De nombreuses personnes âgées sont nerveuses à l’égard des services bancaires en ligne, et cette nervosité est compréhensible. La combinaison de grosses sommes d’argent, d’une technologie peu familière et d’informations constantes sur le piratage et la fraude crée une peur réelle et raisonnable. De nombreuses personnes dans la soixantaine et la soixantaine ont complètement évité les services bancaires en ligne, préférant les relevés papier et les visites en personne à l'agence, sur la base de la théorie selon laquelle la méthode à l'ancienne est plus sûre.
Voici la vérité surprenante : les opérations bancaires en ligne sont désormais plus sûres que les opérations bancaires en personne pour la plupart des risques de fraude, à condition que vous suiviez des pratiques de sécurité de base. La raison en est que les succursales bancaires physiques sont vulnérables au vol, à l’interception du courrier, au vol d’identité à partir de relevés volés, à la plongée dans les poubelles et à un large éventail d’autres attaques physiques auxquelles les services bancaires en ligne ne sont pas confrontés. Les services bancaires en ligne sont vulnérables à leur propre ensemble d’attaques (hameçonnage, vol de mot de passe, logiciels malveillants), mais ces attaques sont largement vaincues par un petit nombre d’habitudes simples.
Les réglementations fédérales protègent également fortement les clients des services bancaires en ligne. En vertu du règlement E, si vous signalez des transactions bancaires en ligne frauduleuses dans les 60 jours suivant la réception du relevé qui les montre, votre responsabilité est généralement nulle : la banque doit rembourser l'argent. Il s’agit d’une protection bien meilleure que celle dont vous disposez contre la fraude par chèque en personne, la fraude postale ou de nombreuses autres formes de perte financière. Le régime juridique est de votre côté, à condition que vous vérifiiez vos déclarations et signaliez rapidement les problèmes.
Le reste de cet article présente les six règles qui, si vous les suivez, rendent les opérations bancaires en ligne essentiellement sûres – ainsi que les trois mythes sur la sécurité bancaire qui n’aident pas réellement.
Le plus grand risque pour votre compte bancaire en ligne est un mot de passe volé ou deviné. La solution consiste à utiliser un mot de passe unique et fort, c'est-à-dire un mot de passe complexe, difficile à deviner et qui n'est utilisé nulle part ailleurs. La meilleure façon d'y parvenir est d'utiliser un gestionnaire de mots de passe (voir l'article sur le gestionnaire de mots de passe dans cette série), qui génère et stocke des mots de passe complexes pour vous afin que vous n'ayez pas à vous en souvenir.
Si vous n'êtes pas prêt à utiliser un gestionnaire de mots de passe, le mot de passe minimum acceptable pour votre compte bancaire comporte au moins 12 caractères, comprend un mélange de lettres, de chiffres et de symboles, et n'est basé sur aucune information que quelqu'un pourrait trouver sur vous (votre nom, date de naissance, adresse, noms de famille). Et il ne doit être utilisé sur aucun autre site Web. La cause la plus courante de compromission des services bancaires en ligne est un mot de passe volé sur un autre site Web (moins sécurisé) sur lequel l'utilisateur a réutilisé le même mot de passe que celui utilisé à la banque.
Modifiez votre mot de passe bancaire si vous avez des raisons de croire qu'il pourrait avoir été compromis, par exemple si vous recevez une notification d'activité suspecte, si un site Web que vous utilisez a été piraté ou si vous avez partagé le mot de passe avec quelqu'un. Sinon, vous n'avez pas besoin de changer votre mot de passe régulièrement : ces anciens conseils ont été révisés et le changement fréquent de mots de passe forts n'améliore pas la sécurité et peut même l'affaiblir (car les gens choisissent souvent des variantes plus faibles de leur ancien mot de passe).
L'authentification à deux facteurs (2FA) est la deuxième mise à niveau de sécurité la plus importante que vous puissiez apporter à votre compte bancaire en ligne. Avec 2FA activé, même si un pirate informatique vole votre mot de passe, il ne peut pas accéder à votre compte sans également avoir votre téléphone (qui reçoit un code de vérification que le site Web demande lors de la connexion).
