b.connect s’adosse à une architecture d’authentification souveraine

Créé par cinq grands groupes bancaires français, le bouton b.connect va permettre aux internautes de se connecter aux sites marchands partenaires et d’effectuer leurs achats sans devoir saisir de mot de passe. Ce nouveau service s’appuie sur une plateforme IDaaS 100 % française hébergée sur S3ns.

Permettre à tous les Français de se connecter et de payer sur un site marchand sans saisir de login et de mot de passe, c’est la promesse du nouveau service b.connect qui sera lancé à l’automne 2025. Un véritable défi puisque les 42 millions de Français détenteurs d’un compte bancaire auprès des cinq grands groupes bancaires actionnaires de la société b.connect (BNP Paribas, Groupe BPCE, Crédit Agricole, Crédit Mutuel – via Euro-Information, et Société Générale) sont les potentiels utilisateurs du service.

Celui-ci se pose en équivalent, pour le secteur privé, du bouton France Connect du service public. « Notre ambition est de proposer aux Français une solution simple et sécurisée, de devenir leur moyen d’authentification préféré et de réaliser ainsi plusieurs milliards de connexions par an, résume Pierre Chassigneux, CEO de b.connect. Pour y parvenir, nous avons imaginé un bouton d’authentification sécurisé “by design”, sans que l’utilisateur ait quoi que ce soit à faire. »

À partir de l’été 2025, les cinq banques vont inviter leurs clients à créer gratuitement leur compte b.connect, sans avoir à installer d’application et en l’appairant avec leur compte bancaire. b.connect s’appuie sur les applications d’authentification que les banques ont déjà déployées pour les paiements sur internet et qui traitent deux milliards de transactions par an. « L’idée était de réutiliser cette infrastructure non plus uniquement pour le check-out, mais aussi le check-in, c’est-à-dire la connexion à un site, en la complétant par un moteur d’intelligence artificielle qui permettra, dans la majorité des cas, d’accéder à un service internet et à son compte “client” en un seul clic sur le bouton b.connect. »

Une architecture bâtie pour supporter le pic du Black Friday

La plateforme qui va assurer la gestion de ces millions de comptes et des authentifications des internautes est fournie par Memority, opérateur de la solution IDaaS éponyme. « Parmi les points clés de ce projet, on peut citer les volumes de transactions, qui pourront atteindre plusieurs milliers par seconde un jour de Black Friday », souligne Francis Grégoire, deputy CEO de l’opérateur. Dans 80 % des cas, l’authentification sera passive : le système de gestion de risque de la plateforme Memority va considérer que l’utilisateur est dans un contexte de confiance et l’identification peut avoir lieu sans un login sur l’application mobile de sa banque. Les cinq banques supporteront la charge pour les 20 % de cas où l’authentification forte sur mobile sera considérée par le système comme obligatoire. Le service IDaaS Memority est commercialisé sous AWS, mais ici, le français s’est associé à S3ns pour héberger b.connect sur une infrastructure souveraine.

Face aux GAFAM, b.connect pourra s’inspirer du service suédois BankID qui traite déjà huit milliards d’authentifications par an dans un pays qui compte 12 millions d’habitants.

Au-delà des volumes à traiter, pour rivaliser avec les « social logins » d’Amazon, b.connect doit offrir une expérience utilisateur fluide, tant lors de la création du compte, que lors de l’authentification. Le service utilise pour cela une fonctionnalité de Memority. « La brique Memority Access Management décide si le système va se contenter d’une identification passive (dite frictionless), ou active avec une authentification sur l’application mobile de la banque », explique Francis Grégoire. « Lors d’une identification passive, le cookie permet d’avoir une empreinte du device et de rejouer un ToTP (Time based one Time Password) de manière transparente pour l’utilisateur. Associée au contrôle RBA (Risk Based Authentication), cela nous permet de savoir si l’utilisateur a changé d’emplacement géographique ou a changé de comportement. »

Ces mesures de sécurité font que les utilisateurs, en grande majorité, pourront accéder à leur compte sur le site sans saisir la moindre information. « C’est ce qui nous différencie des autres solutions, car nous mettons en oeuvre un moteur d’IA développé par Memority qui permet d’avoir un niveau de confiance élevé sur le fait que la personne qui va cliquer sur le bouton b.connect est bien celle qu’elle prétend être. »

En outre, b.connect fait le lien check-in et le check-out : lorsque l’utilisateur clique sur le bouton b.connect pour se connecter à son compte, un score de confiance est calculé par l’IA. S’il paye par carte, le score b.connect est transmis au schéma de paiement (CB à ce stade). Il va enrichir son score de confiance avec celui de b.connect et le transmettre à la banque pour décision d’authentification active ou « frictionless ». « Nous allons améliorer le niveau de confiance et diminuer le pourcentage d’authentifications actives qui nécessitent l’intervention de l’internaute, argumente Pierre Chassigneux. Nous allons ainsi fluidifier l’acte de paiement et améliorer le taux de transformation des paniers d’achat. »

Pour faire fonctionner le dispositif, plusieurs types d’identité ont été définis. Outre les utilisateurs, les fournisseurs de service, les banques et les employés de b.connect doivent se connecter à la plateforme. À chaque profil est affecté des droits d’accès spécifiques pour lui permettre d’accéder uniquement aux informations dont ils ont besoin. Les interfaces d’administration de Memority n’étant pas initialement conçues pour un usage B to C, Accenture a développé pour b.connect un SDK afin que les sites marchands puissent facilement intégrer le bouton b.connect dans leurs écrans de login et leurs applications mobiles. Un portail dédié permettra aux administrateurs des sites marchands de s’onboarder eux-mêmes en toute autonomie.

Les API Open Banking assurent le lien entre l’IDaaS et le système bancaire

Pour une identification active de l’internaute, avec une authentification forte sur l’application de la banque, la plateforme Memority est interfacée aux infrastructures d’identification des cinq banques. La connexion est réalisée au moyen du protocole Open Banking dérivé d’OIDC (OpenID Connect). Ce lien permet à b.connect de déclencher une authentification active sur l’application mobile de la banque. La plateforme dispose d’autres interfaces vers l’extérieur, à destination d’une passerelle SMS, d’un service de Captcha, d’un service de validation d’adresse et enfin d’un service de threat intelligence pour déjouer toute tentative d’attaque. Le SOC de Thales assure la surveillance en 24/7 de cette infrastructure.

Le projet en Chiffres

60 le nombre de microservices de la plateforme

3 centres de données en mode actif/actif

3 hébergements

L’entreprise b.Connect

Activité : Opérateur d’authentification
Effectif : 10 collaborateurs
CA : NC

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !