Sommaire
Prologue
Il y a quelques temps Paypal m'a envoyé des messages m'invitant à saisir mon numéro de téléphone mobile pour m'identifier car mon mot de passe allait être insuffisant. En effet, la directive européenne DSP2 impose aux banques d'avoir recours à l'authentification à deux facteurs.
Je n'ai pas de téléphone mobile…
Après avoir cherché vainement dans la doc et sur internet, j'ai donc contacté Paypal pour savoir quelle alternative j'avais et si j'allais être enfermé dehors si je ne faisais rien.
Ce journal ne traite pas des aspects techniques. C'est juste une retranscription de mes échanges avec le support utilisateur.
J'ai appelé un numéro de téléphone, j'ai eu un robot qui a raccroché ou m'a invité à utiliser le chat. J'ai donc essayé le chat. Là aussi, un robot, qui me renvoie à la FAQ avant de me passer un vrai interlocuteur humain vivant.
Là, j'ai eu droit à une conversation complètement décousue avec un interlocuteur qui changeait à chaque fois et des réponses contradictoires qui passaient à côté de la question. Je la retranscris ici à l'attention de ceux qui ne savent pas quoi faire le vendredi.
Retranscription
Bonjour ! Je suis l'Assistant PayPal. Je peux vous aider pour des questions courantes telles que "Quel est l'état de mon litige ?" ou "Je veux un remboursement".
Si je ne parviens pas à vous aider, je transférerai votre message à un conseiller du service client.
2:29 PM - PayPal Assistant
Bonjour. Je n'ai pas de téléphone mobile. Je ne peux pas recevoir de SMS pour la connexion.
2:32 PM
Nous avons trouvé dans l'Aide des articles associés qui pourraient vous être utiles. N'hésitez pas à les consulter. Si vous avez besoin d'aide supplémentaire, saisissez "besoin d'aide supplémentaire".
Que sont les Directives sur les services de paiement et l'Authentification client forte ?
Comment confirmer mon numéro de mobile ? Pourquoi dois-je effectuer un contrôle de sécurité ?
2:32 PM - PayPal Assistant
La FAQ dit "Nous pouvons parfois vous demander de saisir un code d'identification temporaire que nous enverrons par SMS au numéro de téléphone que vous avez enregistré auprès de nous ou via un appel téléphonique si vous avez une ligne fixe." et aussi "Afin de continuer à accéder à votre compte PayPal conformément aux réglementations de la DSP 2, vous devez activer le paramètre de vérification en 2 étapes depuis la page préférences de votre profil. Ce paramètre permet d'obtenir plus d'options de vérification conformes SCA. Pour le moment, la vérification en 2 étapes propose un mobile, Symantec VIP clé de sécurité et une application d'authentification.
2:40 PM
Voulez-vous envoyer cette conversation à un conseiller du Service clientèle ? Nous répondons généralement en quelques heures.
2:40 PM - PayPal Assistant
Oui
2:41 PM
Si ce n'est pas déjà fait, indiquez-nous pourquoi vous nous contactez.
N'hésitez pas à vous éloigner et nous vous informerons par email ou au moyen d'une notification lorsque nous vous aurons répondu.
2:41 PM - PayPal Assistant
Bonjour. Je n'ai pas de téléphone mobile. Je ne peux pas recevoir de SMS pour la connexion. La FAQ dit "Nous pouvons parfois vous demander de saisir un code d'identification temporaire que nous enverrons par SMS au numéro de téléphone que vous avez enregistré auprès de nous ou via un appel téléphonique si vous avez une ligne fixe." et aussi "Afin de continuer à accéder à votre compte PayPal conformément aux réglementations de la DSP 2, vous devez activer le paramètre de vérification en 2 étapes depuis la page préférences de votre profil. Ce paramètre permet d'obtenir plus d'options de vérification conformes SCA. Pour le moment, la vérification en 2 étapes propose un mobile, Symantec VIP clé de sécurité et une application d'authentification." Je devrais donc pouvoir utiliser mon téléphone fixe, qui est bien renseigné dans mon profil, mais le menu Sécurité -> Vérification en 2 étapes -> Configurer ne me propose que SMS et application. Et il ne me propose pas de désactiver la vérification en 2 étapes.
2:45 PM
Bonjour et bienvenue sur la messagerie PayPal! Je suis Christine et c'est un plaisir de vous assister.
Je vous remercie d'avoir pris le temps de nous contacter. J'ai bien pris note de votre demande. Cependant, je vous confirme que si vous n'avez pas de téléphone mobile vous ne pourrais pas recevoir de code par sms.Pour désactiver la vérification en 2 étapes :
1.Cliquez sur l'icône Paramètres à côté de Déconnexion.
2.Cliquez sur Sécurité.
3.Cliquez sur Mettre à jour à côté de Vérification en 2 étapes.
4.Si la vérification en 2 étapes est activée, vous pouvez la désactiver.
5.Cliquez sur Désactiver pour désactiver la vérification en 2 étapes.Vous pouvez répondre lorsque vous en aurez l'occasion. Nous vous répondrons, à notre tour, dès que possible.
2:54 PM - CC
Je vois bien "Vérification en 2 étapes". Ce n'est pas "mettre à jour" mais "configurer". Je n'ai pas l'option "Désactiver", seulement SMS ou application.
2:59 PM
vous n'avez pas la possibilités de la désactiver , c'est une obligation par le service de sécurité des comptes .
3:18 PM - AA
Vous pouvez répondre lorsque vous en aurez l'occasion. Nous vous répondrons, à notre tour, dès que possible.
3:18 PM - AA
Bonjour. Je récapitule pour être sûr de bien comprendre. Il est obligatoire d'avoir une vérification en 2 étapes et celle-ci peut se faire via une appli, ou bien via un message téléphonique (SMS, message sur fixe). Comment faire pour avoir un message sur fixe ? Faut-il que je coche SMS dans mes préférences et que je ne donne qu'un numéro de fixe ?
10:17 PM
Je comprends votre situation et je vais faire de mon mieux pour vous aider sur la sécurité de votre compte.
Je vous informe que le service par fixe est momentanément indisponible. Je vous conseille donc de faire cette vérification via votre numéro mobile.Vous pouvez répondre lorsque vous en aurez l'occasion. Nous vous répondrons, à notre tour, dès que possible.
10:24 AM MA
Je n'ai pas de numéro de mobile…
10:30 AM
Si vous n'avez pas de numéro mobile, il est possible de recevoir vos codes à consultant le site ci-dessous mis en place par le Gouvernement : https://prpc.paypal.com/prweb/sso/[150 caractères de query args] Je vous remercie de votre compréhension et vous souhaite de passer une excellente journée.
Vous pouvez répondre lorsque que vous en aurez l'occasion. Nous vous répondrons, à notre retour, dès que possible.
11:09 AM - KF
?! Le lien ne fonctionne pas.
11:20 AM
Je vous invite à enregistrer un numéro mobile sur vitre compte en vu de faire la vérification .
pour le lien qui ne fonctionne pas, je vous invite à changer de navigateur pour tester et à vider les caches et les cookies .Vous pouvez répondre dès que vous en aurez l'occasion , nous vous répondrons à votre tour dès que possible .
11:56 AM - MU
Je ne peux pas enregistrer un numéro de mobile puisque je n'en ai pas.
Quant au lien, ce n'est pas un problème de navigateur. Il n'y a pas d'enregistrement DNS pour prpc.paypal.com.
2:28 PM
Je vous remercie pour votre retour et vous confirme qu'il vous faut un numéro mobile pour recevoir l'sms.
Vous pouvez répondre lorsque vous en aurez l'occasion. Nous vous répondrons, à notre tour, dès que possible.
3:03 PM - CC
Mais la FAQ dit "Nous pouvons parfois vous demander de saisir un code d'identification temporaire que nous enverrons par SMS au numéro de téléphone que vous avez enregistré auprès de nous ou via un appel téléphonique si vous avez une ligne fixe."
3:05 PM
Bonjour je suis Y et je prends le relais pour traiter votre demande
3:27 PM - ZI
Je comprends votre demande et je suis désolée d'apprendre que notre réponse précédente ne vous a pas été utile.
