Gestion des comptes bancaires : faut-il faire confiance aux applications tierces ?

0
Pour gérer ses comptes bancaires, il existe une multitude d'applications et de services. Certains sont proposés par les banques en ligne elles-mêmes. Ces dernières restent toutefois limitées pour quiconque disposerait de comptes au sein de différents établissements financiers. Pour cet usage spécifique, quelques éditeurs ont développé des applications tierces, également connues sous le nom d'agrégateurs. Se posent alors plusieurs questions sur la sécurité des données.

07610547-photo-finance.jpg


Le plus souvent disponibles sous la forme d'applications mobiles, les agrégateurs se présentent comme des services universels compatibles avec plusieurs dizaines de banques. Sur le marché nous retrouvons entre autres, Bankin', Budgea ou Linxo. L'utilisateur sera en mesure de paramétrer trois ou quatre comptes bancaires dans divers établissements et de consulter ses soldes, voire d'effectuer des transferts depuis une même application. Chacune des opérations pourra être triée et associée à une catégorie spécifique. Enfin des graphes permettront d'obtenir des rendus dynamiques de ses dépenses. Le hic ? pour utiliser ce type d'application, le mobinaute devra partager son identifiant et son mot de passe fournis par sa banque pour se connecter sur le site officiel.

Des services déconseillés par les banques

Interrogé par nos soins, Olivier Tassain, responsable des communications chez LCL, rappelle que le client d'une banque n'est pas censé donner ses informations bancaires à une personne tierce. Même chose à la Société Générale, on nous fait savoir que la banque déconseille fortement à ses clients de confier ses codes confidentiels à une application non officielle. « On met l'accent sur notre propre application », nous explique Joelle Rosello, porte-parole de l'établissement financier.

Ces propos sont confirmés par Bertrand Schaefer, responsable des relations au secrétariat fédéral de la Fédération Nationale du Crédit Agricole. Il explique qu'il est non seulement déconseillé mais surtout interdit de donner ses codes confidentiels à un tiers.

0226000007610529-photo-banques.jpg


M. Schaefer rappelle que les données partagées avec les fournisseurs de ces applications bancaires tierces sont le plus souvent stockées sur des serveurs à l'étranger et donc soumises aux lois de ce pays. En l'occurrence, la plupart d'entre elles reposent sur l'infrastructure d'Amazon, c'est par exemple le cas de Bankin' ou Linxo.

Sabine Baudin, porte-parole de la Banque populaire Caisses d'épargne (BPCE), précise que ces agrégateurs ne sont pas soumis aux réglementations applicables aux prestataires de services de paiement. « Ils ne se sont pas rapprochés des banques pour s'assurer qu'ils ne compromettaient pas la sécurité », affirme-t-elle avant d'ajouter : « de notre côté nous sommes soumis à de nombreuses contraintes et nous disposons d'une expertise en matière de lutte contre la fraude ».

Mme Baudin affirme qu'il existe un flou entre les banques et ces agrégateurs : « On ne connait pas leur fonctionnement, ni leur système de sécurité ».

Les agrégateurs misent sur la sécurité

Et c'est justement sur ce point que les agrégateurs communiquent au public. Joan Burkovic, PDG et cofondateur de Bankin', précise que le mot de passe et l'identifiant du client sont hébergés dans des serveurs sécurisés. « Et même si un pirate arrivait à y accéder, les données sont chiffrées ».

Après intrusion au sein du serveur et déchiffrement des données, le hackeur serait en mesure de consulter les comptes d'une personne. Toutefois, M. Joan Burkovic souligne que la majorité des banques a mis en place une couche de sécurité supplémentaire pour effectuer des virements. Avec le dispositif de sécurité 3-D Secure, développé par Visa et mastercard, un code est ainsi envoyé par SMS sur le téléphone ou généré par un boitier spécial fourni par la banque.

