La CNIL a mis Boursorama en demeure d'arrêter d'intimer à ses futurs clients de partager leurs identifiants et mots de passe du site impots.gouv.fr, selon les informations de Next INpact.
Depuis plusieurs mois, chez Next INpact et en ligne, on s’interroge. Pourquoi diable Boursorama demande-t-il l’accès à l’identifiant et au mot de passe du site impots.gouv.fr à celles et ceux qui souhaiteraient obtenir un prêt ou ouvrir un plan d’épargne en actions ? La requête n’est-elle pas démesurée, au regard du Règlement Général sur la Protection des données (RGPD) ou, plus simplement, des bonnes pratiques de cybersécurité ?
Début 2022, nous avons posé directement la question à la Commission nationale de l'informatique et des libertés (CNIL), qui n’a fourni aucune réponse. À la même époque, un internaute a soumis une plainte, que nous avons pu consulter, à la CNIL.
Vingt mois plus tard, la réponse de l’institution lui est arrivée dans un mail consulté par Next INpact : ce 29 août, la CNIL a mis la banque en ligne en demeure « de se mettre en conformité avec les dispositions du règlement UE 2016/79 du Parlement européen des du Conseil du 27 avril 2016 », autrement connu sous le doux nom de RGPD, « notamment en cessant le traitement des identifiants de connexion au site impots.gouv.fr ».
La CNIL y indique que « la société dispose d’un délai de deux mois pour se mettre en conformité ». Interrogé sur le sujet, la CNIL nous confirme la mise en demeure. Le directeur marketing et communication de Boursorama, Xavier Prin, n'a par contre pas souhaité faire de commentaire sur la mise en demeure, mais nous parle de sa vision de cette « fonctionnalité » qui, selon lui, ne serait pas un problème. Deux salles, deux ambiances.
Moins de friction pour certaines offres bancaires
Pour fournir un prêt conformément au Code de la consommation, toute banque doit analyser la situation financière du client et vérifier ainsi sa capacité d’endettement. Pour les sommes inférieures à 30 000 euros, Boursorama propose plusieurs manières d’agir : si la personne est déjà cliente, l’analyse de ses revenus et charges est réalisée automatiquement à partir de ses comptes bancaires. Dans un tel cas, le processus ne prend que quelques minutes.
Autre option, adaptée à celles et ceux qui ne seraient pas clients : lancer un parcours similaire à celui des demandes de prêts pour des montants supérieurs à 30 000 euros. Dans ce cas-là, il s’agit de soumettre une série de documents (parmi lesquels relevés de compte, avis d’imposition, etc). Après analyse, la banque se déclare en mesure de fournir une réponse dans les « 7 à 10 jours ».
Sauf que l’époque est à la vitesse. Boursorama a donc mis au point une dernière proposition qui permet, tant qu’on reste sous la marge des 30 000 euros de prêt, d’aller aussi vite que pour un client existant. La technique ? Fournir le couple identifiant et mot de passe qui permet au client d’accéder à son compte impôt.gouv.fr, dans le cadre d’un processus que la banque nomme « Parcours Flash ».
En plusieurs endroits sur son site, Boursorama suggère de lui fournir le précieux sésame qui permet d’accéder au compte personnel de l’aspirant client sur le site des impôts. « Le procédé est sécurisé, vos identifiants et mot de passe d'accès au site impots.gouv.fr ne sont stockés que quelques minutes avec une double clé de chiffrement », indique la banque.
Elle affirme avoir besoin de ces informations pour « collecter et analyser vos revenus et vos charges sur votre dernier avis d'imposition (et rien que cela, aucune autre information provenant d'impots.gouv.fr n'est recherchée) ». Il faut la croire sur parole, car donner ses identifiants et mots de passe revient à ouvrir grand la porte à l’ensemble du compte.
Quand on lance un processus de demande de prêt, c’est sur la solution impliquant de céder ses identifiants impots.gouv.fr que Boursorama met l’accent
Souvent, le phrasé, voire le design de l'interface, mettent l'accent sur le bien-fondé de partager ces éléments. Comme le laissent entrevoir différents articles qui présentent la fonctionnalité comme une « astuce » intéressante, le but de la proposition est d’améliorer l’expérience client.