3:31 PM - ZI
Puisque vous avez un numéro de téléphone fixe, il peut toujours terminer la SCA par un appel téléphonique automatisé. Je vous invite à sélectionner l'option "Demandez-nous de vous appeler" et saisissez le code affiché à l'écran lorsque vous recevez l'appel téléphonique
3:32 PM - ZI
J'espère que je vous ai fourni toutes les informations nécessaires.
3:33 PM - ZI
Bonjour. Merci pour votre réponse. Je pense qu'on touche au but. Je reformule pour être sûr d'avoir bien compris. Je dois donc laisser "SMS" dans ma configuration actuelle, et c'est lors d'une tentative de connection qu'il me faudra sélectionner l'option "Demandez-nous de vous appeler". En revanche, si je comprends bien, je ne recevrais pas un code par appel téléphonique mais un appel auquel il faudra que je réponde en indiquant le code à l'écran. On me dictera alors un code à saisir au clavier pour finaliser ma connexion.
N'y a-t-il pas moyen de recevoir juste un code par message vocal de la même manière que si c'était par SMS, sans avoir à interagir ? Je pensais recevoir un appel téléphonique qui me donnerait directement le code à saisir.
5:54 PM
Je comprends votre situations, mais le service d'appel téléphonique sont temporairement suspendu. Donc vous ne pouvez recevoir le code par SMS.
Vous pouvez répondre lorsque vous en aurez l'occasion. Nous vous répondrons, à notre tour, dès que possible.
6:09 PM - MA
Je ne comprends pas. J'ai bien renseigné le numéro de ligne fixe de mon domicile comme contact téléphonique principal. Est-ce que je risque de me trouver dans l'impossibilité de me connecter ? Et si oui, que dois-je faire (à part souscrire à une ligne mobile) ?
11:58 AM
Je vous invite de renseigner un numéro de téléphone mobile pour que vous puissiez recevoir le code .
Vous pouvez répondre lorsque vous en aurez l'occasion . Nous répondrons ,à notre tour , dès que possible .
12:28 PM - AU
S'il vous plaît, lisez l'historique des échanges. Mes questions sont :
1/ Est-ce que je risque de me trouver dans l'impossibilité de me connecter avec mes paramètres actuels (seulement un numéro de fixe) ?
2/ Y a-t-il, comme le dit la FAQ une alternative au téléphone mobile et si oui, pouvez-vous m'indiquer comment la choisir ?
1:40 PM
Je comprends votre frustration concernant sur a sécurité de votre compte. Nous essayons de faire évoluer notre fonctionnement tous les jours afin d'améliorer votre expérience et votre sécurité. Je vous informe que vous ne pouvez pas recevoir de code par fixe car ce service est temporairement indisponible sur notre plateforme. Vous pouvez répondre lorsque vous en aurez l'occasion. Nous vous répondrons, à notre tour, dès que possible.
2:04 PM - MA
Pouvez-vous m'assurer que je ne risque pas d'être bloqué en dehors de mon compte tant que ce service est indisponible ?
3:11 PM
La directive européenne sur les services de paiement deuxième version vise à régir les services de paiement en Europe, elle met en oeuvre de nouvelles exigences de sécurité pour les services de paiement comme PayPal en impossant une Authentification forte aux utilisateurs qui utilisent nos services pour effectuer des paimenets électroniques.
3:42 PM - EI
La seule solution est d'ajouter un numero mobile pour l'authentification.
3:42 PM - EI
N'hésitez pas à répondre quand vous le voulez et nous vous répondrons dès que possible.
3:42 PM - EI
La FAQ dit pourtant "Si vous avez enregistré une ligne fixe dans les informations de votre compte, le code s'affichera à l'écran et vous pourrez le saisir sur votre téléphone lors d'un appel automatique de PayPal."
4:05 PM
Je suis ravi de reprendre la conversation avec vous et je tiens à vous dire que je comprends à quel point il est important pour vous de résoudre cette situation au plus vite.