Presque toutes les grandes banques prennent désormais en charge 2FA. Pour l'activer, connectez-vous à votre compte bancaire, accédez à la section Sécurité ou Paramètres du compte, recherchez l'option Authentification à deux facteurs ou Vérification en deux étapes et activez-la. La banque vous demandera de confirmer votre numéro de téléphone, qu'elle utilisera pour envoyer les codes de vérification. Une fois cette configuration effectuée, vous devrez saisir un code à chaque fois que vous vous connecterez (ou à chaque fois que vous vous connecterez depuis un nouvel appareil, selon la banque). Le temps supplémentaire par connexion est d'environ trois secondes et la sécurité supplémentaire est énorme.
Si votre banque vous propose une application d'authentification au lieu des codes de message texte, utilisez l'application d'authentification : elle est plus sécurisée, notamment contre les attaques par échange de carte SIM qui peuvent parfois intercepter les codes de message texte. Mais les codes de message texte sont nettement meilleurs que l’absence de 2FA du tout, donc si votre banque ne propose que des SMS, utilisez les SMS.
Consultez l'article sur l'authentification à deux facteurs ailleurs dans cette série pour plus de détails sur la façon de configurer cela. Les 30 minutes que vous passez à activer 2FA sur votre compte bancaire sont l’une des meilleures utilisations du temps disponible pour protéger votre argent.
L’une des façons les plus courantes de compromettre les comptes bancaires en ligne est l’envoi d’e-mails de phishing. Le schéma : vous recevez un e-mail qui semble provenir de votre banque, vous avertissant d'une activité suspecte, vous demandant de vérifier votre compte ou vous indiquant que vous devez mettre à jour vos informations. L'e-mail a l'air officiel : le logo est correct, le libellé ressemble à celui d'une banque, le formatage est professionnel. Il y a un lien dans l'e-mail qui mène vers un faux site Web qui ressemble exactement au vrai site Web de votre banque. Vous entrez votre nom d'utilisateur et votre mot de passe sur le faux site, et les criminels ont désormais vos informations d'identification.
La règle est simple : ne cliquez jamais sur des liens contenus dans des emails prétendant provenir de votre banque. Jamais. Même si l'e-mail semble tout à fait légitime. Même si c'est urgent. Même si cela menace de fermer votre compte. La façon d'accéder au site Web de votre banque consiste à saisir vous-même l'adresse dans votre navigateur ou à utiliser un favori que vous avez enregistré lors de la première configuration de votre banque en ligne. N'utilisez jamais un lien provenant d'un e-mail.
Si vous recevez un email qui vous inquiète et que vous souhaitez vérifier s'il y a un réel problème avec votre compte, ne cliquez pas sur le lien. Au lieu de cela, ouvrez un nouvel onglet de navigateur, saisissez vous-même l'adresse du site Web de votre banque (ou utilisez votre signet), connectez-vous normalement et vérifiez les messages ou alertes présents dans votre compte. S'il y a un problème réel, la banque vous le dira lors de votre connexion directe. S'il n'y a pas de problème, l'e-mail était une arnaque. Quoi qu’il en soit, vous n’avez rien donné aux criminels.
La même règle s’applique aux SMS prétendant provenir de votre banque. Les banques envoient parfois des messages texte légitimes, mais la pratique sûre consiste à vérifier tout message préoccupant en appelant directement la banque en utilisant le numéro figurant au dos de votre carte de débit – et non un numéro figurant sur le message.
Les vraies banques ne vous appellent pas pour vous demander votre mot de passe. Les vraies banques ne vous appellent pas pour vous demander le code de vérification qu’elles viennent de vous envoyer. Les vraies banques ne vous appellent pas et ne vous demandent aucune de vos informations de sécurité qu'elles devraient déjà avoir. Si quelqu’un vous appelle en prétendant appartenir à votre banque et vous demande l’une de ces choses, l’appelant est un criminel. Toujours.
