Réussir un concours sur les réseaux sociaux est un exercice moins simple qu’il n’y paraît. Le raté estival de Frichti, une entreprise de livraison de repas, en est par exemple une illustration. Mais ce lundi 19 août, c’est une banque mobile française qui a cette fois flirté avec le « bad buzz », en pleine période de lancement.
En effet, Ma French Bank a eu l’idée de lancer un concours sur Twitter : en jeu, trois lots de deux places VIP pour le festival Rock en Seine, qui se déroulera du 23 au 25 août. Jusqu’ici, rien de bien choquant. Sauf que pour réserver son tirage au sort à ses seuls clients — ce que l’on peut tout à fait comprendre — et faire parler un peu de lui, l’établissement a eu l’idée de leur demander de… prendre une photo de leur carte bancaire et de la publier en ligne.
Abandon du concours
Disons-le tout de suite : ce concours a finalement été annulé dans l’après-midi, après avoir été annoncé en fin de matinée. Sans doute le gestionnaire de communauté et la direction de Ma French Bank (une filiale de la Banque postale, qui dépend elle-même du groupe La Poste) ont-ils constaté la tournure de plus en plus mauvaise que prenait cette opération lorsque des internautes se sont succédé ces dernières heures pour la critiquer vivement, à l’image de Baptiste Robert, spécialiste en sécurité informatique.
Avant de jeter l’éponge, Ma French Bank avait pourtant tenté de calmer l’émoi du public en répétant en réponse à plusieurs commentaires que les conditions du concours imposaient de cacher ou de gommer les informations sensibles. La banque mobile assurait en outre que « la confidentialité des données de nos clients est évidemment préservée ». Ce qui est partiellement exact : elle aurait été bien embêtée et plutôt démunie si un participant avait mis en ligne une photo sans précaution particulière.
Certes, Ma French Bank indiquait bien que les photos devaient être prises avec la plus grande des précautions, en plaçant un doigt sur la carte de façon à masquer d’une part le nom du titulaire, mais aussi le numéro et la date d’expiration de la carte. Seulement, cette instruction n’apparaissait pas dans le tweet du concours, mais dans un autre, publié juste après. Un internaute trop pressé de tenter sa chance pour aller gratuitement à Rock en Seine aurait pu se faire avoir.
Cette consigne est à nouveau mentionnée dans le règlement du concours, seulement le lien qui mène à celui-ci apparaissait encore après, en troisième position : « Ce concours est réservé aux personnes qui valident manuellement et personnellement leur participation en postant la photo de leur carte bleue Ma French Bank (en cachant au préalable leur numéro de carte et leur nom) sur les réseaux sociaux ». Dès lors, il n’était pas dit que tout le monde verrait bien ces deux rappels.
Ne pas tenter le diable
Bien entendu, l’on pourrait toujours faire objecter que les risques de fraude à cause de ce concours étaient minimes : même si un internaute publie par mégarde le recto de sa carte sans masquer les informations les plus sensibles, une personne malveillante ne pourrait pas forcément les utiliser immédiatement et efficacement pour faire des retraits ou des achats : il manque le code de vérification de la carte (qui se trouve sur le verso), qui n’était évidemment pas demandé ici. Cela dit, des sites continuent de ne pas le demander et une personne malveillante aurait pu, également, les connaître.
En outre, aujourd’hui, les banques procèdent à une validation de chaque achat avec l’envoi d’une étape à accomplir sur son smartphone (généralement, inscrire le code reçu sur son numéro de téléphone dans un champ prévu à cet effet) pour s’assurer que la transaction est bien légitime. C’est le cas pour Ma French Bank : une authentification forte est exigée via l’application pour tout paiement sur Internet. Une assistance est aussi proposée en cas d’opération frauduleuse. Cela dit, comme pour le code à trois chiffres, un site peut ne pas demander cette autorisation.
Cela étant dit, cela n’est pas une raison pour tenter le diable : s’il existe heureusement des garde-fous pour rattraper une éventuelle erreur, il est préférable quand même d’avoir une bonne hygiène informatique et de suivre de bonnes pratiques en matière de sécurité. Une personne avertie en vaut deux, dit-on. Et cet apprentissage ne se fera pas en autodidacte : c’est aux entreprises de prodiguer les conseils adéquats et de s’abstenir de faire prendre un quelconque risque aux particuliers.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !