L’application Itsme est-elle aussi sûre qu’elle le prétend ? (analyse)
Itsme fête ses cinq ans. Pour l’occasion, la société d’identification en ligne mène une campagne axée sur un message clair : Itsme est le moyen d’identification le plus sûr. Mais est-ce vraiment le cas ?
Itsme est une application d’authentification de l’identité numérique individuelle. Elle permet d’effectuer des opérations en ligne qui nécessitent une identification garantie de la personne, comme des payements ou des signatures de documents légaux. Mais ça, la plupart des Belges en âge de s’y inscrire le savent déjà, vu que 80% d’entre eux y sont inscrits et actifs. Cela représente 6,5 millions de Belges âgés de 18 à 80 ans. Elle doit principalement ce taux d’utilisation record à l’arrivée de l’appli CovidSafeBE en 2021, qui utilisait Itsme pour l’accès à des documents comme le Covid Safe Ticket.
Le développement d’Itsme a été financé par le secteur bancaire et le secteur des télécoms pour devenir une carte d’identité dans le monde numérique et sécuriser un maximum les procédures d’identification. À l’occasion de son cinquième anniversaire, l’entreprise va mener une campagne axée sur un message clair : Itsme est le moyen d’identification le plus sûr. Mais est-ce vraiment le cas ? Spoiler alert : oui.
Un système certifié
Itsme est officiellement reconnu par l’UE comme un moyen d’identification de niveau de garantie « élevée ». Elle répond aux exigences d’eIDAS (le Règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques). L’application est également certifiée ISO/IEC 27001:2013 pour la gestion de la sécurité de l’information.
Y a-t-il un risque de piratage des données personnelles ?
Il y a toujours un risque avec l’Internet actuel. Mais il faut reconnaître que l’application prend toutes les précautions pour éviter que cela se produise.
Au niveau de l’utilisateur : son identité numérique ne peut être utilisée qu’avec son smartphone, l’application Itsme qui y est installée et son code personnel à cinq chiffres. C’est la méthode de l’authentification multi-facteurs.
Au niveau du stockage des données, c’est pareil : sur son site, l’entreprise indique : « Nous sauvegardons vos données de manière cryptée dans un des centres de données les plus sécurisé de l’Union Européenne. » Les données sont en effet chiffrées avec différentes clés selon leur origine, avant d’être stockées dans les serveurs de Belgian Mobile ID (le consortium qui a financé le développement de l’appli), en Belgique. Dans son document de politique de confidentialité, Itsme assure qu’aucune information personnelle n’est communiquée en-dehors de l’Espace Economique Européen.
Chaque entreprise partenaire d’Itsme dispose d’une connexion unique et utilise une cryptographie à clés asymétriques : une clé pour crypter les données et une autre pour les décrypter. Le cryptage des données garantit que les informations ne sont lisibles pour personne, à l’exception du partenaire désigné.
Quelles données sont partagées avec les partenaires ?
Itsme dispose de beaucoup d’informations sur chacun de ses utilisateurs : bien souvent les données bancaires, le numéro de registre national et toutes les opérations qui sont réalisées via son système d’authentification. Au total, près de 800 entreprises et partenaires proposent Itsme comme moyen d’identification ou de signature. Quelles données sont partagées avec ces entreprises tierces ?
« Lorsqu’un partenaire signe un contrat avec Itsme et qu’un partage de données est inclus, nous paramétrons spécifiquement l’accès pour ce partenaire », répond Sylvie Vandevelde, la porte-parole de la société. « Comme le veut le RGPD (Règlement Général sur la Protection des Données), nous demandons à nos partenaires de ne recueillir via Itsme que les données strictement nécessaires à l’exécution du service. »
Des SMS frauduleux concernant Itsme
Il y a régulièrement des cas de phishing dans lesquels les fraudeurs se font passer pour des établissements de confiance (Proximus, le SPF Finances…). En ce début d’année 2022, Itsme a particulièrement été touché par ce phénomène. « La personne qui clique sur le lien [qui figure dans le SMS] va arriver sur une plateforme assez proche de la plateforme officielle », précise Olivier Bogaert, commissaire à la Computer Crime Unit. « Sur ce faux site, les escrocs vont demander des données, souvent des données bancaires », ajoute-t-il. En partageant ces données, la victime permet à son arnaqueur d’avoir accès à ses comptes bancaires et de les vider.
La porte-parole de l’appli avait déjà réagi sur ce sujet en 2021 : « Itsme n’enverra jamais de mail ou sms avec un lien pour vous demander d’activer ou de réactiver votre compte, de faire une mise à jour, ou autres. Si vous avez reçu un message de Itsme avec un lien, c’est louche. »
Il semble finalement que l’application mérite son statut de valeur sûre pour les Belges. Alors que les données personnelles sont devenues une marchandise et parfois la cible des cybercriminels, Itsme a pour ambition d’étendre ses services aux autres pays européens. Et certains lui réservent un accueil chaleureux.
Victor Broisson
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici