Le bouton b.connect permettra-t-il d’en finir avec la plaie des mots de passe ? Cinquante milliards. C’est le nombre de mots de passe saisis chaque année en France. Un chiffre vertigineux qui illustre à lui seul l’ampleur d’un problème que chaque internaute connaît bien : oublis, réinitialisations, formulaires à rallonge et, au bout du compte, une sécurité illusoire puisque le mot de passe reste par nature rejouable et vulnérable au phishing.
C’est précisément ce problème que b.connect entend résoudre. Créée à l’été 2024 par les cinq plus grands groupes bancaires français (BNP Paribas, Groupe BPCE, Crédit Agricole, Crédit Mutuel (via Euro-Information) et Société Générale), cette start-up au pedigree bancaire propose un bouton d’authentification unique, sans mot de passe, adossé aux applications que 42 millions de Français utilisent déjà pour sécuriser leurs paiements par carte. Nous avons rencontré Pierre Chassigneux, CEO de b.connect, pour comprendre les rouages de cette alternative souveraine aux social logins des géants américains.
bouton b.connect : pour en finir avec le mot de pass
Podcast: Play in new window | Download (Duration: 26:50 — 23.1MB)
Subscribe: Apple Podcasts | Spotify | Android | RSS
Du 3D Secure au bouton b.connect : infrastructure de paiement et d’identité
Pierre Chassigneux n’est pas un nouveau venu dans l’écosystème de la sécurité numériqueDéfinition marketing digital, un terme utilisé en permanence et pourtant bien mal compris car mal défini. Ingénieur de formation, passé par la Délégation générale pour l’armement (DGA) puis par la Direction centrale de la sécurité des systèmes d’information (devenue l’ANSSI) en tant que cryptologue, il a ensuite rejoint Gemplus (devenu Gemalto, puis Thales DIS), pionnier français de la carte à puce. Mais c’est surtout au cours de ses 26 années passées au sein du Groupement des Cartes Bancaires CB qu’il a forgé la conviction qui fonde b.connect. En pilotant le projet FAST’R by CB, qui a généralisé l’authentification forte (3D Secure) pour les paiements en ligne, il a mis en place une infrastructure capable de traiter plus de deux milliards d’authentifications par an.
Quand on a lancé la construction du Directory Server, cette plateforme qui met en relation les clients des commerçants avec leurs banques pour les authentifier, je me suis dit : c’est une énorme infrastructure d’authentification. Est-ce qu’on ne pourrait pas l’utiliser pour sécuriser non pas uniquement le checkout, c’est-à-dire le paiement, mais aussi le check-in, c’est-à-dire l’entrée en relation ?
Pierre Chassigneux, CEO de b.connect
L’idée, en somme, était de réutiliser les briques technologiques éprouvées du paiement par carte pour résoudre un problème adjacent mais tout aussi massif : l’identification en ligne. Car le mot de passe, au-delà du cauchemar qu’il représente pour l’expérience utilisateur, ne vaut rien en matière de sécurité. Pierre Chassigneux le rappelle : un mot de passe est rejouable. Dès lors qu’il est intercepté par phishing, l’attaquant peut l’utiliser indéfiniment.
Le moteur IA à trois cylindres du bouton b.connect
Le fonctionnement de b.connect repose sur ce que le CEO de b.connect appelle un « moteur à trois cylindres », un dispositif d’intelligence artificielle qui combine trois sources de signaux pour authentifier l’utilisateur de manière transparente.
Le premier cylindre est le device fingerprint : au moment de la première utilisation, le serveur b.connect enregistre les caractéristiques techniques de l’appareil (navigateur, version, résolution, etc.). Le deuxième cylindre repose sur les habitudes de connexion de l’utilisateur : horaires, lieux, sites fréquentés. Ces données comportementales génèrent un score transactionnel. Le troisième cylindre, enfin, est un « challenge-response intelligent » : un cookie positionné dans le navigateur échange avec le serveur pour vérifier l’authenticité de la session, sans solliciter l’utilisateur.