En effet, l’accès aux identifiants du site des impôts permet à la banque en ligne de fournir une réponse de principe beaucoup plus rapide que ses concurrents. « C'est une option qui n'a rien d'obligatoire, précise tout de même Xavier Prin. Qui veut le faire peut le faire. »
Paradoxe de sécurité
Sauf que céder un tel jeu d’information a de quoi faire hausser le sourcil. Les informations fiscales, si elles sont sensibles, sont de nature à être traitées par un acteur bancaire.
Mais le couple identifiant / mot de passe qui donne accès à impôts.gouv.fr permet aussi, lui, d'accéder au service de France Connect. Et avec la plateforme d’authentification de l’État français, c’est une potentielle porte d’entrée vers 1 400 démarches administratives de sensibilités diverses que Boursorama pourrait récupérer.
« Aujourd'hui, je ne connais pas de texte qui interdise de demander à ses clients son identifiant / mot de passe pour agréger des informations », indique Xavier Prin. Next INpact lui fait remarquer que garder ce type d'informations privées est une bonne pratique de sécurité numérique.
Celle-ci est notamment recommandée par la CNIL – qui inscrit « Communiquer un mot de passe personnel à une autre personne » tout en haut de la liste des choses à ne pas faire. Boursorama elle-même n’a de cesse de répéter à ses clients qu’il faut absolument éviter de communiquer ses identifiants pour protéger des informations sensibles.
Auprès de Next INpact, le directeur de la communication déclare : « Nous sommes confiants dans les protocoles que nous avons mis en place, et qui respectent toutes les logiques de sécurité. Nous avons le sentiment de respecter parfaitement les réglementations en vigueur. » Par ailleurs, répète-t-il, ceux qui ne seraient pas intéressés par la proposition du parcours flash peuvent passer par d'autres méthodes de vérification de leurs revenus.
En mai 2022, le directeur marketing laissait entendre auprès de Moneyvox que le recueil d'identifiants/mots de passe pour impots.gouv.fr n’était qu’une première étape avant l’usage, par Boursorama Banque, de l’API Impôt particulier.
Produite par la Direction Générale des Finances Publiques (DGFiP), celle-ci doit permettre d’échanger des informations fiscales avec qui de droit, sans partager d’informations sensibles comme les identifiants France Connect – l'API sert déjà aux établissements bancaires pour vérifier l’éligibilité des personnes au livret d’épargne populaire (LEP).
Interrogé sur le sujet un an plus tard, le cadre de la banque explique : « Nous sommes à la recherche de ce type de solutions » qui permettent de récupérer des informations sans faire prendre de risque aux clients. « L'idée n'est pas de faire prendre des risques aux clients. » Pour le moment, note-t-il, l'outil ne permet pas de récupérer les informations nécessaires à l'ouverture d'un crédit.
Commentaires (69)
#1
Bonjour,
Je ne comprends pas bien : en ce qui concerne les revenus l’avis d’imposition n’est-il pas suffisant pour contracter un prêt ? C’est, me semble-t-il, ce qui se fait habituellement.
#1.1
Bonjour,
Si, c’est d’ailleurs le document que demande Boursorama dans la procédure “classique”. Sauf que la vérification manuelle prend plus de temps (comme chez ses concurrents).
Demander l’accès au compte des impôts leur permet de réaliser les vérifications nécessaires (toujours sur des informations fiscales) plus vite, mais pour le client, cela a comme coût de diffuser des identifiants.
#1.3
Mettre en place un système de scraping douteux alors qu’il existe un service de vérification des avis ( https://www.impots.gouv.fr/verifavis2-api/front ) c’est assez curieux quand même.
#1.4
Effectivement, merci.
#1.2
D’autant plus qu’il existe un service de vérification en ligne des avis :
#2
Boursorama élargit le champ d’application de l’open banking - DSP2 de 2015 ? 😇
#3
“Aujourd’hui, je ne connais pas de texte qui interdise de demander à ses clients son identifiant / mot de passe pour agréger des informations”
Oh punaise, quel . Il va falloir lui offrir le livre “La sécurité informatique pour les nuls”.
