Un consortium soutient les banques dans un début sur l’usage du screen scraping
La nouvelle directive sur les services de paiement (DSP2) est un sujet de discorde entre banques et fintechs. La FIDO Alliance, consortium international entre diverses entreprises du secteur financier, a pris position en faveur des établissements bancaires. Ce consortium est composé par l’alliance de 250 sociétés : géants de l’informatique, sociétés d’e-commerce, réseaux de paiement et banques.
Depuis sa création en 2013, la FIDO Alliance travaille pour faire avancer les conditions d’authentification en ligne. Elle a fait connaître son avis sur le débat en cours entre la Commission européenne et l’Autorité bancaire européenne (EBA).
Brett McDowell, directeur exécutif du consortium, révèle avoir écrit à la Commission européenne au sujet des normes techniques de réglementation (RTS) dans le cadre de la directive sur les services de paiement 2 (DSP2) qui entrera en vigueur en janvier 2018. L’objet de la controverse concerne précisément la capture de données d’écran, ou screen scraping.
La FIDO entre en scène dans le débat sur la DSP2
À l’heure actuelle, les agrégateurs d’informations, ces nouveaux acteurs proposant de regrouper l’ensemble des données des comptes bancaires des usagers, utilisent le screen scraping pour accéder au compte d’un client. Cet accès aux données se fait avec l’approbation du client, mais à l’insu des banques. La technique consiste à se servir des identifiants et du mot de passe du client.
Estimant que ce procédé n’est pas assez sécurisé, l’Autorité bancaire européenne a recommandé de l’interdire. Elle propose en revanche l’utilisation d’interfaces de programmation d’application (API).
Soucieuses que les API que les établissements de crédit leur proposent ne soient pas assez performantes, les Fintech revendiquent le maintien de l’usage du screen scraping. Parce que la Commission européenne redoute que les enseignes bancaires limitent l’impact de la DSP2 en cadenassant leurs API, la Commission européenne a plaidé en faveur des jeunes pousses qui ont signé un manifeste pour convaincre l’institution.
Le consortium soutient l’utilisation de l’API
Pour sa part, la FIDO préconise le recours à l’API. Dans sa lettre à la Commission, elle argumente :
nous ne voyons pas comment l’approche du screen scraping exigée par la Commission européenne pourrait être appliquée dans le respect des règles de sécurité imposées par la DSP2.
FIDO.
La directive indique effectivement l’emploi d’une authentification forte de l’usager pour les paiements en ligne ou à distance. Le screen scraping expose le client à des risques en matière de sécurité, car le mot de passe est vulnérable. La méthode la plus sûre pour le consommateur d’autoriser l’accès à son compte bancaire est l’API.
L’interface de programmation d’application permet en effet une authentification forte du client car elle se sert d’identifiants chiffrés avec une clé publique. En plus d’assurer un niveau de protection plus élevé, elle garantit la confidentialité du client dans la mesure où celui-ci peut sélectionner les données qu’il souhaite partager.
Ces arguments vont-il être pris en compte par la Commission européenne ?
