Que contiennent les applications mobiles des banques en ligne et des néobanques ? 

Les applications mobiles tiennent un rôle croissant dans la relation entre les banques et leurs clients. En septembre 2018, 35 % des français consultaient leur compte sur une application mobile, et 29 % y réalisaient leurs opérations bancaires, selon la huitième édition de l’étude “Relations banques et clients” de Deloitte.  

mind Fintech s’est intéressé ces derniers mois à la manière dont les banques en ligne et les néobanques s’emparent du sujet. D’abord en étudiant les fonctionnalités qu’elles proposent dans ces logiciels, en novembre 2018, puis à l’usage qu’en ont leurs clients, en mars dernier. Nous prolongeons cette série en nous penchant sur leurs choix techniques : quels “pisteurs” les banques en ligne et les néobanques ont-elles installés dans leurs applications, et quelles permissions demandent-elles ?

La méthode la plus certaine pour identifier les SDK installés au sein d’une application mobile consiste à en “décompiler” le code, c’est-à-dire reconstituer le code source par de la rétro-ingénierie. Un problème survient ici : cette méthode est illégale si les résultats sont publiés, car le code source relève du droit d’auteur. Exodus Privacy a donc trouvé une autre technique : l’association liste tous les noms des objets Java embarqués dans un APK (collection qui contient tous les fichiers nécessaires à l’installation d’une application sur Android) grâce à l’outil dexdump, fourni par Google. Puis elle compare cette liste avec celle qu’elle détient sur les noms Java des trackers qu’elle a déjà identifiés. Cette méthode peut comprendre des biais : tous les traqueurs identifiés par Exodus au sein des applications ne sont pas nécessairement utilisés par les éditeurs. Certains peuvent être pré-embarqués par des partenaires, et activés ou non au gré des besoins. Certains traqueurs peuvent aussi avoir été installés par des partenaires tiers sans que l’éditeur de l’application en ait été averti, ou ils pourraient faire partie d’un code générique utilisé par le prestataire qui a développé l’application.

Les applications bancaires intègrent six SDK en moyenne

mind Fintech s’est appuyé sur la plateforme Exodus Privacy (voir encadré) pour étudier 22 applications Android de banques en ligne et néobanques, dont Boursorama Banque, Hello bank!, N26, Revolut ou encore Orange Bank (consultez la liste des applications et les rapports étudiés dans Exodus Privacy ici).

Il en ressort que ces acteurs semblent faire preuve d’une plus grande maturité que les banques traditionnelles, que nous avons étudiées en juin, dans la gestion de leurs applications mobiles. Elles semblent notamment y recueillir davantage de données. L’application max, lancée en novembre 2017 par Arkéa, ne fait d’ailleurs pas mystère de son intention de monétiser son activité grâce aux recommandations qu’elle fera à ses utilisateurs à partir des données qu’elle aura récoltées sur leurs habitudes. 

Ainsi, les applications des banques en ligne et néobanques intègrent davantage de SDK que celles des banques traditionnelles : six en moyenne, contre quatre pour les banques traditionnelles. Il existe toutefois une grande disparité entre les acteurs, puisque le service de Boursorama Banque en compte 17, celui de Monese 14, tandis que BforBank, Monabanq, Orange Bank et Qonto n’en ont que deux, et ING aucun. 

De plus, ces 22 applications utilisent 40 SDK différents, contre 14 pour les 11 banques traditionnelles de notre précédent panel. Les kits de développement de Google et Facebook sont sans surprise les plus représentés. AppsFlyer, solution américaine qui permet de connaître les canaux marketing qui ont contribué au téléchargement d’une application, a été adoptée par cinq acteurs (Curve, Ditto Bank, Lydia, Monese et Morning), de même que l’alternative à Google Analytics Mixpanel, présente chez Bunq, Curve, Ditto Bank, Loot et Monese. 

Peu d’acteurs français ont réussi à se frayer un chemin jusque dans les logiciels des banques de notre panel. On y remarque toutefois Ad4Screen (envoi de push notifications), qui travaille avec AXA Banque, CZam et Fortuneo Bank, ainsi qu’ATInternet (mesures de fréquentation), présent chez AXA Banque, Boursorama Banque et C-Zam. Les acteurs de la publicité mobile Smart, Ogury et MAdvertise sont tous trois présents chez Boursorama Banque. 

