais pas... J'ai contacté LBP pour en savoir plus, on doit revenir vers moi avec plus d'infos à ce sujet... depuis mi-novembre !)

Si des paiements sont acceptés d'office parfois, c'est l'inverse sur d'autres sites ! Par exemple impossible de payer mon abonnement sur Le Petit Ballon (un site qui propose l’envoi de 2 bouteilles de vins tous les mois) : systématiquement les paiements sont rejetés. Lorsque je rentre le CVV j’ai bien la confirmation d’acceptation du paiement… Mais il doit s’agir en réalité d’une sorte de pré-autorisation car quelques heures plus tard le paiement était finalement refusé. Surtout en sachant qu’à chaque fois que le paiement est refusé : petit appel automatisé pour me dire qu’un achat a été tenté avec ma CB et m’invitant à contacter mon service client si je n’en étais pas à l’origine (même à 2h du mat', une fois que le marchand de sable est passé).

La seule solution que j’ai trouvé pour contourner le problème ? Faire un virement permanent vers un compte détenu dans une autre banque, et utiliser la carte de cette banque pour payer mon abonnement… Une sacrée gmynastique donc... et je n’aurai pas eu d’autre CB j’étais bien coincé !

Un service (inutilement ?) payant

Et c’est là qu’on en vient au sujet un peu plus délicat : La Banque Postale, comme de nombreuses banques, met en avant des services de cryptogramme dynamique et communique sur le fait que cela permet de se protéger contre un potentiel piratage de sa CB.

Mais pourtant dans la loi il est indiqué que « la responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées ». Cela signifie que la banque est légalement obligée de vous rembourser si votre paiement n’est pas autorisé, sauf si elle arrive à prouver que vous avez été négligent (mais pour autant, il faut qu’elle ai des preuves réelles. Il y a d'ailleurs eu le cas récemment, une première. Mais la cliente a été particulièrement négligeante !). Autrement dit, La Banque Postale vend et se fait de l’argent pour un service qui protège certes ses clients mais surtout avant tout elle même !

Bilan

Personnellement, je n’utilise plus Talky To Pay avec la voix. Je l’ai très vite arrêté pour des question de praticité : difficile de pouvoir prononcer la phrase dans les lieux publics par exemple. J’utilise en revanche toujours l’outil de cryptogramme dynamique qui me permet de générer un nouveau CVV avant chaque paiement.

Et encore cela n’est pas par choix mais par obligation ! J’ai essayé de résilier l’application, et bien que toute la souscription se fasse en ligne… pour la résiliation il faut envoyer un courrier en lettre recommandée avec accusé de réception (on peut le désactiver en ligne mais cela ne stoppe pas la facturation du service) ! Il faut imprimer le formulaire, le remplir, payer 5€20 (le montant d'un R1 avec accusé, soit dans mon cas... plus cher qu'1 an d'abonnement), imprimer l'enveloppe si on le fait en ligne, et se rendre en bureau de poste : de quoi en décourager pas mal...

Malgré tout ça, je trouve très intéressant que les “banques traditionnelles” innovent, c’est sur genre de service je pense qu’elles peuvent se démarquer de N26, Orange Bank et autres «néobanques». Et même si je n’ai pas été convaincu par le fait de devoir parler pour valider chacun de mes paiements, je suis sûr que ce genre de service pourrait très bien convenir et être adopté dans d’autres cas (comme par exemple en remplacement de Certicode Plus qui permet chez La Banque Postale de valider des actions "à forte valeur" comme un changement d’adresse ou l'ajout de bénéficiaires pour les virements). A voir comment cela est utilisé dans le futur !