Il faudra aussi qu’il comprenne que leur put* de clavier virtuel est contreproductif concernant la sécurité des mots de passe et qu’ils feraient mieux d’autoriser l’authentification via un coffre fort de mot de passe. Et que l’on puisse avoir une double authentification forte via jeton ou via une clef matérielle (et pas via un SMS ou leur appli…)
#3.1
Boursorama permet la double authentification. J’utilise moi-même une clé Yubikey. La connexion classique par mot de passe (série de chiffres par clavier virtuel) reste quand même disponible en cas d’échec.
#4
C’est quand même excellent car je viens de recevoir un email de Bourso justement sur la sécurité !
Et dedans il y a par exemple : “Votre rôle est primordial :
•Ne communiquez jamais votre identifiant avec votre mot de passe.”
Mais que ceux de Bourso en fait, les autres on s’en fout
Merci de l’info !
#4.1
C’est pareil avec l’Open banking qui permet de rassembler tous ses comptes de différentes banques sur la même interface bancaire de banque en ligne : on fournit ses codes d’accès et sur ce coup-là, c’est permis par la règlementation européenne DSP2.
#5
On fournit ses codes à un service qui est agréé par l’ACPR et accessoirement les codes d’accès à ses comptes ne permet pas la connexion à des dizaines d’autres services sensibles.
#5.1
Tout ça repose sur la confiance envers les acteurs bancaires. Perso, je ne me vois pas fournir l’accès à mes comptes sur une banque concurrente, même avec tous les agréments et certifications et autres. Commercialement en tout cas, c’est livrer sur un plateau des informations financières personnelles.
J’ai d’ailleurs du mal avec l’obligation de fournir mes infos financières et fiscales à une banque qui doit justifier par exemple l’origine de mes fonds, que je dépose chez elle, à l’administration fiscale. Ça n’a rien d’étonnant donc que Boursorama prennent des largesses avec la confidentialité de données privées en tant que prestataire de confiance.
#6
Franchement une boîte qui le demande ça c’est la fin de toutes relations avec celle-ci
#7
Il faudrait vérifier, mais ça m’étonnerait que les CGU du site impots.gouv.fr autorisent le partage de mot de passe avec un tiers, fût-il une banque.
#7.1
Tout à fait.
Après c’est potentiellement juridiquement compliqué mais… A moins qu’il n’y ait une case “j’accepte les conditions d’usage” quand tu te connectes (et pas juste à l’ouverture du compte), quelles sont les conditions contractuelles de l’accès au compte d’un tiers ?
Dans quelle mesure cela s’apparente-t-il à une intrusion dans un système ?
#7.2
Y’a pas de CGU sur le site des impôts. Rien dans le footer, rien sur l’écran de connexion.
Et j’ai pas eu le courage d’aller chercher sur Legifrance.
#8
Hallucinant ! Surtout quand on sait que ça peut servir au SSO FranceConnect. Article super intéressant, merci.
#9
De toute façon, pour moi boursorama c’est niet désormais. Ça s’est fini chez le médiateur, parce qu’ils refusaient de faire à l’état la demande pour une prime de prêt PEL (c’est à dire un truc qui ne leur coûte rien, c’est pas leur argent c’est celui de l’état).
Mais ça fait effectivement une raison supplémentaire de ne pas retourner chez eux.
#10
Ce que je note aussi c’est qu’il a fallu plus d’un an à la cnil pour réagir, alors que la violation de ses propres principes est ici plus que manifeste
#11
Et les impôts ne sont jamais aperçu qu’une IP servait à se connecter à plein de comptes différents??
Les impôts n’ont pas une veille sur ce genre d’anomalies ??
#12
“Vingt mois plus tard” pour envoyer un mail? Mais que fait la CNIL???
#12.1
270 agents à la cnil en 2022, ça ne doit pas aider à traiter les dossiers rapidement (12 193 plaintes reçue et 13 160 plaintes traité, toujours en 2022).
Ils bossent n’empeche!
#13
C’est juste tout bonnement hallucinant oO
#14
Donc le Yubikey ne sert pas à grand chose, si on peut passer outre
#15
Triodos a le “même” problème ; il y a la méthode login/password, sans 2FA, et les méthodes où il faut installer l’app mobile, mais on peut toujours utiliser le login/password. Du coup, je trouve que c’est un faux sentiment de sécurité d’avoir l’auth via l’app, étant donné qu’il y a le login/password (dont tu oublies l’existence et la “force”) qui est toujours actif.
