Plusieurs grandes banques françaises s'associent pour lancer b.connect, une solution d'authentification sans mot de passe, gratuite pour 42 millions de clients. Une alternative française disponible dès ce mardi.
Se connecter à un site marchand en un clic, sans mot de passe, et sans confier ses données aux géants Google ou Apple, tel est le pari de b.connect, officiellement lancé ce mardi 16 mars. Derrière ce bouton discret, on retrouve BNP Paribas (et Hello Bank), Crédit Agricole (et LCL), Crédit Mutuel (et CIC), Groupe BPCE (Banque Populaire et Caisse d'Épargne) et Société Générale, qui ont fait quelque chose d'assez inhabituel, s'unir. Quinze enseignes partenaires intègrent déjà le dispositif, de Boulanger à Leroy Merlin, en passant par Micromania, Courir, Celio, Gîtes de France, Sofinco ou des grands noms de la presse comme Ouest-France et Libération. Et la liste est appelée à s'allonger vite. Mais voyons comment cela fonctionne.
La connexion sans mot de passe passe par une techno 100% française
Sur les sites partenaires, b.connect apparaît comme une simple alternative au formulaire login/mot de passe habituel. Un clic sur le bouton, et c'est réglé, le système reconnaît qui vous êtes sans que vous n'ayez rien à taper. Pour y parvenir, b.connect utilise sa propre technologie cryptographique, avec un échange automatique et sécurisé entre votre appareil et ses serveurs, qui vérifie votre identité en coulisses, en une fraction de seconde.
Dans les faits, cette connexion en un clic fonctionne dans environ 77% des situations. Le chiffre de 80% avancé au lancement est une estimation, que Pierre Chassigneux, PDG de b.connect, actualise lui-même comme il le confirme à Clubic. « Aujourd'hui nous sommes à 77%/23%. » Dans les 23% restants, pas de panique, votre application bancaire habituelle prend simplement le relais pour confirmer votre identité, comme elle le fait déjà pour valider un virement. « Non, ce n'est pas du passkey/FIDO2, mais un mécanisme d'authentification cryptographique de challenge/response », ajoute le dirigeant.
Changer de téléphone ou de banque ne pose aucun problème. Dans un tel cas, b.connect déclenche automatiquement une vérification via votre appli bancaire, le temps de vous reconnaître sur votre nouveau contexte. Quant à la question que beaucoup se posent, à savoir si vos banques vont savoir où vous vous connectez, Pierre Chassigneux est formel, « les banques ne peuvent pas savoir sur quels sites leurs clients sont connectés. » Vos données de connexion ne leur sont jamais transmises.
L'ambition de devenir le bouton de connexion préféré des Français
Alors bien sûr, l'argument « c'est français » a son charme, mais il ne suffit pas à faire changer les habitudes. L'outil b.connect avance donc un avantage plus concret. Le bouton fonctionne exactement de la même façon, quel que soit votre navigateur, que vous soyez sur Chrome, Firefox, Safari ou un autre. Ce n'est pas toujours le cas du « Se connecter avec Google » ou du « Sign in with Apple », dont le comportement peut varier selon l'environnement utilisé.
Mais l'argument le plus fort est peut-être le plus inattendu, vous allez comprendre. Vous connaissez ce moment agaçant, lorsque vous bouclez votre achat en ligne, où votre banque vous demande de confirmer votre identité une nouvelle fois avant de valider le paiement, le fameux 3D Secure. L'outil b.connect, lui, réduit considérablement ces interruptions, parce qu'il fait le lien entre votre connexion au site et votre paiement par carte. Pour lui, vous êtes déjà identifié, votre banque le sait, et elle vous fait confiance. Google et Apple, eux, ne peuvent pas établir ce pont-là.
Créer son compte b.connect est gratuit, et se fait en quelques minutes sur bconnect.net ou directement depuis l'un des quinze sites partenaires au lancement. La cible, ce sont les 42 millions de clients des cinq banques fondatrices, auxquels le service est d'emblée accessible. « Notre ambition est de devenir LE "bouton" de connexion préféré des Français », résume Pierre Chassigneux. Un objectif ambitieux, mais avec un tel réservoir d'utilisateurs potentiels dès le premier jour, le départ est loin d'être modeste.
