Mon appli bancaire est-elle sûre à 100 % ?

Regrouper tous ses comptes dans une seule appli bancaire ne serait pas sans risque. En effet, toutes les banques n’appliqueraient pas les mêmes standards de sécurité. Comment puis-je savoir que mon compte ne va pas être piraté ? Le point en cinq questions (et réponses) pratiques.

On le sait, le mobile banking cartonne auprès des clients des banques. Consulter l’état de ses comptes, virer de l’argent, acheter un ticket de train : les Belges sont de plus en plus accros à leur smartphone pour gérer leur petits soucis d’argent au quotidien. L’engouement est tel que les nouveautés se multiplient sans arrêt, chaque banque rivalisant d’annonces afin de se montrer la plus avancée. Dernier exemple en date : l’option multi-comptes. Une nouveauté qui permet à l’utilisateur de surveiller tous ses comptes à vue, y compris ceux détenus auprès d’autres institutions financières, via une seule application. Facile et pratique. A ceci près que regrouper ses comptes de la sorte ne serait pas sans risque.

1. J’ai appris que je peux regrouper tous mes comptes bancaires dans une seule appli, quelle que soit la banque où ils sont ouverts. Comment cela se fait-il ?

A l’origine de la nouveauté, il y a la récente directive européenne sur les paiements (PSD2, pour Payment Services Directive 2). Son but ? Ouvrir, d’ici le 14 septembre prochain, les services de paiement et de tenue de compte des banques aux concurrents. En clair, obliger ces institutions à partager certaines informations de leurs clients pour permettre à des acteurs non bancaires – par exemple Amazon, Carrefour ou des fintechs – de proposer leurs propres services de paiement. C’est le concept de la ” banque ouverte ” qui repose sur l’ouverture des systèmes d’information des banques.

2. Quel est l’intérêt pour moi en tant que client ?

Avoir tous ses comptes centralisés auprès de sa banque favorite évite de devoir ouvrir plusieurs applis pour surveiller ses finances. On peut consulter le solde et l’historique, voire effectuer des paiements. ” Depuis le lancement de cette nouvelle fonctionnalité dans l’Easy Banking App en février dernier, nos clients qui ont donné leur consentement ont accès en temps réel, et de manière consolidée, au solde des comptes courants personnels et professionnels ainsi que les soldes des comptes d’épargne qu’ils détiennent chez KBC, ING et Belfius, explique Valéry Halloy, le porte-parole francophone de BNP Paribas Fortis. Pour le Belge qui a souvent des comptes dans plusieurs banques, c’est la possibilité d’avoir facilement une vue consolidée de sa situation financière.” Une vue d’ensemble à laquelle votre banquier principal a donc lui aussi accès. Le multi-banking devenant éventuellement un effet de levier pour gagner des parts de marché via des offres commerciales ciblées…

3. Qu’en est-il de ma sécurité ?

Alors que certaines institutions bancaires utilisent pour le moment une technique conviviale pour le client mais peu sûre, appelée reverse engineering, la directive ne prévoit que deux procédés pour permettre aux banques d’ouvrir leurs systèmes d’information : les API (pour Application Programming Interface) et le screen scraping. Sorte de pont sécurisé, l’API est “le” standard des banques – promu par les régulateurs – pour transférer des données bancaires vers d’autres intervenants, dès l’instant où le client a marqué son accord. Le screen scraping est, quant à lui, l’arme des fintechs pour se connecter aux systèmes d’information des institutions financières. Sans entrer dans les détails, disons que dans une API, “tout est standardisé, les identifiants et les mots de passe de votre banque ne doivent pas être transmis à la partie tierce, nous explique Etienne Ranwez, manager au sein du cabinet de conseil Sia Partners. Dans le screen scraping, par contre, on duplique ce que ferait manuellement un client qui se connecterait à sa banque.” Traduction : dans la technique du screen scraping, on vous demande vos identifiants et mots de passe avant que vous ne signiez avec votre lecteur de carte. Ces identifiants et mots de passe sont transférés à la partie tierce – souvent une fintech, comme dans le système du reverse engineering – laquelle les enregistrera afin de pouvoir se reconnecter ultérieurement à vos données sans que vous ne deviez les réintroduire à chaque fois. “La signature avec le lecteur de carte – si telle est la sécurité prévue par la banque – reste cependant à effectuer à chaque transaction”, complète Etienne Ranwez.

4. Certaines applications bancaires sont-elles plus sûres que d’autres ?

Selon Etienne Ranwez, une bonne API conçue dans les règles de l’art offre plus de sécurité, de vitesse et de stabilité que le screen scraping (et forcément le reverse engineering ). “Avec du screen scraping, le risque de perdre des informations sensibles est plus élevé et la connexion à la banque est plus précaire”, soutient l’expert de Sia Partners. Pour Olivier Onclin, responsable du retail et commercial banking chez Belfius, “il est important de conscientiser les clients sur les avantages mais aussi sur les dangers que présente l’agrégation de comptes. Centraliser tous ses comptes bancaires dans notre appli Belfius Mobile se fait via nos standards de sécurité, qui restent applicables. Nous ne travaillons que via API, c’est-à-dire que nous donnons accès à la serrure Belfius mais sans donner les clefs, ce qui n’est pas le cas de tout le monde. Et le client ne sait pas tout cela.”

Chez BNP Paribas Fortis, Valéry Halloy précise que la solution mise en place avec la fintech suédoise Tink est “la plus sécurisée puisqu’elle applique déjà les fondamentaux du marché en termes de sécurité : mécanisme d’authentification forte, anonymisation des log-in, chiffrement des échanges, etc. Nos équipes n’ont donc jamais accès aux identifiants bancaires. Les codes d’accès sont cryptés et stockés en lieu sûr : d’un côté les identifiants, de l’autre les mots de passe. Nous n’avons pas non plus accès aux données collectées auprès des autres banques de nos clients qui ne peuvent faire l’objet d’aucune exploitation de notre part, par exemple à des fins de prospection commerciale.” Voilà pour la version officielle. Il n’empêche que certains estiment qu’une fintech n’a pas toujours les moyens de sécuriser suffisamment ces données.

5. Quelle banque offre quel service et comment être sûr que mon compte ne va pas être piraté ?

Renseignez-vous auprès de votre banque pour savoir où sont stockés vos identifiants et mots de passe – en vous rappelant que si le reverse engineering demeure convivial, il s’avère moins étanche en termes de sécurité. Pour le moment, ING Belgique est la seule des quatre grandes banques belges où “l’aperçu multi-banques n’est pas encore disponible”. Chez BNP Paribas Fortis, on explique que “l’objectif est bien entendu de promouvoir et de respecter l’agrégation aux comptes de paiements via l’utilisation d’interfaces de communication sous forme d’API”. Chez KBC, on relève que “toutes les banques n’ont malheureusement pas (encore) mis à disposition leurs API”, raison pour laquelle l’institution a d’abord utilisé la technique du screen scraping lors du lancement de son application multi-bancaire à la fin du mois de mars 2018. ” Nous combinons donc actuellement les deux techniques. Notre objectif est cependant de passer aussi rapidement que possible aux API. KBC ne prendra donc plus en charge le screen scraping à l’avenir, à partir du moment où les API fournies seront suffisantes pour nous fournir les données nécessaires à un service multi-banques à part entière.” Voilà pourquoi, chez Belfius, l’agrégation n’est pour le moment possible qu’avec les comptes KBC, “la seule banque avec laquelle nous pouvons travailler de manière totalement sûre pour le client”, estime pour sa part Olivier Onclin.