#16
Aujourd’hui, je ne connais pas de texte qui interdise de demander à quelqu’un son numéro de carte bleue / code confidentiel ou date d’expiration + cryptogramme non plus… Mais je pense bizarrement qu’il ne serait pas content que je le demande à ses clients.
#17
Je suis comme toi, c’est totalement inenvisageable pour moi. Si j’ai ce type de demande, je tourne tout de suite les talons. C’est catastrophique pour eux en termes d’image.
#18
Si ce n’est pas écrit noir sur blanc dessus (au même titre qu’il n’existe pas à ma connaissance de loi interdisant d’être con), c’est clairement une violation du principe de minimisation des données collectées imposé par le RGPD. En demandant le login/password du site des impôts, Boursorama s’octroie la capacité de récolter plus qu’ils n’en auraient besoin pour ce dossier.
De plus, outre le fait que l’identifiant du site des impôts soit utilisable pour France Connect, il est aussi le numéro fiscal qui est utilisé pour toute démarche liée à cette administration.
Enfin, si Boursorama se fait attaquer son système d’information et que cette donnée est volée, l’entreprise met en danger ses clients. L’argument du “c’est chiffré à mort” n’est pas recevable à mes yeux : une entreprise qui demande l’identifiant de connexion d’une identité officielle d’un particulier n’a de fait aucune conscience de l’importance de la gestion des mots de passe et leur nature secrète. Aucune confiance ne peut lui être accordée. Si elle avait conscience de la nature secrète d’un identifiant de connexion, elle n’aurait jamais mis en place ce système.
Encore un projet IT merveilleusement bien géré.
#19
Je suis impressionné qu’il y ait des personnes qui acceptent de confier cela à un tiers quel qu’il soit …
.
#20
“Donne moi tes identifiants pour aller plus vite”
C’est pas une technique de hameçonnage (phishing) ça ?
#21
Oh les bons !
Après il y a une certaine logique d’aller vite, encore plus quand ouvrir un crédit coûte 5% plus cher toutes les 2 semaines.
Dans le style identifiant/mot de passe à tout va il y a Fortuneo qui fait fort aussi: ils ont implémenté la DSP2 à l’arrache, pour ceux n’ayant pas l’application smartphone il faut entrer id/mdp de Fortunéo sur une frame sur le site vendeur, magnifique…
#22
Ce que je trouve stupéfiant dans cette histoire, c’est que la connexion aux administrations françaises se fasse par identifiant + mot de passe.
#23
C’est en train de changer avec FranceConnect+, obligatoire pour le site de gestion du CPF vu les abus qu’il y a eu.
Le soucis c’est que c’est une plaie à activer et que déjà que le couple id / mdp pose souvent soucis aux gens là c’est encore pire…
#23.1
Et faut pas oublier que cela doit être accessible à toute la population. Surtout que maintenant la déclaration en ligne est le choix par défaut.
#24
Effectivement, je viens de voir ça sur mon compte Boursorama, par contre le fait que ça rebascule sur de l’authentification plus faible rend le système complètement inutile.
Sur iOS, on peut se connecter via FaceID, à défaut d’avoir du TOTP, mais régulièrement c’est désactivé pour “des raisons de sécurité” dixit Boursorama et on rebascule sur de l’authentification faible… Il y a des baffes qui se perdent…
#24.1
Je suis bien d’accord que ça annule l’intérêt de la clé de sécurité. Cela-dit, Boursorama indique que la clé ne peut pas servir à faire des opérations sensibles quand on paramètre les moyens de sécurité.
Moi, ça m’a permis de me familiariser avec la clé de sécurité. Le gros soucis de ces clés de sécurité est qu’en cas de perte ou de dysfonctionnement, la banque ne peut pas aider son client.
#24.2
Ah oui… Aucun intérêt du MFA si la bascule sur le code est possible
Le clavier virtuel est fragile comme sécurisation, il suffit d’une interception pour faire l’association image/chiffre, via MITM; extension verolée, keyloguer et j’en passe.
Un exemple de mise en pratique très instructif: https://shaarli.guiguishow.info/?7sZKlg
#24.3
C’est parce que ce n’est pas du MFA : chez Bourso la clé remplace le mot de passe (et le postit). Les opérations sensibles ont toujours besoin d’un facteur supplémentaire.
#25
Peux tu détailler la faiblesse (ou les) que représente ce système de clavier virtuel stp ?
#25.1
Le fait que quelqu’un puisse voir sur l’écran mon code pendant que je le rentre me gêne terriblement. Le clavier physique est plus discret pour cela.
#26
Ce n’est pas accessible / ergonomique. Par exemple, les touches changent d’emplacement ce qui complexifie la saisie vu que l’on ne peut pas faire le code sans regarder l’écran. Il faut prendre le temps de voir où sont les chiffres et cliquer dessus, ce qui permet à un tiers de bien voir la saisie du code vu que Boursorama met un gros effet visuel pour bien montrer sur quel chiffre on a cliqué…
Et les pirates ont de toute façon des outils pour passer outre ces systèmes.
À un moment, ils obligeaient aussi à changer de mot de passe tous les ans (à minima la SoGé), ce qui visiblement n’est plus le cas et c’est tant mieux !
#26.1
Merci pour ces précisions
La démonstration proposée sur le lien Shaarli est effectivement très intéressante.
#27
C’est pour ca qu’il faut toujours en avoir plusieurs programmées à l’identique, et placées dans des lieux différents
Sans compter que ca oblige à utiliser uniquement des chiffres.
#28
Oui, je l’ai pas indiqué car ça coulait de source
Mais on peut me rétorquer qu’il y a un blocage sur le nombre de saisie, ce qui est un argument (partiellement) valable.
#29
Bon, je sais quoi éviter comme banque …
#30
“Next INpact lui fait remarquer que garder ce type d’informations privées est une bonne pratique de sécurité numérique.”
Je suppose qu’il faut lire :
Next INpact lui fait remarquer que garder privées ce type d’informations est une bonne pratique de sécurité numérique.
#31
On a ici un exemple parfait de l’utilité des commentaires, qui permettent d’approfondir le sujet.
#32
On parle de certaines stations essence qui demandent, à l’abri des regards indiscrets, de saisir son code confidentiel sur des grands écrans tactiles verticaux ?
#33
Le blocage après un nombre de saisies de code faux, c’est vraiment super pour qui veut faire une attaque DoS.
#34
Ah oui, le clavier visuel, le truc le moins sécurisé qui existe au monde.
Non seulement c’est visible par n’importe quel neuneux mais en plus ça dois faire plus d’une décennie que les virus et compagnie font des captures d’écran au clique sur les sites bancaires.
Heureusement qu’ils font le combo SMS et e-mail sur des nouveaux périphériques.
Perso, j’attends qu’ils se mettent à respecter les standards TOTP pour mettre en place le second facteur.
#35
J’ai vu pire encore : le programme de fidélité d’un centre commercial. Pour espérer avoir la formule la plus intéressante, il fallait tout simplement leur fournir identifiant et mot de passe… de son compte bancaire.
J’ose espérer que la CNIL a fini par leur taper sur les doigts…
#36
Un autre souci, c’est que ça force théoriquement à accepter les CGU de Google et du Play Store pour utiliser son CPF, ce que je trouve hallucinant de la part de l’État Français.
En pratique on peut se procurer l’APK autrement, genre via Aurora store, mais je trouve ça quand même pourri d’un point de vue politique et éthique.
#37
Une autre chose aue je trouve pas normale c’est que Boursorama me demande de déconnecter mon VPN sinon je ne peux pas accéder à mon compte. VPN francais avec IP francais. Ils disent que c’est une question de sécurité !? Sécurité pour qui ???
#37.1
bah, passer par un serveur tiers, ça n’a jamais ajouté de la sécurité, plus on met d’intermédiaires, plus il y a de risque, surtout quand on ne sait pas trop qui est cet intermédiaire et où il est hébergé.
#38
Après,
si les impots leur fournissent une API pour choper l’ avis d’imposition, le débat est clos, il suffit de leur fournir le numéro fiscal, qui, je pense, est public, mais bon, ils auraient pu demander l’envoi de l’avis en PDF aussi, c’est aussi simple.
#39
Le gars de Boursorama interrogé est complètement à côté de la plaque.
