Que de compliments publicitaires entre concurrents pour vanter les mérites d’un seul nom: itsme! © crea/news

Comment l’application itsme s’est rendue incontournable dans nos smartphones

Le Vif

En moins de cinq ans, l’application itsme a imposé son règne écrasant dans le domaine de l’identification numérique en Belgique. Si les experts louent unanimement ses garanties en matière de sécurité, certains questionnent son hégémonie.

100% d’accord avec ING: itsme est le login le plus sécurisé», mentionne l’affiche de BNP Paribas Fortis. «BNP Paribas Fortis dit vrai», surenchérit celle de CBC qui la jouxte. «CBC a vraiment raison», complète la troisième, signée ING, pour boucler la boucle. Mêmes éloges entre les opérateurs Proximus, Telenet et Orange Belgium. Que de compliments publicitaires entre concurrents pour vanter les mérites d’un seul nom: itsme, cette application d’identification, d’authentification et de signature électronique, désormais familière pour 6,5 millions de Belges, soit 80% des 18-80 ans.

Les acteurs bancaires et télécoms fédérés autour d’itsme permettent de couvrir une bonne partie du marché.

Rien d’illogique à cela: au même titre que Belfius, ces grands noms des secteurs bancaire et télécoms sont tous actionnaires de Belgian Mobile ID, la société à l’origine d’itsme. En juin 2021, l’Etat fédéral les a également rejoints par l’intermédiaire de la Société fédérale de participations et d’investissement (SFPI), qui détient désormais 20% des parts.

En cinq ans d’existence, itsme a aussi conquis 800 partenaires publics ou privés. Après la carte d’identité numérique (eID), adoptée dès 2002, son essor a contribué à faire de la Belgique une pionnière européenne dans ce domaine. Depuis 2018, itsme est d’ailleurs reconnue comme l’une des solutions garantissant le niveau de sécurité le plus élevé dans l’Union européenne, tel qu’énoncé dans le règlement sur l’identification électronique et les services de confiance pour les transactions électroniques (eIDAS). «Itsme a répondu à ce besoin à un moment où les services de l’Etat ne l’avaient pas encore envisagé et où les particuliers, eux, étaient demandeurs d’une solution plus flexible que la carte d’identité électronique», expose Axel Legay, professeur en cybersécurité à l’UCLouvain.

Itsme est basée sur le principe de l’authentification multifacteur (MFA), qui consiste à confirmer l’identité numérique d’une personne en combinant au moins deux preuves. Tout nouvel utilisateur doit valider la création de son compte avec sa carte d’identité (et son code pin) ou sa carte de banque (et son code secret). A chaque manipulation, ce n’est que par le biais de son code secret itsme ou de son empreinte digitale ou faciale qu’il peut refuser ou accepter, sur son smartphone, l’opération souhaitée: accéder à l’une ou l’autre plateforme de l’administration (MyMinFin, MyPension, MaSanté…), installer une application bancaire mobile ou encore signer un document électronique.

La simplicité de l’interface itsme constitue un atout majeur: une fois le compte créé, l’interaction ne se fait qu’en trois clics.
La simplicité de l’interface itsme constitue un atout majeur: une fois le compte créé, l’interaction ne se fait qu’en trois clics. © itsme

L’échec du paiement mobile

C’est au départ d’un échec qu’itsme a bâti sa réussite. En 2013, BNP Paribas Fortis et Belgacom (aujourd’hui Proximus) s’associent en vue de créer une application de paiement mobile pour tous. Elles constituent la société Belgian Mobile Wallet, rapidement rejointe par les banques KBC, ING, Belfius, ainsi que les opérateurs Telenet et Orange Belgium. Fin 2014, le partenariat avec MasterPass permet d’aboutir au lancement officiel de l’appli, baptisée Sixdots. Mais l’initiative fait long feu: avant mi-2015, le conseil d’administration décide de recentrer les activités sur l’élaboration de «services d’identité mobile», alors que les comptes affichent une perte reportée de près de onze millions d’euros. «Je pense qu’à l’époque, le marché n’était pas prêt pour une solution de paiement mobile, glisse un ancien collaborateur. Par ailleurs, le partenaire technique chargé de concevoir l’application n’était pas à la hauteur.»

