Certicode Plus, Sécuripass, Confirmation mobile : voilà un peu plus de 3 ans que ces nouveaux noms ont fait irruption dans notre quotidien. Depuis septembre 2019, en effet, l'usage de ces dispositifs d'authentification forte est devenu obligatoire pour sécuriser certaines opérations sensibles : nos paiements en ligne par carte bancaire, bien sûr, mais aussi l'accès à distance à nos comptes bancaires.
Vous en avez sans doute déjà fait l'expérience si vous utilisez des services s'appuyant sur la technologie de la banque ouverte (ou open banking), par exemple les services d'agrégation de comptes proposés par votre banque principale ou par des applications de gestion budgétaire comme Bankin' ou Linxo. Tous les 90 jours, on vous demande d'effectuer une nouvelle authentification forte pour renouveler l'accès du service en question à l'historique de vos opérations bancaires. Une mesure pensée pour sécuriser ces données sensibles, mais qui n'est pas sans inconvénient. Chaque nouvelle authentification représente, en effet, une contrainte pour l'usager et, en cas d'oubli ou de souci, un risque d'interruption du service.
Compte bancaire, paiements : ce qui change pour votre sécurité
Un délai doublé
Cela explique que ce délai de 90 jours a été combattu de longue date, auprès des autorités européennes, par les acteurs de l'open banking. Leur opiniâtreté a fini par payer : l'Autorité bancaire européenne (EBA), institution chargée de veiller au cadre réglementaire du secteur bancaire de l'Union, a accepté de rallonger ce délai à 180 jours. Un changement effectif depuis quelques jours.
En clair, « l'établissement bancaire ne pourra plus imposer une authentification forte (...) aux utilisateurs pour conserver la connexion à leurs services dans ce nouveau délai de 180 jours, entre deux renouvellements », explique Linxo sur son blog. « C'est une amélioration immense de l'expérience pour les utilisateurs de l'open banking pour laquelle nous nous sommes battus depuis de longues années (...) » se félicite Bridge, autre pionnier du secteur en France.
Une amélioration, pas une solution
Tout le monde n'est pas aussi enthousiaste. Dans un communiqué, Jan van Vonno, en charge de la stratégie industrielle chez Tink, un autre géant européen de l'open banking, estime que cette évolution « améliorera la situation », mais qu'à plus long terme, elle ne « pourra résoudre le problème fondamental de la friction continue pour le consommateur et pour les entreprises d'open banking ayant à régulièrement réinscrire l'ensemble de leur base de clients - même si cela passe maintenant de tous les trois mois à tous les six mois. »
Il propose ainsi de s'inspirer « du modèle britannique, basé sur une seule authentification des clients auprès de leur banque, qui n'ont ensuite qu'à renouveler leur consentement auprès des [services d'informations sur les comptes]. »
