Zak – Pourquoi je n’utiliserai pas cette banque en ligne (aujourd’hui)

Le but de cet article n’est en aucun cas de faire de l’ombre à ZAK ou à l’établissement qui se trouve derrière (Banque Cler) mais de simplement donner mon avis personnel ainsi que mes arguments concernant ce choix.

Qu’est-ce que ZAK ?

ZAK est un service bancaire qui propose un compte personnel ainsi qu’une carte de débit Maestro. Il est important de savoir que ce service n’est disponible que sur Smartphone ou tablette et qu’il n’y pas de version web disponible. ZAK à l’avantage aujourd’hui d’être un de service bancaire le moins cher de Suisse. Effectivement, la version standard coûte simplement 0 CHF/an. En d’autres termes, il est possible d’avoir un compte bancaire, certes à un taux d’intérêt de 0 %, dans une banque suisse (Cler) qui ne coûte rien du tout et en plus il y a cette carte Maestro disponible. De plus, les transferts en Suisse sont gratuits ainsi qu’en zone Euro SEPA. Tout comme le compte bancaire, la carte maestro ne te coûtera rien du tout. Il est possible de retirer également de l’argent gratuitement, mais uniquement aux bancomats Clerc. Il est aussi possible de déposer de l’argent au bancomats, de payer en scannant les BVR, d’activer le support eBill et tous les relevés sont téléchargeables au format PDF.

Lors de mes recherches, j’ai vraiment été séduit par ce service et j’ai donc décidé d’ouvrir un compte pour tester ceci.

Pourquoi j’ai recherché une alternative à ma banque actuelle

Avant d’aller plus loin, il est important de savoir la raison pour laquelle j’ai décidé d’évaluer les alternatives existantes à mon service bancaire existant. Je suis actuellement dans une grande banque suisse, Crédit-Suisse pour ne pas les citer, et ayant mon hypothèque chez eux, il était « normal » que je place la majorité de mon capital chez eux. En 2013, ils m’ont donc « offert » le package Bonviva qui comprend un compte salaire, un compte « d’épargne » (entre parantèses, car le taux est de 0.1 %) ainsi que deux cartes de crédits. Le seul hic, c’est que cela me coûte 15 CHF/mois. À l’époque je ne me souciais pas vraiment de tout ces frais cachés et me disait que c’était normal et que ce n’était pas beaucoup. Quelques mois plus tard, avec ma conjointe, nous avons ouvert un compte commun « ménage » qui comporte deux cartes de débit. Cela nous était très pratique pour payer tout ce qui était du « commun ». Ce petit service additionnel nous coûte également 15 CHF/mois…

Ayant une légère fibre frugaliste, mon esprit à vite fait un calcul simple :

(15 CHF x 2 relations bancaires) x 12 mois = 360 CHF

Ou pour ce faire encore un peu plus mal, 3’600.- CHF sur 10 ans… (c’est le best case car j’aurai pu investir ce montant et avec un rendement théorique de 5%, cela fera bien plus…). Ce simple calcul a suffi à me motiver pour entamer mes recherches… De fil en aiguille, après de nombreuses lectures, recherches et comparaison, le service Zak de la banque Clerc me semblait génial pour mon compte courant. Merci au passage à Mr. MP qui a fait des recherches bien plus approfondies que moi sur le sujet.

Pourquoi je n’ai finalement pas mis mon argent chez Zak

Lorsqu’on dépose son argent chez un prestataire « classique », aka les grandes banques de la place, on ne pense pas forcément en priorité à l’aspect sécuritaire de notre choix, car on a totalement confiance en ces institutions qui fond (faisaient) la renommée de la Suisse. Cependant, les services complétement et uniquement en ligne comme Zak, proposent également un processus d’enregistrement totalement en ligne. Certes, il est très agréable de pouvoir ouvrir un compte et y déposer de l’argent tout en étant assis sur son canapé, mais autant l’aspect sécuritaire m’a beaucoup plus titillé.

Enregistrement

Lors de l’enregistrement, le contrôle d’identité se fait uniquement sur la base d’une copie recto-verso d’une pièce d’identité (permis, carte d’identité ou passeport). En aucun cas, la banque à planifiée une visioconférence ou autre. Dès ce moment-là, ma méfiance était en alerte. Dans la FAQ on trouve tout de même une note qui dit qu’éventuellement, le client devra fournir une copie d’une facture pour prouver son adresse; EVENTUELLEMENT.

Accès à la plateforme

C’est vraiment ici que ça coince. Au moment où j’écris cet article, l’accès à la plateforme via l’application mobile se fait uniquement sur la base d’un login + mot de passe. Le pire à mon avis, c’est que le « login » est un e-mail. Travaillant en tant que consultant en sécurité de l’information, il y a peut-être une déformation professionnelle certes, mais je ne trouve pas que ce mécanisme d’authentification soit acceptable dans le domaine bancaire. Toutes les informations sur l’on-boarding se trouvent ici.

