Décryptage – Les applications comme Itsme, ou encore Smart-ID, sécurisent-elles bien vos données personnelles?

Itsme, cette application qui remplace votre carte d'identité et que vous connaissez déjà bien, permet aux Belges depuis 2017, et aux Néerlandais et Luxembourgeois depuis 2022, d'effectuer des opérations en ligne qui nécessitent une identification garantie de la personne, comme des paiements ou des signatures de documents légaux. Mais ça, la plupart des Belges en âge de s'y inscrire le savent déjà puisque 7 millions de citoyens âgés de 18 à 80 ans y sont déjà inscrits. 

Ces derniers mois, Itsme s'est étendu dans plusieurs pays: l'Estonie, l'Irlande, l'Italie, la France, le Portugal, l'Espagne et le Royaume-Uni. Et dans le courant de cette année, l'app sera également disponible en Norvège, en Suède, en Finlande, au Danemark et en Islande. 

De nombreuses applications d'authentification 

Le développement d'Itsme est une initiative du secteur bancaire (Belfius, BNP Paribas Fortis, ING, KBC) et des télécoms (Orange, Proximus, Telenet) faisant partie du consortium "Belgian Mobile ID". Ensemble, ils ont donc créé une identité numérique individuelle qui permet de se connecter à sa banque, aux grands opérateurs téléphoniques, à son assurance mais aussi auprès du gouvernement.

Mais Itsme n'est pas la seule application à proposer ce type de service. L'application d'identification MyID.be par exemple, lancée en 2022 par une entreprise belge, peine à se faire connaître du grand public. Et puis il y a aussi Smart-ID, une application estonienne leader du marché dans plusieurs pays nordiques, qui débarque en Belgique. Il s'agit du cinquième pays européen où Smart-ID s'implante. En 2023, ils ont enregistré environ 1 milliard de transactions, soit trois fois plus qu'en Belgique.

Face à ce constat et à la multiplication de ce type d'application, une question se pose: ces apps sont-elles vraiment sûres? Comment sécurisent-elles nos données? Prenons le cas de notre Itsme belge, avec son slogan: "Itsme, super facile ​et super sécurisé". Mais est-ce bien vrai? Spoiler pour ceux qui n'auraient pas la force de lire: oui. Explications. 

Le cas d'Itsme: un système certifié

Pour Olivier Bogaert, commissaire à la Computer Crime Unit, ça ne fait pas de doute: "Itsme est sûre, tout est crypté donc les données ne sont pas accessibles". Effectivement, Itsme est un système certifié. Ainsi, l'app est officiellement reconnue par l'UE comme un moyen d'identification de niveau de garantie "élevée". Elle répond aux exigences d'eIDAS, le règlement européen sur l'identification électronique et les services de confiance pour les transactions électroniques, et est également certifiée ISO/IEC 27001:2013 pour la gestion de la sécurité de l'information. 

Itsme est aussi conforme aux directives de l'Autorité bancaire européenne (ABE) et de la directive NIS, première législation de l'UE en matière de cybersécurité. Ce qui est plutôt rassurant. 

Quelles données collecte Itsme? 

Sur son site, Itsme précise les données personnelles qu'elle collecte. On peut les départager en 3 catégories: 

• Données d’identité : il s’agit de toutes les données permettant de vous identifier, donc les données de votre carte d’identité, votre numéro de téléphone et votre adresse e-mail ;
• Données de sécurité: il s’agit des données techniques liées à votre smartphone et à votre appli Itsme installée sur ce dernier ;
• Données relatives aux actions: Il s’agit de toutes les actions que vous avez effectuées avec Itsme. Ces données vous permettent, à vous comme au partenaire, de garder une trace de ce que vous avez convenu (heure, date, données et finalité).

Comment nos données sont-elles sécurisées? 

Pour sécuriser nos données personnelles, qui peuvent être sensibles, Itsme semble avoir pris toutes les précautions. Au niveau de l'utilisateur: son identité numérique ne peut être utilisée qu'avec son smartphone, l'application Itsme qui y est installée, et son code personnel à cinq chiffres. C'est la méthode de l'authentification à multi-facteurs. 

Au niveau du stockage des données, c'est pareil. Sur son site, l'entreprise indique: "Nous sauvegardons vos données de manière cryptée dans un des centres de données les plus sécurisé de l'Union Européenne". Les données sont effectivement chiffrées avec différentes clés selon leur origine, avant d'être stockées dans les serveurs de Belgian Mobile ID (le consortium qui a financé le développement de l'appli), en Belgique.

Dans son document de politique de confidentialité, Itsme assure qu'aucune information personnelle n'est communiquée en-dehors de l'Espace Economique Européen. 

Et avec les partenaires Itsme? 

Chaque entreprise partenaire d'Itsme (banque, assurance, opérateur téléphonique, etc.) dispose d'une connexion unique et utilise une cryptographie à clés asymétriques pour une protection maximale: une clé pour crypter les données et une autre pour les décrypter. Le cryptage des données garantit que les informations ne sont lisibles pour personne, à l'exception du partenaire désigné.

Enfin, Itsme précise sur son site: "Les informations sont confidentielles. Nous ne partagerons jamais, ne publierons jamais, ni n'utiliserons ces données à des fins publicitaires, promotionnelles ou commerciales".

Vous pouvez aussi garder un œil sur les données que vous avez partagées, et vérifier avec qui via l'historique de vos actions. Pour cela, c'est très simple: rendez-vous sur votre app Itsme, cliquez sur "mon historique", et là, tout est visible. 

Des sms et mails frauduleux usurpent Itsme

Vous le savez, il y a régulièrement des cas de phishing dans lesquels les fraudeurs se font passer pour des établissements de confiance officiel comme Proximus ou le SPF Finances par exemple. Et depuis 2022, Itsme est touché par ce phénomène. "Il faut faire très attention", met en garde Olivier Bogaert.

Il conseille donc de toujours bien vérifier l'URL. Pour les actions Itsme, l’URL est uniquement le suivant: www.itsme.be/fr.  Ensuite, il ne faut jamais divulguer d'information personnelle tant qu'on n'est pas sûr qu'il s'agit bien d'Itsme. "Il faut toujours vérifier, si on a un doute, mieux vaut contacter la structure", estime le commissaire de la Computer Crime Unit. Car en partageant ses données sur un site frauduleux, la victime permet à son arnaqueur d'avoir accès à ses comptes bancaires et de les vider.

L'entreprise Itsme a d'ailleurs largement communiqué sur ces arnaques qui sévissent afin que ses clients ne se fassent plus avoir. Et elle est formelle: jamais Itsme ne vous contactera par e-mail, SMS ou téléphone pour vous demander de réactiver votre compte et de réintroduire vos données bancaires. Soyez donc extrêmement vigilant, et faites vos démarches via l'app officielle ou le site internet officiel.

Enfin, si vous devez réactiver votre compte, rendez-vous sur l'app ou le site Itsme, ne suivez jamais un lien repris dans un e-mail ou un SMS. Ne communiquez jamais vos données bancaires par téléphone ou via un lien figurant dans un message électronique.