Pour un concours, la Banque postale demande à ses clients de publier une photo de leur CB sur Twitter

L’erreur est humaine, selon un dicton célèbre. Il résonne comme une évidence au vu du scandale suscité par un jeu concours proposé lundi sur le compte Twitter de Ma French Bank, la banque 100% mobile et internet de la Banque postale, lancée il y a seulement un mois. Repéré par le hacker français Baptiste Robert (alias Elliott Alderson sur Twitter), le message a depuis été supprimé.

Il proposait aux internautes de gagner trois pass VIP pour le festival parisien Rock en Seine, qui se tient du 23 au 25 août. Les conditions pour participer étaient aussi absconses que dangereuses: prendre une photo de sa carte bancaire et la publier sur le réseau social.

Le concours a immédiatement suscité un tollé. "En tant que banque, c’est votre devoir de transmettre les bonnes pratiques en matière de sécurité à vos clients", assène par exemple Baptiste Robert sur Twitter.

Contacté par BFM Tech, la Banque postale se défend d'avoir incité ses clients à adopter un comportement dangereux. "Les règles du concours étaient précisées dans un second tweet", explique l'entreprise.

Dans une capture d’écran que s’est procuré Numerama, on peut effectivement voir un message de Ma French Bank qui précise: "pensez bien à cacher vos informations personnelles". Avec une photo en guise d’exemple de quelqu’un masquant son nom et les chiffres de sa carte bancaire avec un doigt. Cette injonction était également précisée dans le règlement du jeu concours. 

Des risques limités 

"Chez nous, trois modérateurs suivaient le fil Twitter pour vérifier que les participants avaient bien compris les règles du concours. En cas de publication d’informations personnelles, ils étaient chargés de masquer les tweets. Les consignes étaient clairement mises en avant et les participants les ont toutes respectées", détaille la Banque postale.

Les risques liés à la diffusion de ces éléments sont tout de même limités. Quand bien même un utilisateur publierait la face de sa carte bancaire sans masquage, il manquerait à une personne mal intentionnée le code de vérification qui se trouve au verso (même si certains sites ne le demandent pas). Par ailleurs, la généralisation de la validation des paiements avec un code envoyé sur smartphone limite le risque de vol. Face à l’afflux de commentaires négatifs, l’entreprise a préféré mettre fin au concours.