Un attaquant potentiel a donc uniquement deux paramètres à trouver :

  • l’e-mail de la cible
  • le mot de passe

Si au moins, le « login » serait un nom d’utilisateur aléatoire, cela aurait été moins risqué (mais toujours pas suffisant), mais l’e-mail est une donnée facilement trouvable pour un attaquant. Ce qui me gêne avec l’e-mail, c’est que c’est une donnée publique, qui est connue potentiellement par de nombreuse personnes. Si l’un d’entre vous aurait pensé à utiliser un e-mail « caché » ou spécialement crée pour cet accès, qu’il lève la main. Sincèrement, je pense que personne n’aurait cette idée au moment de l’inscription.

Fort de cette constatation, j’essaie de trouver des informations sur le site web de Zak, dans les paramètres de l’application, mais je ne trouve absolument rien qui me permette d’utiliser un mécanisme d’authentification à double facteur ou autre mécanisme de protection. La seule notion de sécurité que l’on trouve sur leur site web concerne la garantie de dépôt fixée à 100’000 CHF. Cette garantie de dépôt te couvre uniquement en cas de faillite et rien d’autre.

Personnellement, je ne connais pas d’autres établissements bancaires en Suisse qui ne forcent pas l’utilisateur d’un second facteur d’authentification et qui utilise une donnée personnelle publique comme login. Si quelqu’un a déjà vu cela, je serai reconnaissant de le mentionner en commentaire 🙂

Après avoir fouillé dans tous les menus de l’application, j’ai remarqué qu’il était possible de configurer mon empreinte digitale pour accéder à l’application. C’est réellement une fonctionnalité proposée par Zak mais malheureusement, elle n’a pas été développée avec pour but de renforcer la sécurité d’accès, mais pour pouvoir se connecter encore plus rapidement. La preuve ci-dessous :

Du coup, l’application me propose de m’authentifier avec mon empreinte digitale, mais il est tout à fait possible de by-passer ceci et de tomber sur la page d’authentification classique.

Installation sur un autre mobile

En discutant avec un ami, je lui parlais justement de mes inquiétudes concernant Zak et nous avons fait le test d’installer l’application sur son téléphone portable. Je m’attendais (ou pas) au moins que Zak détecte que je me connecte depuis un autre équipement et que je doive valider cette nouvelle connexion par e-mail ou par SMS. Et bien non. En saisissant mon e-mail et mon mot de passe Zak, j’étais connecté sur mon compte bancaire depuis le téléphone de mon ami. Cela ne fut qu’un élément supplémentaire qui me confirma que je ne vais pas déposer des milliers de francs sur ce compte.

Contact du support

Après tous ces tests, j’ai contacté le support de Zak afin de leur exposer mon inquiétude quant à ce niveau de sécurité d’accès lacunaire afin d’avoir plus de détails. Leur réponse fut assez minimaliste et brève. La voici :

Réponse du support Zak suite à mes questions liées à la sécurité de l'application

Je pensais qu’ils allaient au moins prendre la peine de citer certains standards de conformité, un rapport d’audit effectué ou me donner une autre adresse e-mail à contacter pour avoir plus d’information, mais non. J’ai évidemment répondu à cet e-mail en leur demandant s’ils pouvaient tout de même donner plus de précisions quant aux standards qu’ils appliquent, mais je suis toujours en attente de réponse.

Update 05.03.2021 : Complément de réponse reçu de la part du support.

Seconde réponse du Support Zak

Toujours autant étonné de leur réponse évasive, j’ai quand même été lire le contenu du lien qu’ils m’ont fourni. Voici les points « sécurité » que je trouve intéressants de mentionner :

Pour des raisons de sécurité, la Banque Cler est par ailleurs habilitée à interdire l’utilisation de l’appli sur certains types d’appareils (par ex. ceux ayant fait l’objet d’un «rooting»). Elle est par ailleurs habilitée à suspendre son utilisation sur des systèmes d’exploitation et versions de l’appli anciens à condition d’en informer à temps le client.

https://www.cler.ch/fr/sites/conditions-generales/nutzungsbedingungen-zak, chapitre 2.4

+1 bon point pour Zak. Effectivement, je ne pense pas qu’il soit judicieux d’autoriser l’utilisation de l’application sur des appareils rootés. Je n’ai par contre pas testé de le faire. Ils indiquent qu’ils sont habilités à le faire, ce qui ne signifie pas qu’ils le font systématiquement.