10:35 AM - AD
Si vous n'avez qu'un numéro de téléphone fixe, vous pouvez toujours terminer la SCA par un appel téléphonique automatisé. Sélectionner l'option "Demandez-nous de vous appeler Et saisissez le code affiché à l'écran lorsqu'il reçoit l'appel téléphonique.
10:41 AM - AD
Vous pouvez répondre lorsque vous en aurez l'occasion. Nous vous répondrons, à notre tour dès que possible.
10:41 AM - AD
J'ai arrêté là.
Épilogue
A l'époque des échanges, je pouvais encore cliquer sur "plus d'informations" sur la page d'authentification et contourner le mécanisme.
Depuis, le 2FA est devenu obligatoire. J'ai pu m'authentifier en recevant un appel sur mon fixe. Sur le combiné, j'ai saisi les chiffres affichés à l'écran et j'ai pu me connecter.
Dans mes paramètres, j'ai choisi d'utiliser l'authentification par mot de passe temporaire (TOTP) et j'utilise oathtool pour générer ce mot de passe. J'écrirai peut-être un journal pour expliquer comment j'ai fait et ouvrir des discussions techniques.
Le répondeur virtuel de mon opérateur téléphonique me transmets les messages reçus directement en mp3 dans un courriel donc j'ai pensé un temps que je pourrais recevoir le code comme ça, faute de mieux, d'où ma question sur le contenu de l'appel. Mais outre que quelqu'un pourrait répondre en mon absence, auquel cas je n'aurais pas le message, ça ne marche pas car la procédure est interactive.
La solution avec oathtool est meilleure à tous points de vue.
# La réciproque du test de Turing ?
Posté par tisaac (Mastodon) . Évalué à 10.
Le test de Turing est réussi quand les réponses d'une IA sont indistinguables de réponses données par des humains.
Ici, il me semble que tes interlocuteurs ont réussi le test inverse. Des réponses d'humains qui ressemble beaucoup à des réponses d'IA. Comment s'appelle ce test ?
Je me demande si tu n'avais quand même pas affaire à des chatbots tout du long.
Surtout, ne pas tout prendre au sérieux !
[^] # Re: La réciproque du test de Turing ?
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 6.
Ne s'agirait il pas ici d'une extraordinaire IA… pourvue d'une forme rare de buffer overflow aléatoire ?
[^] # Re: La réciproque du test de Turing ?
Posté par gUI (Mastodon) . Évalué à 7. Dernière modification le 04 décembre 2020 à 07:47.
Je pense plutôt à un algorithme vu en première année d'IUT info : le buffer circulaire.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: La réciproque du test de Turing ?
Posté par benoar . Évalué à 4.
Clairement. Si ce sont des êtres humains, ça fait peur.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 10.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: La réciproque du test de Turing ?
Posté par Maclag . Évalué à 4.
Et pourtant, je pense qu'une AI n'aurait pas fait une faute aussi grossière:
[^] # Re: La réciproque du test de Turing ?
Posté par LeXa1979 . Évalué à 10.
En call-center ou en backoffice, tu as des scripts à suivre quand tu réponds au client, en piochant dans les réponses toutes faites. Ton cerveau n'a le droit que de faire la sélection de la réponse, rajouter ton accent (si tu es au téléphone) et toute la politesse dont tu sais faire preuve.
Parfois, quand tu es à bout et que ton côté humain reprend le dessus, tu te lèves et tu vas demander à ton superviseur si tu peux répondre autre chose à une question qui tourne en boucle… Et là, ton superviseur prend son script, constate qu'il n'y a pas de réponse adaptée à la situation, et choisit celle qui semble être la plus appropriée. Comme toi tu l'avais fait au départ. Sauf que là, c'est confirmé par ton chef…
L'acacia acajou de l'académie acoustique est acquitté de ses acrobaties. Tout le reste prend "acc".
[^] # Re: La réciproque du test de Turing ?
Posté par Nodeus . Évalué à 7.
N’essayerions nous pas de transformer de humain en machine y compris ceux qui appelle le service client.
on pourrai dire que c'est l'industrialisation des relations humaines.
