Plusieurs grandes banques françaises s’associent pour lancer b.connect, une solution d’authentification sans mot de passe, gratuite pour 42 millions de clients. Une alternative française disponible dès ce mardi.
…« Se connecter à un site marchand en un clic, sans mot de passe, et sans confier ses données aux géants Google ou Apple, tel est le pari de b.connect »…
mais alors pourquoi : Hébergeur GOOGLE CLOUD FRANCE ???
Notre indépendance numérique reste utopique !
Le fait que ça soit hébergé chez GCP n’implique pas de confier les données à Google.
1 « J'aime »
Mais pour le moins nous confions des Euros à Google, l’indépendance éconnomique est un enjeu également
Il manque au minimum la possibilité de transmettre son adresse postale lors d’un achat sans devoir créer un compte et mettre toutes les données qui se feront pirater… ce que je fais par exemple en utilisant Apple Pay web…
Process d’onboarding:
- Scannez le QR code
- Renseignez vos informations personnelles
- Authentifiez-vous via votre app bancaire pour un maximum de sécurité
(par code, fingerprint ou face ID)
Donc, ça consiste à créer un autre compte chez une entreprise indéfinie, à qui tu fournis tes infos. Ensuite, elle partage ces infos lorsque tu te connectes chez un tiers avec ces boutons. C’est très probablement de l’OIDC. Elle t’informe que LeroyMerlin demande l’accès à ton mail, nom + … et tu dis « OK ». Elle garde ensuite les tokens de sécurités dans une base de donnée relié à ton identité, comme tout fournisseur OIDC classique.
La seule « nouveauté » ici, c’est de relier la partie authentification à celui mis en place par ta banque (et non directement) (delegated authentication).
Dans la pratique, cette entreprise saura exactement tous les sites que vous consultez (vu que le token d’authentification est à durée de vie limitée, obligeant les sites à le renouveler). Elle n’a pas besoin de stocker vos mots de passe, effectivement.
Vous ne pouvez pas vous opposer à l’utilisation des données qu’elle collecte, vu que c’est nécessaire au fonctionnement du service souscrit.
C’est l’équivalent d’un bouton Google ou Github ou X sur les autres sites d’Internet. Donc, de mon point de vue, c’est mieux que si c’était pire, mais à peine.
1 « J'aime »
Non. D’abord, ce n’est pas nécessaire pour le fonctionnement du service de collecter ces données. OIDC nécessite effectivement que le service d’authentification sache qu’on se connecte à tel autre service tiers, mais une fois la connexion faite, il n’est pas nécessaire que le service d’authentification conserve l’information (il n’a PAS besoin de conserver le token, le token est conservé par le client, qui le présente au service tiers, et le service tiers vérifie la validité de ce token, ce qui peut se faire sans interroger le service d’authentification, un JWT peut être validé de façon totalement offline).
Ensuite, quand bien même la collecte de ces données serait nécessaire pour assurer la service, ça n’implique pas qu’on ne peut pas s’opposer à leur « utilisation » (sous entendu, leur exploitation pour autre chose que le service rendu) : quand la collecte de données est nécessaire pour fournir un service, le prestataire ne peut les utiliser QUE pour le strict nécessaire à la fourniture du service. Tout autre usage doit être signalé et accepté par la personne concernée par ces données.
J’ai testé pour vous. ça marche bien. Je sors d’une web visio avec une des personnes de B Connect (sympa pour ne rien gâcher).
Une fois inscrit, la connexion est se fait sur un site marchand via un bouton. Aussi simple, même plus simple que google connect car il ne demande pas à partir de quel compte google il veut se connecter.
Je préfère 100 fois utiliser un outil de connexion FR plutôt qu’un outil de connexion de GAFAM. Faut être un minimum censé.
A chaque fois qu’un truc souverain éclos, y’a toujours des gens pour cracher dessus c’est pas croyable. On va ENFIN avoir « lasuite, visio » et maintenant ce service « souverain ». Depuis le temps qu’on a du retard c’est plutôt très cool.
1 « J'aime »
Je vois mal comment le site va transmettre ton email à LeroyMerlin s’il ne l’a pas collecté en premier. (Ou ton nom, etc…)
Car c’est de ça qu’il s’agit, lors de l’enrolling, LeroyMerlin va demander l’accès à (email, nom, tel, …). b.connect va te demander si tu acceptes (en te précisant que tu partages ces informations). Alors, oui, tu confirmes, puisque sinon, c’est game over pour te connecter.
Au final, à la fois LeroyMerlin et b.connect ont tes informations (ok, Leroy Merlin n’a pas de mot de passe). Ça fait quand même 2x plus d’acteurs qui ont tes infos que si tu n’utilisais pas le service.
Dans le « standard OIDC », un token JWT a une date de validité, donc LeroyMerlin n’a pas besoin de redemander un token tant qu’il est valide, même si tu te connectes 100x chez eux entre temps. Par contre, dès qu’il est invalide, Leroy Merlin doit redemander un token (il peut le faire avant pour rafraîchir la date de validité de manière transparente). Donc b.connect sait que tu te (re)connectes chez LM.
Et, en général sur tous les sites que j’ai vu utilisant de l’OIDC (ce qui n’est peut être pas le cas ici), le serveur OIDC conserve le jeton d’auth (en réalité, souvent le hash du jeton) ce qui permet de revalider rapidement pour les jetons de rafraîchissement. C’est une conséquence du besoin de pouvoir dévalider un jeton leaké, un utilisateur qui a fermé son compte, etc… En gros, lors de la réception de demande de renouvellement du jeton refresh, il faut vérifier si le compte utilisateur est toujours le même et valide (il peut avoir changé d’email, etc…). Donc il faut un lien avec cet utilisateur, tu ne peux pas te baser uniquement sur la validité de « ta » signature du jeton. Dans la pratique, il y a une map (hash_jeton/user_id) quelque part dans le système.
Bien sûr que dans le monde des bisounours, à l’instant même où le token est émis, il peut être effacé chez b.connect, mais vu que le service est gratuit, c’est donc tes meta informations le prix que tu payes. Donc, et jusqu’à preuve du contraire par la publication du code source du service (ou, au moins, un audit indépendant), je suppose qu’ils ne le font pas.
Fais l’enrolling chez eux, il n’y a aucune notion différente entre la collecte et l’usage des données pour la fourniture du service et pour de l’analytique ou de l’étude d’utilisation (ou autre terme foireux pour dire qu’on revend tes données avec ton accord).
bon bah y a plus qu’à attendre que ma banque s’associe à ce système
Avec keepass j’ai mon propre bouton.