Seules peuvent accéder à l’appli et aux fonctions proposées les personnes qui se sont identifiées en saisissant les données d’accès personnelles valides du client. Les données d’accès nécessaires sont les suivantes:

• L’ID d’utilisateur choisi par le client lui-même (adresse e-mail) ou l’ID attribué au client par la Banque Cler,

et

• le mot de passe personnel défini par le client lui-même.

https://www.cler.ch/fr/sites/conditions-generales/nutzungsbedingungen-zak, chapitre 3.1

Effectivement, c’est uniquement e-mail + mot de passe. Ils mentionnent tout de même un ID attribué au client par la banque Cler, mais impossible de trouver ce que c’est dans mon cas et je n’ai pas vu de possibilités de changer mon e-mail pour un éventuel ID. Ils mentionnent aussi la possibilité de l’authentification biométrique ce qui est une bonne chose. Malheureusement, comme déjà expliqué, il est possible de bypasser cette authentification biométrique et l’application nous propose de nouveau de se connecter avec l’e-mail et le mot de passe… Bref, l’introduction de cette authentification biométrique n’apporte rien en terme de sécurité, c’est juste une autre possibilité de se connecter.

L’authentification s’appuie uniquement sur les données d’accès susmentionnées. Les personnes qui s’identifient conformément aux dispositions ci-dessus (auto-identification) sont considérées par la Banque Cler comme autorisées à recourir aux prestations proposées. Tous les ordres, directives, etc. transmis via l’appli sont considérés comme ayant été saisis par le client. Cela vaut indépendamment du fait que l’utilisateur soit ou non le client.

https://www.cler.ch/fr/sites/conditions-generales/nutzungsbedingungen-zak, chapitre 3.3

… En gros, si ton e-mail et mot de passe sont trouvés, c’est de ta faute. Partant de cette constatation, je ne peux que te rappeler l’importance d’avoir un mot de passe complexe et surtout qui ne soit pas utilisé ailleurs ! Imagine que tu utilises le même mot de passe que celui que tu utilises pour te connecter sur Facebook ou Linkedin. Que se passe-t-il si Linkedin se fait pirater (c’est déjà arrivé) ? Sache qu’il est très simple de trouver sur internet des listes d’e-email + mot de passe qui ont été compromis. Si tu as utilisé ce même mot de passe pour te connecter sur Zak, et bien l’attaquant aura accès à ton compte et ce ne sera pas la faute de Zak.

a Banque Cler se réserve toutefois le droit de refuser à tout moment de fournir des prestations – sans avoir à se justifier – et d’exiger du client qu’il s’identifie d’une autre façon (par ex. via sa signature ou en se présentant à la banque).

https://www.cler.ch/fr/sites/conditions-generales/nutzungsbedingungen-zak, chapitre 3.4

+1 bon point pour Zak. Après, à voir sous quelles conditions cela arriverai… Je n’ai pas tenté de me connecter plusieurs fois avec un faux identifiant mais ce serait intéressant de voir si Zak détectent ceci.

Il est mentionné au point 3.6 que le client (oui oui le client) peut faire bloquer son accès via l’appli ou bloquer lui-même celui-ci depuis l’application (en appelant un numéro) en saisissant trois fois consécutivement des données d’accès erronées. => Le client ! Encore une fois, je ne suis pas certain que Zak serait capable de bloquer eux-mêmes un compte en cas de tentative d’attaque sur le mot de passe.

La Banque Cler se réserve le droit d’introduire à tout moment d’autres données d’accès ou d’adapter celles existant aujourd’hui.

https://www.cler.ch/fr/sites/conditions-generales/nutzungsbedingungen-zak, chapitre 3.5

Alors volontiers si Zak pourrait proposer un système de double authentification en 2021… On attend (rire jaune).

Le chapitre 12 , « Obligations de diligence incombant au client » est intéressant. C’est donc les éléments que toi, en tant que client, tu es obligé de respecter. Tu peux aller lire en détail ce chapitre qui contient en fait que des bonnes pratiques générales sur l’utilisation d’un smartphone sur la sécurisation des données sensibles. Un point de ce chapitre 12 est tout de même important de comprendre :

• Le client assume l’intégralité des risques découlant de l’utilisation (y compris abusive) de ses identifiants.

https://www.cler.ch/fr/sites/conditions-generales/nutzungsbedingungen-zak, chapitre 12, point 5

Pour être sincère, je ne suis pas satisfait des réponses légères du support. J’estime qu’on ne revoit pas simplement un client vers les CG de l’application lorsque ce dernier craint pour la sécurité de son argent. Pour être sincère, c’est la première fois que je vais regarder en détail des CG d’un service bancaire et je pense qu’il y a de nombreux points qu’on retrouve également chez les plus grands acteurs du marché bancaire. Cependant, je maintiens ma position quant au fait que je n’utiliserai pas pour le moment leur service tant que l’accès n’est pas protégé par un système à doubles facteurs.