0226000007610531-photo-agr-gateurs.jpg


La société Linxo, qui revendique entre 700 et 800 000 téléchargements sur iOS, Android, Windows Phone et BlackBerry a également mis en place plusieurs mesures de sécurité. Linxo génère une clé de chiffrement unique pour chaque utilisateur, laquelle est stockée au sein d'un serveur dédié, lui-même chiffré avec une clé master sur un disque protégé via le système cryptographique LUKS.

Bruno Van Haetsdaele, co-fondateur de Linxo, explique que les données sont hébergées sur les serveurs d'Amazon Web Services. « Ils ne font pas de compromis en termes de sécurité », explique-t-il ainsi. Si la majorité des banques déconseille vivement à leurs clients de donner leurs identifiants confidentiels à un tiers, M. Van Haetsdaele affirme que « ces techniques de chiffrement permettent de conserver cette confidentialité ». Pour mémoire, Linxo ne permet qu'une consultation de ses comptes et non pas d'effectuer des transferts.

Clément Coeurdeuil, président de Budget Insight, développant l'application mobile Budgea, explique pour sa part que l'infrastructure a été conçue par un développeur ayant deux années d'expérience dans une société spécialisée dans la sécurité. L'architecture a été soumise aux tests d'une banque partenaire réalisés en interne ou via des prestataires. « Nous avons passé ces tests haut la main », affirme M. Coeurdeuil

07619841-photo-finance.jpg


En réaction aux propos de Mme Baudin, il déclare : « Je trouve cela triste. Toutes les banques ont fait des appels d'offre. Pour nous ce sont des partenaires, pas des concurrents. Nous sommes allés les voir et beaucoup d'entre elles nous ont refoulés »

Serge Maître, porte-parole de l'AFUB, l'association française des usagers des Banques, explique que les risques frauduleux sont bel et bien réels. « C'est avec une grande réserve que nous voyons venir ce type d'initiatives », explique-t-il. Il a observé une multiplication des fraudes portées sur 3-D Secure, soit en détournant la puce du téléphone portable chez SFR soit, tout simplement lorsque le hackeur modifie l'adresse email et le numéro de téléphone du client de la banque pour obtenir le code de sécurité. Et d'ajouter que même si ces sociétés refusent de l'admettre: « la Banque Postale et le Crédit Mutuel sont les établissements les plus pillés ».

Et en cas de fraude ?

Mais alors que se passerait-il si les serveurs de l'un de ces éditeurs étaient piratés et qu'un hacker réussissait à mettre la main sur ces informations confidentielles pour effectuer des paiements ?

Pour M. Tassain, « à partir du moment où vous donnez vos codes, c'est compliqué pour le client » de prouver qu'il n'a pas effectué lui-même ce transfert. Il ajoute : « Je ne vois pas pourquoi ça serait à la banque de payer ». Pour Mme Rosello, en cas de piratage sur l'un de ces agrégateurs, « vous êtes responsable ». De son côté, M Schaefer estime que le partage des informations confidentielles constitue ni plus ni moins qu'une rupture du contrat entre la banque et le client. « A partir de là, notre responsabilité n'est plus engagée ».

0226000007610533-photo-s-curit.jpg


A la BPCE, nous recevons un son de cloche similaire. « Si un client confie ses codes à un tiers pour faciliter la gestion, la banque ne peut-être mise en cause », affirme Mme Baudin, « il doit se retourner vers l'agrégateur ». Elle ajoute cependant qu'il n'est actuellement pas possible de vérifier si un client s'est connecté depuis l'une de ces applications. « Bien sûr nous pouvons voir les adresses IP mais nous ne pistons pas. C'est une relation de confiance avec le client ». Toutefois la banque fonctionne au cas par cas et si elle n'a jamais observé de problèmes avec un client en particulier, alors ce dernier pourra être remboursé.

Les banques BNP Paribas, AXA Banque et le Crédit Mutuel n'ont pas souhaité réagir sur le sujet.

M.Van Haetsdaele pointe le comportement de ces banques et affirme que la faille peut provenir de n'importe où. Avec une attaque de type man-in-the-middle « on peut intercepter les données quand quelqu'un se connecte au site de sa banque », déclare-t-il avant de préciser qu'il existe des services de synchronisation de mots de passe (de type 1Password ou LastPass) pouvant également être victime d'intrusion. Et d'ajouter : « ... quand la personne n'a pas mis son mot de passe dans un fichier texte sur son ordinateur ou une feuille de papier à la maison... ».