ça risque de générer beaucoup de pollution sociale.
J'avoue j'ai le même problème avec un opérateur à l'emblème fruitier et je me demande combien ce genre de bêtise coûtent réellement à ces entreprises.
Bureaucratie de Mer….
[^] # Re: La réciproque du test de Turing ?
Posté par LeXa1979 . Évalué à 6.
Le soucis principal, c'est que la communication des entreprises est déléguée à un (des) call-center externe(s) (qui gère(nt) aussi la communication mail/chat/courrier).
Et le call-center n'est absolument pas porte-parole ou ne peut pas prendre des engagements envers les clients à la place de la boite qui a délégué sa communication, d'où l'utilisation des scripts approuvés et le manque de flexibilité dans ce genre de communication.
La solution miracle, en Belgique du moins, tient parfois à l'envoi d'un courrier recommandé avec référence et copie au "Médiateur" ou à une instance régulatrice et là, on sort du script et on a enfin quelqu'un qui a un peu plus de latitude quant aux décisions à prendre et au langage à utiliser. Mais c'est souvent de la démarche de longue haleine et rares sont les clients qui l'utilisent.
L'acacia acajou de l'académie acoustique est acquitté de ses acrobaties. Tout le reste prend "acc".
[^] # Re: La réciproque du test de Turing ?
Posté par Nodeus . Évalué à 3.
Oui c'est certainement ce que je vais faire si ça ne se déroule pas comme je veux.
Je deviens extrêmement tenace avec le temps :P
[^] # Re: La réciproque du test de Turing ?
Posté par sebas . Évalué à 8.
À l'époque de win 3.1, on avait acheté les disquettes d'install pour un ordi professionnel. Une des disquette était abimée, et MS a fait la sourde oreille devant nos tentatives pour en avoir une autre. Bon, pas trop grave, les disquettes pirates étaient faciles à trouver, et on avait un n. de licence légal, c'est ce qui importait. Mais quand même, ça foutait les boules…
J'en ai parlé à un gars qui bossait chez MS France, il m'a dit d'envoyer un courrier à Bill Gate.
« Il ne le lira pas, bien sûr, mais ça sera un sous-sous-secrétaire à lui qui va s'en occuper et qui va le transmettre au secteur responsable. Et là, quand ils auront reçu une affaire qui vient du département du grand Manitou, je te garantis qu'ils vont s'en occuper ! »
:-)
[^] # Re: La réciproque du test de Turing ?
Posté par claudex . Évalué à 4.
Et du coup, vous avez reçu la disquette ?
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: La réciproque du test de Turing ?
Posté par sebas . Évalué à 1.
Bonne question, ç'aurait été intéressant de connaître le résultat. Mais on ne l'a jamais demandée sous la forme que cet ami avait conseillée, le sujet était un peu ancien au moment où j'ai reçu ce conseil. J'ai juste gardé la technique en mémoire, au cas où un autre cas de ce genre se présente.
[^] # Re: La réciproque du test de Turing ?
Posté par jihele . Évalué à 5.
On est bien d'accord. L'objet du journal n'est pas d'incriminer des individus. Surtout quand la réponse est de mauvaise qualité à presque 100% sur un échantillon d'une douzaine.
# Application "Authenticator" PC
Posté par Emeric . Évalué à 8.
C'est marrant, ça me rappelle mes échanges avec les services Postmaster de Outlook (Hotmail) et Yahoo concernant la politique anti-span avec mon serveur de mail… Sauf que moi ça tournait beaucoup plus court que ça.
Concernant l'appli de double authentification il y a des applications PC comme :
Même avec un téléphone portable c'est pas mal de les avoir directement sur le PC et ne pas avoir à sortir ton téléphone à chaque fois…
[^] # Re: Application "Authenticator" PC
Posté par jihele . Évalué à 3.
Oui, j'ai vu l'autre jour dans la dépêche Keepass que ça gérait ça.
J'ai un serveur perso sur lequel j'ai un script qui appelle oathtool et auquel j'accède par https. Ça me permet d'y avoir accès de n'importe quelle machine sans installation et sans stockage local.
[^] # