Technologies

5 grandes banques s'allient pour simplifier l'authentification des clients en ligne

Pierre Chassigneux, Pdg de b.connect lors des Assises de la sécurité, à Monaco : « notre obsession est de créer une masse critique ». (Photo : R.F.)

Cinq des principaux réseaux bancaires français se sont mis d'accord pour concevoir b.connect, qui entend remplacer l'authentification par login et mot de passe sur les sites de e-commerce. Une solution s'appuyant sur des infrastructures existantes.

PublicitéBNP Paribas, Groupe BPCE, Crédit Agricole, Crédit Mutuel et Société Générale. Les 5 fées qui se sont penchées sur le berceau de b.connect pèsent lourd sur le marché des paiements en France. Créé en juillet dernier, ce service vise à « mettre fin à tous les mots de passe dans le e-commerce, avec tous les problèmes de sécurité qui y sont associés, en particulier le rejeu », indique Pierre Chassigneux, le Pdg de cette jeune entreprise, qui s'exprimait lors des Assises de la sécurité (Monaco, du 9 au 11 octobre). L'objectif ? Remplacer ces multiples mots de passe par un bouton d'authentification en un clic, réutilisant l'infrastructure exploitée pour les paiements par carte bancaire.

Afin de simplifier au maximum l'expérience des internautes, b.connect s'appuie sur un moteur d'IA pour leur éviter de repasser par leur application bancaire dans 80% des cas, selon les estimations données par le dirigeant. Ce mode « frictionless » se fonde sur les habitudes des consommateurs (IP, terminal utilisé, horaires...), ainsi que sur l'utilisation de la reconnaissance par empreinte digitale sur le terminal. Les 20% restant - sur lequel une suspicion de fraude subsiste - devront, eux, passer par une étape d'authentification manuelle au sein de leur application bancaire.

Limiter les abandons de panier lors de l'authentification

Le service, dont l'ouverture est prévue en mars 2025, doit être accessible d'emblée à 42 millions d'utilisateurs, la somme des clients des 5 grandes banques. La création d'un compte b.connect sera alors possible gratuitement depuis leur application bancaire. Côté commerçants, le service sera payant et nécessitera un effort d'intégration, modeste selon Pierre Chassigneux. Lors d'un pilote, le journal Libération serait ainsi parvenu à mettre en service b.connect en deux jours. Et les e-commerçants qui exploitent des gestionnaires d'identité tiers auront, eux, accès directement au service, par le biais de leur partenaire. « Pour les e-commerçants, l'enjeu consiste à diminuer le taux d'abandon lors de l'authentification de paiement, estimé à entre 15 et 20%, ainsi qu'à limiter la fraude », souligne le Pdg.

L'architecture de b.connect, dimensionnée pour des volumes massifs (chaque mois, 60 milliards d'identifiants et mots de passe sont saisis en France, à comparer à 20 milliards de paiements par carte), sera hébergée sur le cloud de Sens, la co-entreprise de Thales et Google. Elle repose sur la technologie d'authentification de l'éditeur français Memority. « Nous prévoyons une volumétrie hors norme, avec une pression transactionnelle pouvant monter à des millions de transactions par seconde », dit Francis Grégoire, le co-fondateur et responsable de la stratégie et de la technologie de Memority. Un front-office, développé par Accenture, permettra à l'usager de gérer son identité et ses terminaux de confiance, mais aussi de visualiser les sites avec lequel il est appairé et son historique de connexions.

Publicité« Un Lego réutilisant des briques existantes »

Les e-commerçants disposeront, de leur côté, d'un portail facilitant leur enrôlement sur la plateforme, associé à un kit de développement. Ils pourront également paramétrer les opérations nécessitant une authentification forte, repassant par l'application bancaire (par exemple, au-delà d'un certain montant). L'architecture de b.connect permet aussi de gérer la confidentialité des échanges, les sites de e-commerce n'étant pas informés des données bancaires de leurs clients. A l'inverse, les établissements bancaires ne pourront pas identifier le fournisseur de service au moment de la transaction.

« b.connect est un Lego réutilisant des briques qui existent déjà, sans qu'il soit nécessaire de réaliser d'importants investissements. Les différents acteurs sont connectés via un composant IAM », résume Pierre Chassigneux. Le service, qui a été testé lors d'une phase pilote impliquant une poignée de e-commerçants ainsi que le journal Libération, vise à enrôler « 10 à 20 très grandes enseignes de e-commerce » dès l'an prochain, afin de créer une masse critique. « C'est notre obsession », martèle le Pdg, qui vise une dizaine de millions de comptes b.connect actifs dès 2025. « Pour l'instant, b.connect est un projet franco-français. Si le lancement dans l'Hexagone est réussi, nous viserons l'extension à d'autres marchés européens », indique Pierre Chassigneux.