Il n’est pas normal que des autorités soient à ce point dépendantes d’une entreprise privée pour des services aussi cruciaux que ceux liés à l’identité numérique.

Aux oubliettes, Sixdots. Belgian Mobile Wallet devient Belgian Mobile ID en 2017. C’est ainsi qu’itsme voit le jour. Cette fois, le projet s’avère fructueux, grâce à l’addition de plusieurs éléments décisifs. Le casting, tout d’abord: «Les acteurs bancaires et télécoms fédérés autour d’itsme permettent de couvrir une bonne partie du marché, souligne Stephanie De Bruyne, la CEO de Belgian Mobile ID. Il y avait aussi des intérêts partagés. Les banques géraient déjà des données liées à l’identité des gens. Quant aux opérateurs télécoms, eux aussi pouvaient apporter des garanties.»

Peu de concurrents auraient pu se targuer de disposer d’une telle audience, indispensable pour une adoption rapide et sécurisée de l’application. Itsme semble donc sur un boulevard. En choisissant, en outre, un partenaire externe (la société Approach) spécialisé dans la cybersécurité, itsme assoit d’emblée sa crédibilité auprès des experts. «Elle n’a vraiment pas lésiné sur les budgets, confirme un ex-consultant. Et elle a bien raison, puisque la moindre faille entraînerait une rupture de confiance, et donc la fin de l’application.»

Deuxième étape majeure: l’adoubement d’itsme par l’Etat fédéral. Dès 2018, celui-ci la reconnaît comme un moyen d’authentification pour accéder à différents portails fédéraux, au même titre que la carte d’identité électronique. C’est ainsi que les citoyens découvrent une alternative intuitive au lecteur de carte d’identité pour accéder à leur déclaration d’impôt en ligne. La simplicité de l’interface itsme constitue un atout majeur: une fois le compte créé, l’interaction ne se fait qu’en trois clics. Le premier pour ouvrir l’application, le second pour valider l’opération demandée, le troisième pour encoder le code secret. «Que ce soit pour s’identifier, s’authentifier, confirmer des transactions ou signer des documents électroniquement, nous voulions que la procédure soit identique», précise Stephanie De Bruyne.

Le boost de l’ application CovidSafe

Résultat: itsme conquiert le million d’utilisateurs dès 2019, puis 2,6 l’année suivante. Mais c’est en 2021 qu’elle franchit un nouveau palier. Dans le cadre de la crise sanitaire, plus de 6 millions de Belges choisissent itsme pour se connecter à l’application CovidSafe. Entre 2020 et 2021, le nombre de transactions annuelles passe de 90 à 233 millions, ce qui pose des défis technique et financier. Malgré les injections de capital, notamment les 14,5 millions de la SFPI, la perte reportée d’itsme croît encore de 3,4 millions fin 2021. «C’est vrai, nous ne sommes pas encore rentables, reconnaît Stephanie De Bruyne. Nous avons fait le choix de continuer à investir dans la sécurité du système, dans l’équipe et dans les développements futurs. Nous sommes sur la bonne voie pour atteindre le point d’équilibre dans les prochaines années.»

