Je viens de découvrir un changement effectué par ma banque (Fortuneo) qui me semble refléter un gros problème de sécurité, je serais curieux d'avoir votre avis :

Jusqu'à il y quelques jours, pour valider un achat internet on devait passer par un "3d secure" (jamais compris le "3" d'ailleurs) en utilisant soit leur application soit un code reçu par SMS. La validation en elle-même se fait via une page intermédiaire (iframe souvent) hébergée par un tiers, parce que je suppose que ce service est délégué. Techniquement ça veut dire que le formulaire dans lequel je saisis mon code SMS est hébergé derrière un domaine qui n'appartient pas à ma banque, donc ils leur ont communiqué mon numéro de téléphone et je ne suis pas sûr d'avoir accepté ça, mais passons.

Sauf qu'il y a une nouveauté : maintenant il y a une étape supplémentaire et après avoir saisi mon code SMS, je dois également rentrer mon mot de passe client dans le même formulaire (le même que celui qui me permet de me connecter au site de la banque). Du coup ce prestataire se retrouve à connaître mon numéro de téléphone, les codes envoyés par SMS, et maintenant mon mot de passe. Je n'ai à nouveau pas accepté ça, mais surtout ça commence à me sembler gênant et risqué d'un point de vue sécurité.

Vous en pensez quoi ? J'ai tenté d'évoquer le problème au support, qui m'a répondu comme j'aurais pu m'y attendre totalement à côté de la plaque, mais pour une fois je ne suis pas sûr de vouloir lâcher l'affaire aussi rapidement, sans pour autant savoir quelle serait la bonne démarche à suivre ?