S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Des banques lancent b.connect : sous le capot du bouton de connexion souverain… ou pas

What ?

Des banques lancent b.connect : sous le capot du bouton de connexion souverain… ou pas

b.connect est un système de connexion sans mot de passe, créé par des banques françaises. Gratuit pour les utilisateurs, mais payant pour les enseignes. b.connect met en avant la « souveraineté numérique » et l’« indépendance technologique »… tout en étant chez Google. Quoi qu’il en soit, nous avons pris en main le bouton, examiné la procédure de création de compte et les conditions générales d’utilisation.

Le 20 mars à 09h31

Mise à jour du 20 mars à 14h37. Ajout de précisions sur la solution d’identification utilisée, en partenariat avec le français Memority et S3ns.

Article original à 9h31. b.connect est un système de connexion créé il y a un an environ à l’initiative de cinq banques françaises « unis pour la souveraineté numérique » : BNP Paribas, le Groupe BPCE, le Groupe Crédit Agricole LCL, le Crédit Mutuel et CIC (via Euro-Information) ainsi que la Société Générale.

La promesse d’une connexion « sécurisée et sans mot de passe »

La promesse ? La « possibilité d’utiliser gratuitement ce service pour simplifier et fluidifier les parcours de connexion en ligne, de façon sécurisée et sans mot de passe ». Le service mise sur le côté souverain et affirme être « entièrement opéré et hébergé en France ». La gratuité n’est par contre que du côté des utilisateurs, les enseignes, elles, devront passer à la caisse.

Pour Jean-Marie Dragon (responsable des moyens de paiement et monétique chez BNP Paribas et président du conseil d’administration de b.connect), b.connect répond « pleinement aux exigences de souveraineté numérique et d’indépendance technologique qui s’imposent aujourd’hui ». Pas si vite… Comme nous allons le voir, b.connect est biberonné aux services Google.

Après la bêta, le lancement. Comment ça marche b.connect ?

Le service s’est lancé doucement en bêta-test il y a quatre mois. Cette semaine, b.connect annonce la poursuite de « son déploiement avec d’ores et déjà 15 grandes enseignes partenaires » : Aladom, Bensimon, Boticinal, Boulanger, Celio, Courir, Gites de France, IZIPIZI, Leroy Merlin, Libération, Micromania, Ouest France, Sofinco, Tara Jarmon et Zapa. Une seizième est arrivée hier : Vialife (Viapresse). Nous avons pris en main le service.

Pour utiliser b.connect, il faut être client d’une des cinq banques partenaires car le service passe par l’application bancaire pour la création de compte et l’authentification. Notez que les filiales en ligne ne sont pas compatibles d’office. Boursorama, qui appartient à la Société Générale, n’est par exemple pas compatible avec b.connect. Hello bank!, l’offre banque en ligne de BNP Paribas, est par contre référencée.

Il reste 90% de l'article à découvrir.

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Commentaires (24)

votre avatar
Un système d'authentification centralisée, pourquoi pas, mais pourquoi est-ce piloté par des banques ?
votre avatar
On a eu la même chose en Belgique avec ItsMe, c'est super pratique tous les sites l'utilisent comme système principal, mais il a fallu plus de 9 ans(cette année) pour que le gouvernement développe sa propre version (MyGov).

itsme est aussi une initiative des banques, mais avec en plus nos opérateurs téléphonique.
votre avatar
Alors qu'en France, pour les sites gouvernementaux, on a France Identité, et ça marche plutôt bien.
votre avatar
Qui n'est pas reconnu comme valable pour le reste du monde, car pas suffisamment forte.
Pour ça que le gouvernement français a dut lancer FranceConnect+
votre avatar
mais de ce que j'avais compris France Identité est limité au service gouvernementaux non ?
Itsme est plus universel c'est aussi les Assurances, soin de santé, télécoms, bancaire, post, transport/location, signature numérique, ... C'est plus proche de b.connect de ce que je comprend.

donc France Identité est l'équivalent de notre MyGov (meme système que la carte d'identité éléctronique chez nous avec datacenter proprio en Belgique)

et b.connect de notre ItsMe (avec le meme soucis, c'est hébergé sur du AWS + cloudflare)
votre avatar
mais de ce que j'avais compris France Identité est limité au service gouvernementaux non ?
Relis mon message, c'est exactement ce que j'ai dit...
votre avatar
Pour la Belgique il y avait quand même la carte d'identité qui fonctionnait très bien, mais ok sur smartphone c'était un peu compliqué.
De tête le gouvernement avait déjà lancé une application qui avait été retiré directement car pas suffisamment sécurisé
votre avatar
Perso, je n'ai jamais aimé cette idée de compte unique pour plusieurs services. Même si b.connect fait de belles promesses (déjà douteuses d'après l'article), l'idée de volontairement centraliser autant d'infos disparates me gêne et me semble un peu dangereux... En plus de ne pas voir l'intérêt du truc honnêtement.