Au lieu de faire amende honorable, et d’admettre que cette demande n’est pas sécurisée, tout en étant disproportionnée, il s’entête et avance l’argument farfelu du “c’est pas interdit donc on peut le faire”, alors que sa propre banque conseille de ne pas donner ses identifiants à un autre service
#40
Tiens, ça y est, Le Monde reprend officiellement des infos de NXI.
https://www.lemonde.fr/pixels/article/2023/09/01/boursorama-mise-en-demeure-par-la-cnil-pour-avoir-demande-des-identifiants-des-impots-a-certains-clients_6187370_4408996.html
#41
C’est marrant, je comptais ouvrir un compte chez eux, du coup, j’ai beaucoup moins envie.
#42
Tu fournis pas tes codes d accès normalement dans DSP2 . C est une authentification forte qui permet de générer des jetons Oauth2 ( généralement ) qui ont un périmètre d autorisation défini pendant l authentification.
Il n est normalement pas question de donner les identifiants bancaires
#42.1
Un algorithme n’est pas neutre (en tout cas, pas plus qu’un agent assermenté) et ce qui est légal ne rend pas les procédés plus justes même avec les meilleures intentions du législateur. Donc automatiser les procédures est plus rapide et peut être réglementé, mais ce n’est certainement pas plus juste ou plus sécurisé.
#43
J’ai eu l’espace d’un instant une curiosité malsaine et ai regardé la fonction “ajouter un compte externe” de l’espace de la Caisse d’Epargne.
La procédure demande la même chose : l’identifiant d’accès à la banque tierce en disant que ça sera stocké de manière chiffrée toussa.
Capture d’écran
Je n’ai pas été plus loin et n’ai pas eu envie de lire les CGU du service.
#43.1
Je viens de regarder pour Boursorama Banque justement, je m’attendais à être redirigé vers une fenêtre d’authentification de l’autre banque (ici la Banque Postale) et que Boursorama ne récupère qu’un jeton, mais pas du tout. Il faut effectivement donner ses identifiants à Boursorama.
Il y a même une case à cocher « Je reconnais avoir pris connaissance des Conditions Générales qui me lient à La Banque Postale et accepte en conséquence de communiquer mon identifiant et mot de passe à Boursorama Banque. *» l’astérisque signifiant bien sûr que le champ est obligatoire.
C’est fou.
#44
Parcours plus long et plus compliqué…
#45
Il y a aussi la solution de ne pas travailler avec eux non je dis ça je ne dis rien…
#46
Quel est le lien entre ta réponse et mon commentaire ?
Je dis juste que normalement DSP2 ne prévoit pas la fourniture et le stockage des identifiants bancaires
#46.1
La DSP2 prévoit l’open banking, c’est-à-dire la transmission des identifiants de banque en ligne à une banque en particulier. Toutes les banques sont susceptibles d’accéder aux données bancaires de leur client détenues dans des banques concurrentes.
Sans compter que l’administration fiscale a un droit de communication sur les données détenues par les banques. Mais c’est légal.
#47
Un ami a involontairement payé sa taxe d’habitation en utilisant mon RIB… aucun controle, alors que c’est écrit noir sur blanc sur le site des impots que le RIB doit etre au nom du redevable.
Alors regarder des adresses IP…
#48
Je connais plusieurs chefs de TPE qui confient à leur expert comptable leur couple identifiant / mot de passe du site des imports pour les déclarations de TVA, d’IS…. Alors qu’il existe une méthode de délégation sur le site des impôts. Je n’ose même pas imaginer comment sont stockées ces informations chez un expert comptable indépendant. Donc je ne suis pas étonné que certains confient ces infos à une banque :-(
#49
La DSP2 (ou plus exactement les RTS associés) est complètement absurde :
Il y a bien un souci de sécurisation, mais totalement inutile. Les banques doivent mettre à disposition des intermédiaires de paiement tiers une API pour accéder aux comptes clients. L’API ne peut être interrogée QUE par des intermédiaires de paiement certifiés par un régulateur européen. Donc, un pirate ne pourra pas se connecter à l’API PSD2 de Boursorama ou de LaPoste (il doit s’appeler Linxo, Fortuneo ou Bankin pour ça).
Mais rien dans la PSD2 ne traite de potentiels identifiants ou token dédiés à un tier et différents des identifiants personnels (bien que ce serait pour le coup utile). Du coup, le pirate qui parvient à se faire remettre les identifiants personnels a open-bar sur l’interface web (mais PAS sur l’API ce qui est censé nous rassurer…).