Le secrétaire d’Etat à la Digitalisation, Mathieu Michel, aurait-il voulu torpiller itsme? Certains y voient un mauvais procès d’intention.
Le secrétaire d’Etat à la Digitalisation, Mathieu Michel, aurait-il voulu torpiller itsme? Certains y voient un mauvais procès d’intention. © belga image

A quel coût pour les partenaires? En ce qui concerne les usages liés au système d’authentification fédéral (dit Fas), soit ceux donnant accès à des portails tels que MyMinFin ou MyPension, l’Etat aurait versé 350 000 euros à itsme en 2021. Un montant sous contrôle, puisque largement inférieur au plafond annuel de 450 000 euros fixé dans un arrêté royal. Pour l’appli CovidSafe, en revanche, c’est une autre histoire. Comme celle-ci n’a pas été conçue par ce schéma Fas/itsme, l’arrêté royal n’était visiblement pas applicable. Ainsi, indiquent certaines sources, le montant total facturé par itsme pour les dispositifs Fas et CovidSafe s’élève à environ 800 000 euros pour 2021, une année marquée par le caractère exceptionnel du pass sanitaire. D’où cette sortie de Frank Robben, l’administrateur général de la Banque Carrefour de la sécurité sociale et de la plateforme eSanté, dénonçant «des coûts supplémentaires disproportionnés», dans une interview au Nieuwsblad, en juin dernier.

Si le gouvernement veut avoir davantage son mot à dire par rapport à itsme, c’est parce que l’Europe le lui impose.

Les interrogations sur l’hégémonie d’itsme ne se limitent pas à cela. «Il n’est pas normal que des autorités soient à ce point dépendantes d’une entreprise privée pour des services aussi cruciaux que ceux liés à l’identité numérique», déclarait, toujours en juin dernier, le secrétaire d’Etat à la Digitalisation, Mathieu Michel (MR). Les critiques ont rapidement fusé: les autorités torpillent-elles itsme, alors qu’elles sont partenaires de longue date et actionnaires par la SFPI? Pourquoi créer une alternative à une solution massivement adoptée par les citoyens?

Wallet numérique de l’état: avec ou sans itsme?

Contrairement à certaines affirmations, les pouvoirs publics ne comptent pas faire une croix sur itsme. Début 2021, les deux parties ont d’ailleurs prolongé leur partenariat, pour une durée de trois ans. «Pour le citoyen, rien ne changera», assure Sylvie Vandevelde, responsable de la communication chez itsme. D’ici à 2023, l’Etat travaille en fait à l’élaboration d’un portefeuille (ou wallet) numérique, permettant à chaque citoyen de disposer notamment de sa carte d’identité ou de son permis de conduire dans son smartphone. Le différend porte sur le rôle que la société jouera ou non dans ce cadre-là. «Nous n’avons pas pour ambition de créer des wallets, mais de pouvoir y donner accès», précise Stephanie De Bruyne.

Des adeptes d’itsme y voient une césure dommageable entre des acteurs publics et privés qui, jusqu’ici, entretenaient une forte collaboration. Mais pour Axel Legay, les détracteurs de Mathieu Michel lui font un mauvais procès : «La directive européenne NIS 2 demande à tous les Etats de protéger et de garantir la continuité de leurs services essentiels et stratégiques, dont l’identité numérique. Si le gouvernement veut avoir davantage son mot à dire par rapport à itsme, c’est parce que l’Europe le lui impose. Le secrétaire d’Etat est probablement le seul qui se soit posé la question, et je suis surpris qu’on l’attaque sur ce terrain-là.»

Ces accrocs ne freinent en rien la marche d’itsme. La société se prépare à ajouter l’échange de données à l’arc de ses fonctionnalités. «Demain, un employeur pourra, par exemple, prévoir un bouton itsme sur son site, pour qu’un candidat l’autorise à consulter à distance son diplôme. Nous voulons créer un standard de marché, afin d’éviter que chaque entreprise souhaitant échanger des données développe son propre système», conclut Stephanie De Bruyne. Itsme compte, en outre, s’étendre dans d’autres pays, après sa réussite écrasante en Belgique et ses premières incursions aux Pays-Bas et au Luxembourg. Autant d’ambitions qui devraient résolument la rendre encore plus incontournable à l’avenir.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Partner Content