Toutes les banques en ligne et néobanques que nous avons étudiées ont installé au moins un SDK d’analytics, afin de comprendre la façon dont leurs clients utilisent leurs applications mobiles. Pour contrôler le bon fonctionnement de leurs applications, 19 utilisent au moins un SDK de monitoring de la performance. Seules BforBank, Bunq et Monabanq n’en ont pas. En outre, sept banques ont installé un SDK destiné à améliorer l’engagement de leurs utilisateurs, par exemple via des push notifications. Il s’agit d’Anytime (via Tune), Nickel (avec Pushwoosh), Monese (Taplytics), Lydia (Batch), Fortuneo Banque, AXA Banque et C-Zam (via Accengage, d’Ad4Screen).

Trois applications bancaires intègrent au moins un SDK publicitaire. Curve et Monese se sont contentés d’installer ceux de Google (Ads et DoubleClick), mais Boursorama Banque en a adopté 14, dont ceux d’AdColony, AppLovin, Inmobi, MAdvertise, Millennial Media (Verizon Media) ou encore Smart. Sollicitée par mind Fintech, Boursorama Banque n’a pas répondu à nos questions. Pour récolter des données sur ses utilisateurs, Lydia a intégré le pisteur de la data management platform (DMP) américaine Segment.

Quelles permissions pour quels usages ?

Pour fonctionner, ces SDK et les applications qui les contiennent “ont besoin d’accéder à certaines données de l’utilisateur ou d’accéder à certaines fonctionnalités du système Android (caméra, GPS…)”, explique une spécialiste de Defensive Lab Agency. Mais elles doivent au préalable obtenir la permission de leurs utilisateurs (voir les explications en encadré). Or, la liste de chacune des permissions demandées est, comme les SDK, disponible dans Exodus Privacy. Leur analyse apporte quelques enseignements supplémentaires sur les choix techniques des banques en ligne et des néo-banques. 

Certaines permissions sont très classiques, comme permettre à l’application de se connecter à internet, connaître l’état de la bande passante dont dispose le téléphone (3G, 4G, wifi ?) pour adapter les services, ou empêcher le téléphone de se mettre en veille lorsque l’application est active. D’autres sont plus sensibles. Par exemple, 15 des applications de notre panel souhaitent accéder à l’objectif du téléphone, pour prendre des photos ou des vidéos, et elles sont 20 à vouloir être en mesure de modifier ou supprimer le contenu d’une carte SD. “La demande d’accès à l’appareil photo permet généralement à l’utilisateur de prendre en photo les documents qu’il souhaite communiquer à sa banque via l’application. Les photos pouvant être stockées soit sur le stockage interne, soit sur la carte SD, l’application demande donc de pouvoir y accéder. L’appareil photo peut également servir à la lecture de codes QR“, explique-t-on chez Defensive Lab Agency.

D’autres permissions sont associées à des fonctionnalités propres aux applications bancaires. Ainsi, 18 des services étudiés accèdent au système de connexion via les empreintes digitales. Ce n’est pas le cas d’ING, Curve, Ditto Bank et Ferratum Bank. Alors que BNP Paribas était la seule banque traditionnelle à demander une permission pour accéder au système NFC du téléphone, la technologie qui permet notamment de payer sans contact, six applications de banques en ligne et de néo-banque le demandent : Bunq, C-zam, Loot, max, Orange Bank et Revolut. Huit applications (Anytime, Ferratum Bank, Hello Bank!, Loot, max, Monese, N26 et Orange Bank) souhaitent accéder au Bluetooth du téléphone, par exemple pour accéder à une montre connectée. 

12 banques souhaitent lire les contacts enregistrés sur le téléphone de leurs utilisateurs. Cela s’explique notamment par le fait qu’elles sont de plus en plus nombreuses à proposer le paiement de pair à pair via le numéro de téléphone, sans avoir à rentrer d’IBAN.