Le schéma d'arnaque le plus courant : vous recevez un appel d'une personne prétendant appartenir au service des fraudes de votre banque, vous informant qu'il y a eu une activité suspecte sur votre compte et qu'elle doit vérifier qu'il s'agit bien de vous. Ils connaissent peut-être déjà certaines informations sur vous (votre nom, les quatre derniers numéros de votre compte, les transactions récentes), ce qui les rend légitimes. Ils vous demandent de vérifier votre mot de passe, de leur lire un code qui vient d'arriver sur votre téléphone, ou de transférer de l'argent sur un « compte sécurisé » pour le protéger. Toutes ces demandes sont frauduleuses. Aucun d’eux ne correspond à la façon dont fonctionne une vraie banque.
Si vous recevez un appel qui vous semble suspect, raccrochez. Ne vous engagez pas, ne vérifiez rien, ne vous laissez pas convaincre de rester en ligne. Appelez ensuite vous-même votre banque, en utilisant le numéro figurant au dos de votre carte de débit ou depuis le site officiel de votre banque. Dites-leur ce qui vient de se passer. Ils confirmeront que l’appel était une arnaque et vérifieront votre compte pour toute activité non autorisée. L’appel de vérification que vous effectuez à partir d’un numéro connu est le seul moyen légitime de gérer ce genre de situation.
La meilleure chose que vous puissiez faire pour vous protéger contre la fraude financière est de consulter votre compte bancaire au moins une fois par semaine. La plupart des fraudes sont détectées par le client, et non par la banque, et plus tôt vous détectez un problème, plus il est facile de le résoudre.
Ce qu'il faut rechercher : toute transaction que vous ne reconnaissez pas, même les plus petites. Les criminels commencent souvent par de petites transactions tests pour voir si quelqu'un le remarque, et si personne ne le remarque, ils passent à des transactions plus importantes. Des frais de 4 $ dans un magasin dont vous n’avez jamais entendu parler méritent d’être étudiés, même si le montant en dollars est insignifiant. Des frais de 400 $ une semaine plus tard provenant de la même source sont beaucoup plus difficiles à combattre que des frais de 4 $ ne l’auraient été.
Configurez des alertes de compte. La plupart des banques vous permettent de configurer des notifications automatiques par SMS ou par e-mail pour diverses activités de compte : transactions importantes, soldes faibles, connexion à partir de nouveaux appareils, changements de mot de passe, etc. L'activation de ces alertes vous donne une visibilité en temps réel sur ce qui se passe avec votre compte et vous permet de détecter la fraude en quelques minutes au lieu de quelques semaines.
Si vous trouvez une transaction que vous ne reconnaissez pas, contactez immédiatement la banque. La loi fédérale vous offre de solides protections, mais ces protections exigent que vous signaliez le problème dans des délais précis (généralement 60 jours à compter de la date du relevé pour les services bancaires en ligne, 30 jours pour les cartes de crédit). Plus tôt vous le signalerez, meilleure sera votre protection.
Utilisez votre propre ordinateur et votre propre téléphone pour vos opérations bancaires. Ne vous connectez pas à votre compte bancaire depuis l'ordinateur d'un ami, le centre d'affaires d'un hôtel, l'ordinateur d'une bibliothèque publique ou tout autre appareil appartenant à quelqu'un d'autre. Les ordinateurs publics peuvent être infectés par des enregistreurs de frappe ou d'autres logiciels malveillants qui capturent tout ce que vous tapez, y compris votre mot de passe bancaire.
C'est également une bonne pratique de maintenir vos propres appareils raisonnablement à jour avec les mises à jour de sécurité. Lorsque votre téléphone ou votre ordinateur vous invite à installer une mise à jour logicielle, installez-la dans quelques jours. La plupart des mises à jour incluent des correctifs de sécurité qui corrigent les vulnérabilités découvertes depuis la dernière mise à jour, et les appareils non corrigés sont considérablement plus vulnérables aux attaques.
