SĂ©curisation des liaisons bancaires

Salut a tous, je découvre le monde des agrégateurs bancaires, et je me pose la question de la sécurité des connexions avec mes banques.
Je ne pensais pas que je devais saisir mon identifiant bancaire et mon code d’accès.
Je pensais (bêtement) qu’à partir de notre identifiant bancaire, notre banque nous transmettait une sorte de code unique permettant de lier le compte à Finary.

Du coup comment ais-je la garantie que mon identifiant et mon code seront protégés contre une utilisation frauduleuse ?
Car avec ce combo n’importe qui peut se connecter à mon compte et faire des transactions…

Merci d’avance pour vos éléments :slight_smile:
Tiftiff

1 « J'aime »

(Très) Belle question.

[…] à partir de notre identifiant bancaire, notre banque nous transmettait une sorte de code unique permettant de lier le compte à Finary.

+1 (un code éphémère couplé à un token (en arrière-plan), mais viendrait de suite la question du token puisque, là aussi, « n’importe qui peut se connecter à mon compte »).

Certaines banques (les plus « connectées ») proposent de te faire certifier toute nouvelle authentification via un invité sur smartphone (une notification venant réclamer l’autorisation de l’utilisateur lui-même) ou un code par SMS (dans le cas d’un établissement réclamant l’autorisation via 2FA ; y a mieux en termes de sécurité (…)). Ce qui permettrait, d’une certaine manière, de compenser l’inconvénient du partage du mot de passe à un tiers. Pour le reste des banques…

Il ne me semble pas que Budget Insight (pour ce qui est des établissements français/européens) ait la main sur cette problématique. Le meilleur que B.I. puisse faire est de négocier, auprès des établissements qui en ont la volonté, l’absence d’envoi de notification/2FA pour les synchronisations post-première connexion.

1 « J'aime »

Je ne suis pas expert dans ces systèmes, mais le fait devoir donner identifiant et code → jamais je ne ferai d’agrégation…
Je vais en rester a mon excel :slight_smile:

Cela doit être suffisamment sécurisé vu que toutes les banques proposent de l’agrégation…
Boursorama, crédit agricole, …etc te proposent de connecter d’autres banques

Hello,

Tout ceci est organisé par d’une part le règlement européen DSP2 et par le RGPD également.

Les agrégateurs ont tout intérêt à être parfaitement cleans au risque de perdre leur agrément et donc de fermer.

Le Revenu avait fait un papier pas mal sur le sujet il y a quelques temps : https://www.lerevenu.com/finances-privees/banque/peut-faire-confiance-aux-agregateurs-de-comptes-bancaires

Une mise en balance coûts-avantages est à mettre en perspective (…). Il est question d’établissements effectivement agréés et sont tous sauf des méconnaisseurs de la question (c’en est même leur « dada »).

Concernant tes transactions, tu continues d’avoir la main. Les établissements (banques, notamment) disposent d’une myriade d’informations permettant de certifier que toi seul(e) est à l’origine d’une transaction (adresse MAC, IP, empreinte comportementale, localisation, etc.) et lorsque leurs/tes données ne correspondent pas à l’utilisation constatée à un moment donné (admettons, l’utilisation de ton compte par un « fraudeur ») alors l’accès de ton compte est systématiquement verrouillé avec la chaine de conséquences qui suit.

De mon point de vue, ton approche entraine (bien) « plus à perdre qu’à gagner ».

image


(+) @frl

Le Revenu avait fait un papier pas mal sur le sujet il y a quelques temps : https://www.lerevenu.com/finances-privees/banque/peut-faire-confiance-aux-agregateurs-de-comptes-bancaires

On explique notre approche ici et ici. Tout est parfaitement sécurisé et encadré par la régulation européenne.

1 « J'aime »