Open banking : les consommateurs ont-ils raison d’être inquiets ?

La nouvelle directive des services de paiements (DSP2) est entrée en vigueur le 13 janvier 2018, obligeant les banques à ouvrir, d’ici 18 mois, leur système d’information et à partager les données de paiements des clients avec des services tiers.

L'exigence de l’open banking a notamment pour but de simplifier les paiements, de favoriser la concurrence et d’optimiser l’expérience utilisateur. Toutefois, elle semble susciter des inquiétudes chez ces derniers. Sont-elles justifiées et peuvent-elles nuire à cette démocratisation de l’accès aux données ?

La réponse repose essentiellement sur la manière dont les règles en matière d’accès aux données et d’authentification forte vont être appliquées dans le cadre de la DSP2.

Par exemple, avec l’approche du screen scraping, c’est-à-dire un accès via l’interface utilisateur de la banque, le prestataire tiers utilise les identifiants d’un individu pour se connecter à son compte bancaire en son nom. Dans ce cas, le système n’est pas capable d’appliquer les pratiques de confidentialité nécessaires, comme le partage minimal d’informations, car le prestataire tiers a, pour ainsi dire littéralement, les clés du royaume et un accès complet à toutes les données financières de l’utilisateur.

Il est donc nécessaire que l’open banking soit implémenté via des interfaces deprogrammation d’application (API) dédiées, modernes, et protégées par une authentification forte du consommateur, elle-même basée sur la cryptographie. L’utilisation des APIs permet de mettre en place la ségrégation des données auxquelles le prestataire tiers peut accéder, avec le consentement et le contrôle de l’utilisateur. Par ailleurs, le protocole d’authentification basée sur lacryptographie est le seul moyen efficace de protéger les individus des techniques d’attaque communes, telles que le phishing pour récupérer les mots de passe ou les codes à usage unique.

Les régulateurs ont cependant introduit une obligation pour les banques de recourir à une solution alternative utilisant le screen scraping, dans le cas où l’interface dédiée par les open APIs ne serait pas prête ou suffisamment performante. Ceci nuirait à la mise en place d’une authentification forte et pourrait pérenniser des méthodes d’authentification plus faibles basées sur le "secret partagé". Si ces options sont exploitées par le marché, cela pourrait conduire à faire naître des inquiétudes chez les consommateurs, susceptibles d’entraver le passage à l’open banking. En effet, le contrôle et le consentement exercés par l’utilisateur en seraient affaiblis, en favorisant le modèle "tout ou rien" pour l’accès aux données.

Des inquiétudes fondées concernant l’accès aux données

Dans ce contexte, les consommateurs ont raison d’être inquiets et il faut espérer que les banques échapperont à cette obligation de solution alternative. Tant que les clients communiqueront leurs identifiants bancaires et mots de passe à usage unique à des prestataires tiers, dans une optique d’accès par screen scraping, ils seront la cible d’attaques par phishing. Si l’open banking favorise la hausse du nombre de prestataires de services tiers légitimes, cela augmente également la surface de menace pour les internautes.

Il faut donc que l’ensemble des parties bascule le plus rapidement possible vers les interfaces dédiées, accessibles par les Open APIs. Le contrôle d’accès rendu possible par ces dernières, associé à l’authentification forte basée sur des échanges cryptographiques fiables et difficiles à pirater, permettra d’améliorer à juste titre la confiance globale dans l’open banking.

La technologie, clé pour rassurer les consommateurs

L’éducation et l’information sont bien sûr essentielles. En pratique, la technologie jouera un rôle majeur, car l’authentification forte du consommateur sera matérialisée par le dispositif que ce dernier possède. Le choix de ce dispositif dépendra des moyens de connexion à la portée de l’utilisateur et des méthodes de vérification, telles que l’empreinte digitale, la reconnaissance faciale ou bien le code confidentiel. Ces processus seront idéalement exploités pour déverrouiller le dispositif afin qu’il mette en œuvre les protocoles d’échanges cryptographiques. L’accès aux comptes en ligne pourra alors se faire en toute conformité avec les exigences de la DSP2 en matière d’authentification forte, aussi bien dans les applications sur smartphones que sur les sites internet.

 

L'open banking est, au-delà de la DSP2, encore relativement récent, et les marchés suivent des schémas de déploiement très différents. Certaines solutions reposent sur des accords conjoints, d’autres sur des pilotes de systèmes conçus pour se conformer à la nouvelle directive. Aujourd’hui, il est encore trop tôt pour tirer des conclusions solides sur les bonnes pratiques. Toutefois, nous disposons de dizaines d’années de retour d’expérience dans les contrôles d’accès en ligne dépendant de mots de passe et de codes à usage unique. La croissance significative des cas de piratages de données ou d’usurpations d’identité d’une année sur l’autre indique très clairement que les méthodes d’authentification doivent évoluer vers des protocoles d’authentification cryptographique. Ils sont en effet déjà largement éprouvés et désormais standardisés, représentent le meilleur moyen en termes de contrôle d’accès et devraient être la base de l’open banking en Europe d’un point de vue sécurité.