La banque mobile Ma French Bank, qui appartient à La Poste, a connu un raté sur les réseaux sociaux. Dans un concours, elle demandait de publier la photo de sa carte bancaire pour tenter de gagner des places pour un festival. Ma French Bank a fini par faire machine arrière.

Réussir un concours sur les réseaux sociaux est un exercice moins simple qu’il n’y paraît. Le raté estival de Frichti, une entreprise de livraison de repas, en est par exemple une illustration. Mais ce lundi 19 août, c’est une banque mobile française qui a cette fois flirté avec le « bad buzz », en pleine période de lancement.

En effet, Ma French Bank a eu l’idée de lancer un concours sur Twitter : en jeu, trois lots de deux places VIP pour le festival Rock en Seine, qui se déroulera du 23 au 25 août. Jusqu’ici, rien de bien choquant. Sauf que pour réserver son tirage au sort à ses seuls clients — ce que l’on peut tout à fait comprendre — et faire parler un peu de lui, l’établissement a eu l’idée de leur demander de… prendre une photo de leur carte bancaire et de la publier en ligne.

Ma French Bank a essayé de calmer le jeu, avant de renoncer.

Abandon du concours

Disons-le tout de suite : ce concours a finalement été annulé dans l’après-midi, après avoir été annoncé en fin de matinée. Sans doute le gestionnaire de communauté et la direction de Ma French Bank (une filiale de la Banque postale, qui dépend elle-même du groupe La Poste) ont-ils constaté la tournure de plus en plus mauvaise que prenait cette opération lorsque des internautes se sont succédé ces dernières heures pour la critiquer vivement, à l’image de Baptiste Robert, spécialiste en sécurité informatique.

Avant de jeter l’éponge, Ma French Bank avait pourtant tenté de calmer l’émoi du public en répétant en réponse à plusieurs commentaires que les conditions du concours imposaient de cacher ou de gommer les informations sensibles. La banque mobile assurait en outre que « la confidentialité des données de nos clients est évidemment préservée ». Ce qui est partiellement exact : elle aurait été bien embêtée et plutôt démunie si un participant avait mis en ligne une photo sans précaution particulière.

Rangez vos cartes, le concours est abandonné.

Certes, Ma French Bank indiquait bien que les photos devaient être prises avec la plus grande des précautions, en plaçant un doigt sur la carte de façon à masquer d’une part le nom du titulaire, mais aussi le numéro et la date d’expiration de la carte. Seulement, cette instruction n’apparaissait pas dans le tweet du concours, mais dans un autre, publié juste après. Un internaute trop pressé de tenter sa chance pour aller gratuitement à Rock en Seine aurait pu se faire avoir.

Cette consigne est à nouveau mentionnée dans le règlement du concours, seulement le lien qui mène à celui-ci apparaissait encore après, en troisième position : « Ce concours est réservé aux personnes qui valident manuellement et personnellement leur participation en postant la photo de leur carte bleue Ma French Bank (en cachant au préalable leur numéro de carte et leur nom) sur les réseaux sociaux ». Dès lors, il n’était pas dit que tout le monde verrait bien ces deux rappels.

Ne pas tenter le diable

Bien entendu, l’on pourrait toujours faire objecter que les risques de fraude à cause de ce concours étaient minimes : même si un internaute publie par mégarde le recto de sa carte sans masquer les informations les plus sensibles, une personne malveillante ne pourrait pas forcément les utiliser immédiatement et efficacement pour faire des retraits ou des achats : il manque le code de vérification de la carte (qui se trouve sur le verso), qui n’était évidemment pas demandé ici. Cela dit, des sites continuent de ne pas le demander et une personne malveillante aurait pu, également, les connaître.

L’emploi d’une carte bancaire pour un paiement en ligne nécessite souvent une validation via son smartphone. // Source : Hloom Templates

En outre, aujourd’hui, les banques procèdent à une validation de chaque achat avec l’envoi d’une étape à accomplir sur son smartphone (généralement, inscrire le code reçu sur son numéro de téléphone dans un champ prévu à cet effet) pour s’assurer que la transaction est bien légitime. C’est le cas pour Ma French Bank : une authentification forte est exigée via l’application pour tout paiement sur Internet. Une assistance est aussi proposée en cas d’opération frauduleuse. Cela dit, comme pour le code à trois chiffres, un site peut ne pas demander cette autorisation.

Cela étant dit, cela n’est pas une raison pour tenter le diable : s’il existe heureusement des garde-fous pour rattraper une éventuelle erreur, il est préférable quand même d’avoir une bonne hygiène informatique et de suivre de bonnes pratiques en matière de sécurité. Une personne avertie en vaut deux, dit-on. Et cet apprentissage ne se fera pas en autodidacte : c’est aux entreprises de prodiguer les conseils adéquats et de s’abstenir de faire prendre un quelconque risque aux particuliers.

Partager sur les réseaux sociaux