Je crois que je vais continuer à créer des comptes distincts avec adresses jetables partout :D
votre avatar
En Australie de mémoire c'est aussi le cas, visiblement en Belgique ça a été poussé aussi d'après @neod
Il me semble que dans certains pays scandinaves c'est également le cas.

Les banques sont vues comme des établissement qui disposent d'une certaine légitimité pour certains, et ce sont des établissements de "confiance" aujourd'hui, pour une majorité des personnes, sur ce genre de sujets de part leurs obligations réglementaires.
votre avatar
C'est quand même malheureux d'être accro à ce point aux solutions américaines.
Et nous vendre cela comme du souverain, c'est se foutre du monde.
votre avatar
Il faut un smartphone, qui plus est avec une appli bancaire ?
Pas besoin d'aller plus loin, c'est déjà rédhibitoire.
votre avatar
Quand il parle de IAM, il vise quoi exactement ? Parce que du libre existe, ça peut être forké pour s'adapter aux besoins de chacun et surtout être hébergé en France.
votre avatar
C'est l'info la plus importante et elle est manquante dans l'article :D

Parce qu'en terme de souveraineté c'est pas la même chose de changé d'AM et de site web
votre avatar
C'est memority derrière :
https://www.cio-online.com/actualites/lire-5-grandes-banques-s-allient-pour-simplifier-l-authentification-des-clients-en-ligne-15926.html
votre avatar
Et techniquement on sait ce qu’il se passe lors de l’authentification ? Ce sont des passphrases qui sont utilisées par exemple ?
votre avatar
Cela ressenble à un Keycloak avec un thème custom et un bon discours marketing pour nous vendre un truc lambda en quelque chose de révolutionnaire.

Le protocole utilisé est surement du OAuth 2 avec du CIBA pour la validation par application bancaire.

Après si cela peut permettre à tous ces gens de lacher l'ensemble de leur vie privée à chaque achat sans se poser de question pour avoir l'impression d'avoir des promo, sans que cela ne prennent 15 minutes à la caisse pendant que j'attends comme un con derrière, c'est une bonne chose. :)
votre avatar
La solution CIAM derrière c'est memority qui est un editeur francais d'IAM d'ou le fait qu'ils disent que c'est souverain.

GCP c'est uniquement pour le frontend.
https://www.cio-online.com/actualites/lire-5-grandes-banques-s-allient-pour-simplifier-l-authentification-des-clients-en-ligne-15926.html
votre avatar
J’ai le partenariat avec Memority, merci du signalement et du lien :chinois:
votre avatar
avec ce nom et ce logo, j'ai cru que c'était un truc développé par boulanger... :bouletdujour:
votre avatar
OK donc en gros on refait la centralisation à la google connect mais avec les banques françaises.
on centralise donc toutes les données d'achats en ligne.
Vous me direz, la banque connaît déjà tout ça, mais là on a plusieurs banques qui vont donc inciter des millions de clients à tous utiliser la même techno stockée au même endroit.
Après, pour quoi pas.

Mais je me demande : pourquoi les banques font ça ? C'est pas le style d'entité à faire la charité, donc je me demande pourquoi ils mettent autant de pognon là-dedans. ben oui parce que du secnumcloud pour milliards de login par mois c'est pas vraiment donné.
votre avatar
Bah car comme le dit l'article, les sites devront payer pour chaque connexion faite avec ce bouton.
À part peut-être pour un site qui demande un haut niveau de sécurité (et qui a l'argent pour ça), ça semble quand même être un gros repoussoir.

Comme d'habitude, en France, on considère que les seuls utilisateurs sérieux de ce genre de solutions seront des boîtes du CAC 40. Pendant ce temps, les GAFAM les ouvrent gratuitement à tout le monde, faudra pas s'étonner s'il n'y a pas beaucoup d'adoption...
votre avatar
Pourtant, pour ce genre de services, n'y avait-il pas déjà OpenID ? Il y avait pas mal d'acteurs utilisant cette solution si je me souviens bien, même Orange l'avait intégré.

Après, sincèrement, est-ce que ça va vraiment prendre auprès des utilisateur.ice.s ? On va surtout se retrouver avec un système en plus de tous les autres (même si celui-ci est prétendument français).
votre avatar
Ça me parait dangereux ce type de solutions:
1. Ça oblige a avoir un smartphone officiel non sécurisé (adieu LineageOS, e/OS ou GrapheneOS…) aux mains des ricains et de leur aspirateur à données personnelles
2. C’est un fédérateur d’identité, qui du coup à accès à tout ce que tu fait avec cette identité
3. Si tu perd cet accès (par exemple ils décident qu’ils n’aime plus la version de ton tel) tu perd l’accès à tout tes comptes
votre avatar

  1. Ça t'oblige à t'avoir un smartphone tout court... et ça c'est rédhibitoire pour moi.

  2. OpenID me semblait plus sécurisé... d'autant que c'était une solution ouverte (on sait ce que ça fait et ce que ça envoie).


2 bis. Aucune royautés à payer contrairement à b.connect.