Conclusion

De plus en plus de services totalement en ligne voient le jours et c’est vraiment une bonne chose. Zak reste un service très intéressant d’un point de vue frugale pour quelqu’un qui cherche à minimiser au maximum ses frais de gestion bancaire. De plus, les fonctionnalités de l’application sont réellement innovantes (les partages de notes, les pots communs, etc.) et sont totalement en adéquation avec la digitalisation que l’on vit actuellement. Cependant, la gratuité ne doit pas se faire au détriment de la sécurité pour une application bancaire. À l’heure où j’écris ces lignes, Zak n’a pas de fonctionnalités supplémentaires en termes de sécurité dans sa roadmap ce qui est bien dommage.

J’insiste réellement sur le fait que l’idée et le concept derrière ces banques en lignes et gratuites sont super et j’encourage ces développements afin de concurrencer les grandes banques, mais la sécurité doit être autant grande que pour un service « classique ». Il serait dommage que ces nouveaux player dans le monde bancaires ne puissent pas se faire une place à cause de lacunes de ce genre. Je suis persuadé que les grandes banques vont suivre le pas (voir l’offre CSX du crédit-suisse).

Je vais pour le moment garder mon compte Zak et j’y mettrais jamais plus de 500 CHF dessus. Je suis tout de même curieux de voir les évolutions de ce service qui semble tout de même très prometteur.

25 CHF de bienvenue chez Zak !

Si tu désires toi aussi tester Zak, télécharge l’application sur ton smartphone et reçois 25 CHF de bienvenue en saisissant le code ci-dessous après que ton compte ait été validé. Je toucherai également le même montant.

2Z3HDW

Je serai ravi d’avoir votre avis sur ce service !

6 réflexions sur “Zak – Pourquoi je n’utiliserai pas cette banque en ligne (aujourd’hui)”

  1. Rappelez-vous « Si c’est gratuit, c’est toi le produit! » … en l’occurence il fallait bien s’imaginer que à des tarifs pareil ils ont du économiser quelque part 😉 …

    1. Hello ! Merci pour ton commentaire ! effectivement, c’est souvent ce cas, mais dans les applications bancaires Suisses, qui sont de toute façon régulées par la FINMA, la sécurité ne devrait pas être une option à mon avis 🙂 Mise à part ceci, c’est un bon produit que je continu de suivre

  2. Bonjour
    Article très intéressant et bien structuré. Juste choquee en lisant la fin!
    Le titre c’est :
    Zak – Pourquoi je n’utiliserai pas cette banque en ligne (aujourd’hui)
    Pour finir par:
    Je vais pour le moment garder mon compte Zak et j’y mettrais jamais plus de 500 CHF dessus.

    Je croyais que tu n’utilisais pas cette banque ?!?
    Et cerise sur le gâteau, tu promets:
    25 CHF de bienvenue chez Zak !

    Tout ça pour lire un article publicitaire où tu te prends sûrement encore une commission si on rentre le code créé juste pour ton article !

    Vive les vrais avis sans intérêts, si ce n’est que d’informer honnêtement les autres !!

    1. Bonjour et merci d’avoir pris le temps de lire l’article et de me faire part de ton retour. Je suis sincèrement désolé si la fin ne t’a pas plus. L’objectif de cet article, qui était le premier de mon blog, était de donner mon avis individuel sur ce service et d’expliquer pourquoi je ne l’utiliserai pas comme service bancaire principal aujourd’hui. Cela n’engage que moi et de nombreuses personnes utilisent ce service sans soucis. J’ai effectivement encore mon compte actif, car je pense que ce produit va évoluer dans la bonne direction. Cela me permet d’avoir un accès et de pouvoir tester les nouveauté de ce service et de partager mon avis au travers de ce blog. Même si mon avis n’étais pas favorable lors de la rédaction de l’article en début d’année, j’encourage chacun à se faire son propre avis sur la question, d’où le lien de référencement qui permettrait à la personne de gagner 25.- CHF, tout comme moi. Je n’ai pas de problème avec ça. Meilleures salutations.

      ps : si tu désires tout de même faire un compte, mais que sa t’embête que je reçoive 25.- CHF, utilise le code « SOMMER » qui te fera gagner jusqu’à 50 CHF, et moi 0.-

      A++

  3. Je trouve cela très étonnant de la part d’une banque qui se veut 100% online….
    Personnellement j ‘attends qu’ils améliorent leur sécurité avant d’imaginer y déposer de l’argent.
    Merci pour ce passionnant article!!!

    1. Hello Dugel. Merci pour ton commentaire. Je suis tout à fait d’accord avec toi. Très surpris également que ce genre de service ne soit pas plus confronté à des validations stricts avant d’être mis sur le marché. Tout comme toi, je vais garder un oeil sur Zak qui me parait prometteur.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *