vendredi 21 octobre 2011

Agrégateurs PFM : La question des codes d'accès



Alors qu’on attendait plutôt une réaction de la FBF (Fédération Bancaire Française) c’est la CNIL (Commission Nationale de l' Informatique et des Libertés) qui le mois dernier a pris une position critique sur le modèle des agrégateurs PFM. 

Ces services internet et mobile, qui permettent la gestion depuis une interface web unique de l’ensemble de ses comptes bancaires (même lorsque ceux-ci sont répartis dans des banques différentes), sont très en vogue aux Etats-Unis. En France ils se nomment Boursorama MoneyCenter, Linxo ou Winancial.

Leur fonctionnement repose sur la technique du « web-scraping ». En utilisant les paramètres de connexion des utilisateurs, ils se connectent sur les portails web de leurs banques (parfois sans l’accord de celles-ci) pour rapatrier les données de leurs comptes et ainsi les présenter de manière synthétique. C’est simple et transparent pour le client… et c’est bien ce qui gène la CNIL.

Car au-delà du risque de piratage, c’est surtout l’aspect juridique qui pose problème à l’institution.
En effet en souscrivant à un agrégateur PFM en ligne, le client transfère la gestion de ses codes d’accès à un tiers. Rien de moins. En cas de vol ou d’opération illicite effectuée au moyen de ces codes d’accès, il sera difficile au client de se retourner contre la banque. Même si ces codes ont été récupérés par un hacker, sans qu’il y ait de lien avec l’agrégateur PFM.

Ce serait beaucoup plus simple si les banques  adoptaient toutes un système de connexion commun et indépendant. Mais le rêve d’un login / mot de passe unique sur internet a pris du plomb dans l’aile depuis le flop d’OpenID. Et la perspective de voir un jour Facebook ou Twitter, via leurs API Connect, jouer ce rôle n’est pas forcément envisageable (voire souhaitable), même si une banquenéo-zélandaise a déjà sauté le pas.

Une solution simple et pragmatique a été trouvée par INGDirect aux Etats-Unis : leurs clients peuvent désormais créer un accès en « read only » à leurs données bancaires. Prévu pour être communiqués aux agrégateurs PFM, ces codes d’accès réduisent considérablement les risques de malveillance.

2 commentaires:

  1. J'ai demandé il y a un mois à Banque Populaire il y a un mois un accès en lecture seule et ils m'ont répondu qu'ils ne savaient pas faire. Boursorama ne m'ont pas répondu.

    RépondreSupprimer
  2. Rien n'est en effet prévu en France pour faciliter l'usage d'agrégateurs PFM. A celà au moins 2 raisons : le nombre limité de clients potentiellement intéressés (le PFM n'est pas encore rentré dans les mœurs ici) et surtout les intérêts particuliers des différentes banques. Dans le cas que vous citez, Boursorama n'a clairement aucun intérêt à faciliter l'accès à vos données à un concurrent de son Moneycenter... Pas étonnant donc qu'ils soient restés muets à votre requête :)

    RépondreSupprimer