Escroqueries, vols, arnaques: retirer de l'argent avec une Postcard n'est pas sans risques. Chaque jour, les utilisateurs de comptes postaux sont victimes des dysfonctionnements des distributeurs automatiques de La Poste. Les plaintes sont monnaie courante et les conventions d'indemnisation se multiplient. En une année, les clients du géant jaune ont perdu 1,4 million de francs. C'est le montant qu'a révélé au Temps un employé chargé de ces questions. «Dans la seule Suisse romande, plus de 600 000 francs ont été dérobés aux seuls guichets des Postomat» ajoute-t-il. Les sommes qui se sont évaporées sont certes petites, de 100 à 2000 francs, mais le nombre de victimes est tel que le phénomène devient inquiétant.

L'entreprise publique va bien. Au cours de l'exercice 1999, le bénéfice du groupe s'est élevé à 167 millions de francs pour un chiffre d'affaires net de 5,702 milliards. Les sommes volées représentent ainsi moins de 1% des bénéfices de La Poste. Ce ne serait pas un problème si La Poste remboursait les montants escroqués. Le problème tient au fait que le client lésé se voit proposer une convention d'indemnisation qui ne couvre dans la plupart des cas qu'un cinquième du montant de la fraude. La cryptographie et le degré de protection des cartes jaunes ne sont mis pas en cause. Il s'agit plutôt de vols astucieux lors de retraits d'argent liquide. Le distributeur est piégé, par exemple, et la carte est récupérée par les malfrats qui ont obtenu le code secret.

Pour La Poste, les choses sont claires: «Le code est une clé électronique qui permet au seul titulaire d'avoir accès à son compte.» Le détenteur d'une Postcard est donc seul responsable de tous les mouvements financiers qui ont lieu sur son compte. Afin de limiter les excès et d'augmenter la sécurité des clients, les retraits aux guichets automatiques sont limités à 1000 francs par jour. Autre élément important: en cas de perte ou de vol, le client se doit de bloquer sa carte immédiatement. Après ce blocage subsiste un «temps de tolérance» de deux heures pendant lequel La Poste est encore responsable de la fraude. Une fois posées ces conditions, La Poste estime qu'en cas de «retraits abusifs», c'est l'expression qu'elle utilise dans sa convention d'indemnisation, la personne a failli à son devoir de diligence. L'entreprise publique peut toutefois participer «au dommage, à bien plaire, dans le sens du service à la clientèle». Vu le degré de confidentialité, le nombre important d'émetteurs (banques, poste, carte de crédit) et la sensibilité du sujet, il est difficile de tenir, en Suisse, une comptabilité du coût de ces vols. Mais les chiffres qui ont été obtenus auprès de La Poste montrent que ce n'est pas là un phénomène marginal.

Les clients des banques sont aussi victimes de retraits frauduleux. Mais désirant garder les statistiques sous scellés, l'UBS et le Credit Suisse ont préféré ne pas communiquer sur ce sujet. En France, un rapport publié il y a deux semaines montrait que les fraudes à la carte bancaire par retrait avaient progressé de 24% par rapport à l'année passée. En tout, l'organisme centralisé «Carte bleue» a estimé à 58 millions de francs français (14,8 millions de francs suisses) les sommes détournées en 2000 aux guichets sur le territoire français. Compte tenu de la population, ce chiffre est équivalent aux 1,4 million de francs réclamés par les clients suisses. La seule différence tient au fait que le réseau «Carte bleue» couvre l'ensemble des retraits en France alors que la Postcard ne concerne que les clients de La Poste en Suisse.

Sécurité mise à mal

Ce n'est pas la première fois que le service financier de La Poste montre quelques signes de faiblesse. En novembre, Le Temps avait déjà levé le voile sur les défaillances de «yellownet», la version Internet de Postfinance (Le Temps du 10 novembre 2000). En effet, de nombreux clients avaient eu la surprise de constater des mouvements erratiques sur leurs propres comptes postaux. Un ancien étudiant à l'Université de Saint-Gall était de ceux-là. Il avait accès à un compte postal associatif par yellownet (consultation du solde et des mouvements, paiements etc.), alors que son autorisation aurait dû être retirée il y a près de quatre mois. Dans ce cas précis, ce n'était pas tant la sécurité externe qui était en cause, mais plutôt la gestion des données et la sécurité interne. La banque postale électronique a un «safe» physique à triple couche (il faut trois codes différents pour entrer sur un compte!) et un blindage à toute épreuve, il n'empêche qu'elle ne garantit pas que les clés soient légitimement allouées. Une fois entré dans la forteresse, toutes les portes sont ouvertes. Et le mode de paiement du futur peut très vite se transformer en un cauchemar.