Tout savoir sur itsme
C'est quoi itsme ?
Du haut de ses 6 millions d’utilisateurs en Belgique, itsme voit désormais les choses en grand. Concrètement, 4 adultes belges sur 5 y ont déjà créé leur ID numérique, à la fois preuve d’identité et moyen de connexion largement utilisé. Avec autant d’utilisateurs et de données en jeu, l’application mobile soulève évidemment des questions sur son utilisation comme sur sa sécurité.
Rappelons qu’itsme n’a pas toujours été aussi populaire et a même connu des débuts difficiles. L’application, lancée en 2017 par le consortium Belgian Mobile ID, a notamment souffert de bugs de jeunesse et n’était au départ réservée qu’aux clients ING, Belfius, KBC ou Fortis (et ses filiales)… C’est-à-dire, la plupart des membres du consortium. Aujourd’hui, elle a fait du chemin. C’est qu’elle a entretemps été reconnue par le CSAM, le système qui organise les accès aux services d’e-gouvernement, notamment Tax-on-web. Itsme a connu un autre coup de boost lorsqu’elle est devenue le principal sésame pour télécharger les certificats de vaccination, de test et de rétablissement sur l’appli CovidSafe.
Aujourd’hui, bon nombre de Belges l’utilisent au quotidien comme un moyen pratique d’accéder à de multiples services, qu’ils soient publics ou privés. Grâce à elle, plus besoin de sortir la carte d’identité ou de banque, ni le petit lecteur pour confirmer votre identité. Il suffit de dégainer votre smartphone avec l’appli itsme.
Que faire en cas de souci ?
En cas de problème avec itsme, vous pouvez utiliser le bouton "Besoin d’aide ?" présent dans l’appli et sur itsme.be. Un centre d’aide est aussi accessible via le bouton "Contactez-nous" présent sur le site. Il n’est malheureusement plus possible de joindre itsme par téléphone.
Avec itsme, une fois l’application installée sur votre smartphone et votre compte créé, plus besoin de carte, ni de lecteur. Ce moyen de connexion a aussi l’avantage d’être disponible tant dans le secteur public que privé et revendique un niveau élevé de sécurité. Par exemple, un faux site de phishing ne pourrait pas tromper l’appli dans le but de voler vos données.
Mais rien ne vous oblige à utiliser itsme, car les entreprises et services partenaires acceptent généralement d’autres moyens de connexion comme votre carte d’identité électronique (eID) ou de débit. Le désavantage de la première est qu’il faut à chaque fois utiliser un ordinateur et un lecteur de carte eID. Quant à la carte bancaire, elle requiert un lecteur propre à sa banque, dont l’utilisation peut aussi être détournée par des sites de phishing.
D'autre part, à l'automne 2022, itsme a augmenté son accessibilité. L'appli s'est ouverte aux jeunes dès 16 ans, ainsi qu’aux personnes aveugles et malvoyantes (pour l'instant sur iPhone seulement, grâce au programme "VoiceOver" d’Apple).
Au fil du temps, l’offre de services compatibles avec itsme a notablement augmenté. Vous pouvez retrouver ici la liste complète des partenaires. Parmi eux, on trouve évidemment les membres du consortium Belgian Mobile ID, à savoir des leaders du secteur bancaire (Belfius, BNP Paribas Fortis, CBC/KBC et ING) et des télécommunications (Orange Belgium, Proximus et Telenet). Les services gouvernementaux du portail CSAM (Tax-on-web, MyPension, MaSanté, eBox...) répondent aussi à l'appel, de même que plusieurs services communaux (IRISbox à Bruxelles…). Divers assureurs (AXA, AG...) et mutuelles (Mutualité Chrétienne, Partenamut…) complètent également la liste. Citons encore l’espace cloud sécurisé Izimi et diverses plateformes de documents et de signature (AdobeSign, Connective, Doccle, DocuSign…).
Que permet de faire itsme avec chacun de ces services ? Essentiellement quatre choses :
- S'identifier : Accéder de manière sécurisée à un site ou une appli (par exemple Tax-on-web).
- Créer un compte : Faciliter l’inscription à un service (par exemple Izimi).
