La menace numéro un d'une fintech, ce n'est peut-être pas la fraude. Ce sont les clients qui s'évaporent pendant qu'elle essaie de s'en prémunir.
Renoncer à une transaction. Désinstaller l'appli. Écrire au support, excédé. Chaque jour, des milliers d'utilisateurs font l'un de ces trois gestes, et toujours pour la même raison : impossible de prouver qu'ils sont bien eux-mêmes. Le mot de passe ne revient pas. Le code OTP a expiré. La clé de sécurité a disparu. L'application d'authentification s'est désynchronisée au moment de changer de téléphone.
On aurait tort d'y voir des accidents isolés. Ce sont les retombées prévisibles d'un modèle d'authentification taillé pour rassurer des machines, jamais pour ménager des humains. Et quand on est une fintech, la note finale dépasse de loin ce qu'on imagine.
La friction invisible : ce coût qui n'apparaît dans aucun tableau
Conversion à l'onboarding, temps de chargement, nombre de clics avant le paiement : tout cela, les équipes produit le mesurent au quart de point. La friction d'authentification, elle, échappe au radar. On la classe du côté de la sécurité, jamais du côté de la croissance, et donc on ne la chiffre pas.
Pourtant les ordres de grandeur sont connus. Forbes situe à 70 $ le coût moyen d'un reset de mot de passe pour une entreprise, support inclus. Gartner avance que 20 à 50 % des appels au helpdesk tournent autour du mot de passe (chiffre relayé par Okta). Et rien de tout cela ne capture le poste le plus lourd : l'utilisateur qui ne rappelle jamais, ne réinitialise rien et disparaît.
Pour une fintech, ce silence-là coûte une fortune. Entre la publicité, le parrainage et l'onboarding KYC, chaque client se paie au prix fort. Le voir lâcher pile au moment de s'authentifier, c'est perdre la totalité de cet investissement, sans même avoir vu passer une transaction.
Pourquoi les solutions actuelles aggravent le problème
Le réflexe, devant la fraude, c'est l'empilement : un OTP par SMS, une application TOTP, un token physique, une question secrète. Sauf que chaque couche ajoutée installe aussi un nouveau point de rupture.
Le SMS : partout, mais fragile. Aucun second facteur n'est aussi répandu que l'OTP par SMS. Aucun n'est aussi exposé : SIM swapping, phishing, interception réseau. Le hic tient surtout à ses présupposés, encore faut-il que l'utilisateur ait son numéro sous la main, sur le bon appareil, au bon moment. Changement de mobile, déplacement à l'étranger, zone blanche : le SMS se mue alors en mur infranchissable.
Les applications d'authentification : solides, mais excluantes. Avec les TOTP (Google Authenticator, Authy…), on s'affranchit du réseau, mais on transfère le risque ailleurs : sur le compte cloud qui synchronise les seeds. Qu'un phishing ou un SIM swap le compromette, et ce sont tous les seconds facteurs qui tombent en même temps. Côté entreprise, où l'on coupe souvent la synchronisation, changer de téléphone sans avoir exporté ses clés revient à tout perdre, le support en dernier filet.
Les clés physiques : sûres, mais ingérables à l'échelle. Côté sécurité, les clés FIDO2 tiennent leurs promesses. Encore faut-il posséder l'objet, le trimballer, le brancher. Demander un dongle USB à des clients de néobanque qui pilotent leur argent depuis leur canapé, c'est leur imposer un réflexe d'un autre âge.
Au fond, ces trois approches partagent le même vice : elles font porter la sécurité à l'utilisateur. À lui de retenir un secret, de garder un objet, de dompter un processus. Et le jour où il trébuche, il trébuchera, c'est la fintech qui passe à la caisse.
.png)
Le vrai coût : pas un incident, mais une spirale
Une friction d'authentification ne reste jamais un événement isolé. Elle amorce un effet domino.
- L'abandon immédiat. Connexion impossible, opération non validée : l'utilisateur lâche et la transaction part avec lui.
- Le ticket support. S'il s'accroche, il écrit. Il faut alors vérifier son identité manuellement, rouvrir ses accès, tracer le dossier. Au menu : du temps humain, de l'infra et un risque d'erreur.
- L'érosion de la confiance. L'expérience pénible laisse une trace. Devant deux services équivalents, il choisira plus tard celui qui ne lui a jamais réclamé six chiffres à recopier.
- Le contournement. Excédé, il improvise : un mot de passe unique partout, des codes griffonnés dans une note non chiffrée, des identifiants prêtés. Trop de friction n'élève pas le niveau de sécurité, elle le démolit, en orientant les usages vers le pire.
L'équation impossible : sécurité ou expérience ?
