Vocabulaire SEPAmail : le QXBAN

Le qxBAN est l'identifiant de l'utilisateur SEPAmail.
Cet identifiant répond à la norme des IBANs (iso 13616) avec un code pays "QX", code pays que l'iso 3166-2 a assigné pour des usages privés.

Sa génération est décrite dans la documentation de SEPAmail. Elle est réalisée par l'adhérent SEPAmail pour le compte de son client. C'est l'adhérent qui conserve le transcodage QXBAN<->IBAN.

Le standard SEPAmail propose donc nativement de protéger l'IBAN ou les autres identifiants bancaires (PAN) en généralisant l'utilisation d'un alias qui n'est pas utilisable directement dans les circuits monétiques.

un exemple de RIS2D
image issue de la documentation
sous licence CC-BY-SA

Le qxBAN est repris dans une forme graphique, un code barre 2D de type datamatrix qui s'appelle le RIS2D (Relevé d'Identité SEPAmail 2D).

Ce RIS2D évolue pour se conformer à la norme 2D-DOC, une norme d'authentification statique des documents.

Les avantages du qxBAN

Le qxBAN présente les avantages suivants :

• le qxBAN peut être échangé entre tous les acteurs sans risque de fraude monétique puisque le transcodage qxBAN/iBAN est toujours réalisé par le producteur du qxBAN avec une source authentifiée pour son propre usage de l'iBAN
• il n'est pas possible de déduire un iBAN depuis un qxBAN, par construction aléatoire du qxBAN
• le BIC est inclus dans le qxBAN, le qxBAN est donc autoporteur de toute l'information de routage.
• le qxBAN est un identifiant international, puisqu'il n'inclut pas le pays dans sa définition
• le qxBAN peut être lié à plusieurs comptes bancaires, voire à aucun compte si l'adhérent n'est pas une banque

Les ambiguïtés autour du qxBAN

Le qxBAN est une notion importante de SEPAmail car il permet la protection de l'IBAN qui s'expose de plus en plus avec la généralisation de SEPA.
Cependant, le qxBAN ne lève pas les ambiguïtés suivantes :

• il ne faut pas confondre l'identifiant de l'utilisateur SEPAmail au sein du réseau SEPAmail avec la personne physique (authentifiée par les adhérents SEPAmail comme l'utilisateur SEPAmail)
• pourra-t-il y avoir plusieurs personnes physiques ayant le droit d'utiliser un même qxBAN ?
• pourra-t-il y avoir un qxban sans compte IBAN ou sans carte PAN associés ?
• il ne faut surtout pas que le qxBAN, qui sera largement diffusé, soit utilisable dans un réseau de paiement tel quel ou en compensation. C'est son principe qui serait remis en question. Or, la tentation est forte pour certains qui ne veulent pas du modèle 4 coins
• le qxBAN n'est pas un identifiant unique que l'on conserve quand on change d'adhérent SEPAmail
• le qxBAN, dans sa forme actuelle, présente une limite d'utilisation par le nombre de qxBAN possibles par BIC. Il y a, pour chacun des BIC, 3,4x10²⁹ possibilités pour le moment, ce qui laisse venir mais il ne faut pas que l'adhérent en profite pour générer autre chose que de l'aléatoire. Certains adhérents  ont déjà pensé générer le qxBAN par une fonction de hachage à sens unique de l'IBAN ou encore segmenter leur clientèle en réservant quelques caractères parmi ces 19 positions. Toutes ces idées vont à l'encontre du principe premier du QXBAN. C'est un identifiant ne portant aucun sens autre que le BIC.

Pour finir ce billet, citons Michel Volle qui dans son livre "de l'informatique" parle de l'identifiant en ces termes :

"Il importe [...] de définir correctement la population dont il s'agit d'identifier les individus: il ne faut pas confondre le client avec le service qui lui est rendu, avec le produit qui lui est fourni ni avec le contrat que l'on a passé avec lui. Il faut aussi construire des identifiants pérennes, qui resteront affectés à l'individu pendant tout son cycle de vie, et s'interdire de ré-utiliser un identifiant après la fin du cycle de vie. Mieux vaut enfin ne pas confondre le rôle des identifiants et le rôle des attributs: l'identifiant ne doit être porteur d'aucune information."

 Michel Volle, de l'informatique, chapitre 7, page 268.