- Confirmer : Valider une transaction (par exemple un virement bancaire en ligne).
- Signer : Effectuer une signature électronique qualifiée (ou SEQ, l'échelon le plus sécurisé).
Si itsme simplifie l’identification numérique au quotidien, son installation initiale peut s’avérer laborieuse. Vous pouvez créer votre compte avec :
- Votre carte eID. Téléchargez l’appli sur votre mobile, puis rendez-vous sur cette page. Vous aurez besoin d’un ordinateur, de votre carte d’identité électronique avec son code PIN et d’un lecteur de carte eID. Ce dernier requiert l’installation du logiciel eID via ce site. Vous serez aussi invité à ajouter un plugin de signature à votre navigateur web. Assurez-vous que ce dernier est bien compatible et installe l’extension. Retrouvez ici comment démarrer avec l’eid.
- Votre carte bancaire. Vous n’avez besoin que de votre smartphone avec l’appli itsme et de votre carte bancaire, son code PIN et son lecteur. Retrouvez ici comment démarrer avec votre carte bancaire. Cette méthode n’est possible que si votre banque est partenaire et que vous êtes passé en agence lire votre carte eID. Un compte bancaire créé uniquement en ligne ne fonctionnera pas.
Pour des raisons de sécurité, le processus d’authentification multifacteurs d’itsme ne permet d’utiliser l’application que sur un appareil, en l’occurrence votre smartphone. Voilà pourquoi vous devrez la bloquer puis la réactiver si vous changez de téléphone. Pour ce faire, rendez-vous en ligne pour bloquer votre compte, puis pour réactiver votre compte. Notez que si votre compte itsme a été initialement activé à l’aide de votre carte d’identité, vous ne pourrez pas le réactiver avec votre carte de banque.
En réalité, itsme se base sur une sécurité à plusieurs facteurs. Pour confirmer votre identité numérique, le système demande effectivement votre code à 5 chiffres, mais l’associe à votre (numéro de) téléphone mobile et votre application itsme. Si un élément fait défaut, la connexion est bloquée. De plus, pour éviter les fuites, ce code est personnel et n’est repris dans aucune base de données.
Pour plus de sécurité, verrouillez toujours l’accès à votre smartphone. La reconnaissance faciale ou digitale peuvent en outre se substituer à votre code itsme et ainsi éviter qu’un tiers ne vous voie le taper. Vous pouvez aussi changer régulièrement ce code via les options de l’appli (trois petits points en haut à gauche) ou bloquer rapidement votre compte, par exemple en cas de perte du téléphone.
Itsme fait régulièrement la une de l’actualité en raison de SMS ou d’e-mails de phishing circulant en son nom. Nous vous expliquons ici comment éviter l’hameçonnage. Mais vous vous demandez peut-être si le système itsme est compromis ? Selon Belgian Mobile ID et SafeOnWeb, ces messages ont pour but de voler vos données bancaires et non de pirater votre compte itsme, qui se veut bien armé pour éviter le phishing.
Exemple de faux SMS au nom d'itsme
En fait, pour augmenter leurs chances de ferrer des victimes, les cybercriminels ont pour habitude d’usurper le nom de services populaires. En général, ils prétextent un problème avec votre compte et vous invitent à le débloquer en utilisant votre carte de banque et son lecteur. Or, itsme ne vous contactera jamais par e-mail, SMS ou téléphone pour vous demander de réactiver votre compte ou mettre à jour l’appli et de saisir à nouveau vos coordonnées bancaires.
Par exemple, itsme demande à ses partenaires de ne recueillir que les données strictement nécessaires à l’exécution du service. Voilà pourquoi l’Administration en ligne demandera votre numéro de registre national et de carte eID, alors que seul votre numéro de téléphone sera partagé avec Proximus. Ce principe du "juste nécessaire" est un des préceptes du Règlement Général sur la Protection des Données.
En matière de sécurité, Belgian Mobile ID explique chiffrer vos données, tant lorsqu’elles sont communiquées à un partenaire que pour les stocker. Itsme dispose en outre d’une certification ISO 27001, gage d’un haut degré de sécurité pour son centre de données, manifestement basé dans l’Union européenne.