Aucune équipe produit fintech n'échappe à ce tiraillement. D'un bord, le régulateur réclame de l'authentification forte : la DSP2 rend la SCA obligatoire sur les opérations sensibles; MiCA pousse ces exigences jusqu'aux acteurs crypto. De l'autre, le marché taxe la moindre friction en attrition.
On serait tenté de régler l'affaire comme un curseur : un cran de sécurité par-ci, un cran de fluidité par-là, et hop, le compromis au milieu. C'est précisément le piège. Arbitrer ainsi, c'est tolérer soit un excès de fraude, soit un excès d'abandon, deux scénarios également intenable.
La vraie question n'est donc pas « jusqu'où la friction est-elle supportable ? ». Elle est : « Comment décrocher un niveau de confiance élevé sans rien laisser à gérer à l'utilisateur ? »
Ce que changerait une authentification sans secret à gérer
Projetons-nous dans un modèle où l'utilisateur n'a rien à mémoriser, rien à conserver, rien à transférer d'un appareil à l'autre. Un modèle dont la preuve d'identité s'appuie sur ce qu'il est, son visage, confronté en direct à une identité officielle déjà validée, plutôt que sur ce qu'il sait ou ce qu'il possède.
Là, le mot de passe oublié n'a plus lieu d'être. Ni la clé égarée. Ni le transfert de TOTP n’échoue. L'utilisateur se présente ; le système le reconnaît. Plus de secrets partagés, plus de matériel dédié, plus de friction.
Et les retombées tombent pile sur les indicateurs qui pèsent.
- Conversion : finie l'authentification qui coince le parcours. Les opérations sensibles aboutissent plus souvent.
- Support : les tickets de perte d'accès s'évaporent, et les équipes retrouvent du temps pour les vrais problèmes.
- Rétention : l'authentification devient transparente. On ne la subit plus, on ne la voit même plus.
- Conformité : l'authentification forte s'adosse à un facteur d'inhérence, la biométrie faciale arrimée à un document officiel, de quoi cocher la SCA sans s'appuyer sur un facteur de connaissance ou de possession fragile.
Mais la biométrie, n'est-ce pas une friction de plus ?
L'objection se défend. Les premières vagues biométriques ont laissé de mauvais souvenirs : selfies flous recalés, comparaisons faciales qui flanchent dès que la lumière baisse, contrôles du vivant intrusifs, tourner la tête, cligner des yeux, figer la pose plusieurs secondes.
Trois ruptures techniques rebattent les cartes.
La détection passive du vivant. Plus besoin de chorégraphie : les systèmes récents établissent que l'utilisateur est bien réel, ni deepfake, ni photo imprimée, ni injection vidéo, sur la seule base d'un regard vers la caméra.
La comparaison à une identité certifiée. Ce n'est pas un selfie d'enrôlement rangé quelque part qui sert de référence, mais la photo d'un document d'identité officiel, vérifiée une fois pour toutes puis rejouée sous forme d'attestation cryptographique. Zéro donnée biométrique conservée.
Le traitement en temps réel, à bord de l'appareil. Avant le moindre envoi, l'IA embarquée gère le cadrage, la qualité et la luminosité. Conséquence : plus de 95 % de réussite dès la première tentative, même sur un terminal bas de gamme.
Le coût de l'inaction
Rester accroché aux secrets, mots de passe, OTP, clés revient, pour une fintech, à payer une addition qui grimpe sur quatre fronts simultanément.
D'abord un budget d'acquisition dilapidé, à chaque client qui s'évapore sitôt l'onboarding terminé. Ensuite un support qui gonfle au rythme de la base d'utilisateurs et de ses pertes d'accès à répétition. Puis une conformité sous-évaluée, dès lors que les mécanismes retenus ne couvrent pas vraiment la SCA. Enfin une insécurité bien concrète, quand la friction renvoie les utilisateurs vers des pratiques douteuses.
Le problème n'est pas pour demain. Il est déjà là, et sa facture s'alourdit à chaque inscription supplémentaire.
L'authentification ne devrait jamais être un obstacle
Rien d'inéluctable dans cette friction. Elle trahit simplement un modèle qui refile à l'utilisateur la besogne que la technologie devrait porter : retenir un secret, garder un objet, maîtriser un processus. Derrière chaque exigence en plus se cache un point de rupture en sursis, un ticket support en gestation, un client déjà à moitié parti.
Savoir si ce modèle est périmé n'a plus d'intérêt ; il l'est. La seule question qui vaille : combien de temps une fintech tiendra-t-elle à perdre des clients, de l'argent et de la confiance avant de changer ?
C'est précisément là que ShareID intervient. Un MFA 3.0 qui rattache chaque authentification à une identité officielle vérifiée, rejouable à chaque moment critique du parcours. Un regard, et c'est réglé. Pas un mot de passe à retenir, pas une clé à transporter, pas une donnée biométrique stockée. Non pas un compromis entre sécurité et expérience, mais sa disparition pure et simple.
.png)

.png)