Chacun de ces cylindres produit un score de confiance. Lorsque le score agrégé est suffisant — ce qui se produit dans environ 80 % des cas —, un seul clic sur le bouton b.connect suffit. Dans les 20 % restants, l’application d’authentification bancaire prend le relais via Face ID ou Touch ID. L’utilisateur n’est jamais renvoyé vers un mot de passe.
Ce que j’ai appris dans le domaine de la cybersécurité, c’est qu’on peut avoir un très beau niveau de sécurité. Mais si la fluidité de parcours ne suit pas, le choix des utilisateurs se fait toujours au détriment de la sécurité. On avait à résoudre une équation difficile : garantir à la fois une grande fluidité et un bon niveau de sécurité.
Pierre Chassigneux
Données, consentement et cloud souverain
La question des données personnelles est centrale dans le positionnement de b.connect. Lorsqu’un utilisateur se connecte pour la première fois sur un site partenaire, il peut choisir de transférer depuis son compte b.connect son nom, prénom, adresse e-mail et éventuellement son numéro de téléphone. Ce transfert ne s’effectue jamais sans consentement explicite. Les banques actionnaires, de leur côté, n’ont pas accès aux données de navigation de leurs clients : elles ne savent pas sur quels sites ceux-ci se connectent via b.connect.
L’hébergement de la plateforme a fait l’objet d’un choix délibéré. b.connect est hébergé chez S3NS, le premier cloud de confiance certifié par l’ANSSI, co-entreprise entre Thales et Google Cloud. Des sites physiques dédiés sont implantés en France, garantissant selon Pierre Chassigneux une protection contre les lois extraterritoriales américaines, y compris le Cloud Act. « Nous considérons que nous avons fait le choix du meilleur des deux mondes : un niveau de sécurité élevé grâce à Thales, et une offre de services performante grâce à Google », résume-t-il.
Un modèle économique fondé sur le retour sur investissement des e-commerçants
Le bouton d’authentification b.connect est entièrement gratuit pour les utilisateurs. Pour les e-commerçants, le service est offert jusqu’à la fin de l’année 2026. À compter du 1er janvier 2027, pour les early adopters, le tarif sera d’un centime par login. Le patron de b.connect défend ce modèle en s’appuyant sur les données d’abandon de panier, un fléau bien connu du e-commerce.
Il y a environ 25 % d’abandon de panier pour cause de mot de passe oublié. Il y a 70 % d’abandon au moment de la création d’un nouveau compte client, parce que c’est contraignant. Et il y a encore 15 % d’abandon au moment de l’authentification 3D Secure. Grâce à b.connect, on supprime ces frictions. Nous avons mis en place un simulateur qui permet à chaque e-commerçant de mesurer très concrètement le retour sur investissement.
Pierre Chassigneux
Le lien entre le check-in et le checkout constitue une particularité notable de la solution : un utilisateur qui accède à un site via b.connect et paie ensuite par carte CB bénéficie d’une probabilité réduite d’être soumis à une authentification 3D Secure supplémentaire.
De 9 000 comptes à l’ambition du milliard de connexions
Officiellement lancé le 17 mars 2026, après une phase bêta de 6 000 utilisateurs, b.connect comptait déjà 9 000 comptes créés au moment de notre entretien, avec un rythme de 750 créations quotidiennes. Une quinzaine d’enseignes sont partenaires du lancement : Boulanger, Leroy Merlin, Micromania, Courir, Celio, Gîtes de France, Sofinco, Libération, Ouest-France, entre autres.
La force de b.connect réside dans sa capacité à s’appuyer sur la puissance de communication de ses cinq actionnaires bancaires. La promotion du service se fait directement dans les applications de banque en ligne, ce qui explique l’accélération des inscriptions. Chez Visionary Marketing, nous l’avons testé sur notre compte LCL : la création du compte a pris quelques secondes et le bouton était déjà visible dans l’application. Les ambitions de b.connect sont claires : des centaines de milliers de comptes d’ici la fin 2026, plusieurs millions en 2027, une vingtaine de millions en 2028 et un milliard de connexions à l’horizon 2030.