Pour M. Coeurdeuil, une intrusion au sein de ses serveurs serait tragique : « Pour nous c'est fini, on n'existerait plus. Ce serait très problématique ». Il précise que les données des utilisateurs sont hébergées en France, chez OVH. Budgea ne permet pas d'effectuer de virement. « Nous sommes pour des systèmes en lecture », explique-t-il en ajoutant que les différents acteurs du secteur planchent sur un agrégateur global.

A l'AFUB on regrette la position des banques, notamment puisque celles-ci affirment avoir mis à disposition un dispositif technique fiable, lequel pouvant toutefois être mis à mal par un hackeur. Concernant le partage d'informations confidentielles avec un tiers, M. Maître précise qu'il peut effectivement s'agir d'une faute lourde « mais cela doit être validé par un magistrat » et non seulement par la banque elle-même.

Et quid d'un standard d'authentification ?

00C8000007610535-photo-authentification.jpg
Finalement, il serait donc plus simple de voir l'émergence d'un standard permettant à des éditeurs tiers de manipuler les données personnelles de l'utilisateur sans que ce dernier n'ait à partager ses identifiants.

Le Crédit Agricole souhaite se montrer ouvert avec les développeurs et dispose de son propre répertoire d'applications bancaires - le Crédit Agricole Store. Celui-ci propose des interfaces de programmation permettant aux éditeurs de venir se connecter sur les serveurs de la banque de manière conforme. Contrairement aux agrégateurs, la connexion du client est donc sous contrôle et ne passe pas par un serveur tiers. La société travaille d'ailleurs avec Bankin' et Budgea et a pour ambition de migrer tous les agrégateurs vers ses API. Pour Emmanuel Méthivier, responsable du département, l'idée d'uniformiser le marché n'est pas saugrenue. Il affirme : « Mon rêve, ce serait qu'il existe un standard avec une syntaxe commune ».

Certains restent toutefois un peu dubitatifs sur les motivations des autres banques. Selon M. Burkovic, les grandes banques n'ont pas la volonté de mettre en place un standard d'authentification. « Cela reviendrait à nous faciliter le travail », affirme-t-il « et donc de créer de la concurrence ». Si pour les jeunes sociétés l'émergence d'un standard représenterait une opportunité de gagner de nouveaux abonnés, « les gros groupes ont principalement pour objectif de garder leurs clients », explique M. Burkovic.

« Nous serions intéressés pour avoir des API sans passer les mots de passe. », affirme M. Van Haetsdaele. Il rappelle qu'il existe déjà des procédés comme OAuth. Toutefois, il souligne que les infrastructures des banques sont relativement sensibles. Il y a donc « une grande prudence sur les évolutions techniques ».

MM. Burkovic et Van Haetsdaele pointent tous deux des stratégies à court terme. Ils expliquent que les banques privilégient des accès depuis leurs sites Web ou leurs applications afin de promouvoir certaines offres à leurs clients. « Mais une stratégie à long terme est centrée sur le client », indique M. Van Haetsdaele.

Ces propos trouvent écho chez M. Coeurdeuil : « Nous sommes passés par des chemins qui n'existaient pas et les banques ne l'ont pas encore forcément compris ». Selon lui, toutes proposeront des agrégateurs sur le long terme comme le font déjà Fortuneo et Boursorama. « Dès qu'une grosse banque s'y mettra, les autres suivront ».


Le sujet reste donc encore délicat à l'heure actuelle. Les choses devraient toutefois évoluer. Mme Baudin explique que la Directive des Services de paiement introduite en 2007 en Europe est actuellement en cours de révision. Cette prochaine version reconnaîtra l'existence des agrégateurs. Ils pourront donc être soumis à des contrôles et seront donc officiellement reconnus par les banques.

A lire également :
Gérer son budget : les meilleurs apps et logiciels gratuits
Haut de page