Les idées reçues sur le WiFi public (selon lequel son utilisation est dangereuse pour les opérations bancaires) sont devenues moins exactes à mesure que les applications bancaires ont amélioré leur sécurité. Les applications bancaires modernes utilisent un cryptage puissant qui protège votre trafic même sur le WiFi public. Cela dit, c'est toujours une bonne pratique d'utiliser votre propre réseau Wi-Fi domestique ou la connexion cellulaire de votre téléphone pour vos opérations bancaires lorsque cela est possible, juste pour être en sécurité.
Trois idées largement répandues sur la sécurité bancaire ne sont en réalité pas d’une grande aide, et agir en conséquence rend parfois votre sécurité moins bonne que plus.
Premier mythe : il est plus sûr d’éviter complètement les opérations bancaires en ligne. Comme indiqué au début de cet article, éviter les opérations bancaires en ligne n’élimine pas le risque de fraude – cela le déplace simplement vers d’autres formes (interception de courrier, vol d’identité en personne, vol de relevés papier, fraude par chèque). Cela rend également plus difficile la surveillance de votre compte pour détecter toute activité non autorisée, car vous ne pouvez vérifier le compte que lorsque vous recevez un relevé papier une fois par mois. Les données montrent que les clients qui utilisent les services bancaires en ligne et surveillent leurs comptes chaque semaine sont considérablement moins susceptibles de subir des pertes liées à la fraude que les clients qui s'appuient uniquement sur des relevés papier.
Deuxième mythe : le WiFi public est toujours dangereux pour les opérations bancaires. Cela était vrai il y a 10 à 15 ans, lorsque les sites Web bancaires utilisaient un cryptage plus faible. Les applications et sites Web bancaires modernes utilisent un cryptage puissant (TLS 1.3 ou similaire) qui protège votre trafic contre les écoutes clandestines, même sur le WiFi public. Le plus grand risque réside dans l’appareil lui-même : si vous utilisez un ordinateur infecté par un logiciel malveillant, le WiFi public est le moindre de vos problèmes. Utilisez votre propre appareil, sur n’importe quel réseau raisonnablement fiable, et tout va bien.
Troisième mythe : les grandes banques sont plus sûres que les petites banques. C'est en grande partie un mythe. Les pratiques de sécurité des grandes banques et des banques communautaires et coopératives de crédit bien gérées sont à peu près similaires : toutes deux utilisent les mêmes types de cryptage, de détection des fraudes et de protection des comptes. Les différences entre les banques résident principalement dans le service client après un incident de fraude : la rapidité avec laquelle elles résolvent les litiges, la facilité avec laquelle elles sont joignables, la patience avec des clients qui ne sont pas techniquement sophistiqués. Certaines grandes banques sont excellentes dans ce domaine, d'autres non ; Certaines petites banques sont excellentes et d'autres non. Choisissez une banque en fonction de l'expérience du service client plutôt que de l'hypothèse selon laquelle plus grande est plus sûre.
Les services bancaires en ligne sont plus sûrs que ne le pensent la plupart des personnes âgées, et les étapes pour les rendre encore plus sûres sont simples. Utilisez un mot de passe unique et fort (de préférence provenant d'un gestionnaire de mots de passe). Activez l'authentification à deux facteurs. Ne cliquez jamais sur les liens contenus dans des e-mails prétendant provenir de votre banque. Ne communiquez jamais votre mot de passe ou vos codes à qui que ce soit par téléphone. Vérifiez vos comptes chaque semaine. Utilisez vos propres appareils.
Si vous faites ces six choses, votre risque d’être victime d’une fraude via les services bancaires en ligne tombe pratiquement à zéro. Les réglementations fédérales vous protègent contre les pertes en cas de fraude et vous la signalez rapidement. La combinaison d’habitudes de sécurité personnelle et de protection juridique est bien plus forte que ce que vous obtenez avec les opérations bancaires sur papier, et la commodité est considérablement meilleure.
Si vous évitez les services bancaires en ligne par peur, c’est l’année pour reconsidérer votre décision. Réservez un samedi matin, suivez les six règles ci-dessus et commencez à utiliser les services bancaires en ligne en toute confiance. La tranquillité d’esprit et la commodité en valent la peine, et la sécurité est réelle.