Pour atteindre la masse critique côté e-commerçants, une plateforme d’onboarding automatisée est en cours de développement. Les tests débuteront cet été, avec une mise en production à la rentrée de septembre. L’objectif est de permettre à chacun des 140 000 sites de e-commerce français, quelle que soit leur taille, d’intégrer le bouton b.connect de manière simple et rapide.
Complémentaire du portefeuille d’identité européen, concurrent des social logins américains
Le règlement européen eIDAS 2.0 prévoit le déploiement d’un portefeuille d’identité numérique (EU Digital Identity Wallet) permettant de dématérialiser carte d’identité, permis de conduire ou carte grise. b.connect ne se positionne pas en concurrent de cette initiative mais en complément. Mais ici, le périmètre est différent : b.connect est un bouton de connexion, une fonction d’authentification centrée sur l’entrée en relation avec un site. Le wallet européen, lui, vise un champ d’application plus large, incluant les interactions avec l’administration et les cas d’usage nécessitant une preuve d’identité formelle.
Les véritables concurrents de b.connect sont les social logins de Google, Apple et Facebook, qui captent aujourd’hui près de la moitié des connexions sur les grands sites français. Pierre Chassigneux inscrit son projet dans une logique de souveraineté numérique : « Quand il y a 50 milliards de connexions avec des logins et mots de passe chaque année, c’est un sujet d’indépendance technologique. Nous sommes fiers, grâce à la communauté bancaire, de porter une alternative souveraine, 100 % française, aux social logins des Big Tech américaines. »
Un pari sur la confiance bancaire
Le pari de b.connect est à la fois technologique et politique. Technologique, parce qu’il faut convaincre des dizaines de millions d’utilisateurs d’adopter un nouveau réflexe de connexion, et des dizaines de milliers de sites d’intégrer un bouton supplémentaire. Politique, parce que le projet d’authentification b.connect porte une vision de la souveraineté numérique française qui dépasse le seul cadre du e-commerce. L’analogie avec Wero, la solution de paiement instantané portée par l’Europe et les banques partenaires, est tentante : si le secteur bancaire parvient à mobiliser sa base de clients autour d’un usage quotidien, le changement d’échelle peut être rapide. Reste à transformer un lancement prometteur en standard de fait. Les mois qui viennent seront déterminants.
À propos de Pierre Chassigneux
Pierre Chassigneux est CEO de b.connect, société créée à l’été 2024 par les cinq plus grands groupes bancaires français. Ingénieur de formation, il a débuté sa carrière à la Délégation générale pour l’armement (DGA), puis comme ingénieur cryptologue à la Direction centrale de la sécurité des systèmes d’information (devenue l’ANSSI). Il a ensuite rejoint Gemplus (devenu Gemalto, puis Thales DIS) comme directeur de l’activité signature électronique, avant de passer plus de 26 ans au sein du Groupement des Cartes Bancaires CB, où il a occupé les postes de directeur des risques puis de directeur de la division projets et expertises. Diplômé de l’Institut des hautes études de défense nationale (IHEDN), il a notamment piloté le projet FAST’R by CB, qui a généralisé l’authentification forte pour les paiements en ligne en France.
À propos de b.connect
b.connect est une société française créée à l’été 2024 par BNP Paribas, Groupe BPCE, Crédit Agricole, Crédit Mutuel (via Euro-Information) et Société Générale. Elle propose un bouton d’authentification en ligne permettant aux utilisateurs de se connecter aux sites partenaires en un clic, sans mot de passe, via leur application bancaire. Le service est gratuit pour les utilisateurs et payant pour les e-commerçants (un centime par connexion à compter du 1er janvier 2027). Lancé officiellement le 17 mars 2026 après une phase bêta de 6 000 utilisateurs, b.connect est déjà intégré sur une quinzaine d’enseignes partenaires. La plateforme est hébergée en France sur le cloud de confiance S3NS (Thales/Google), certifié par l’ANSSI, et garantit la non-commercialisation des données de connexion.
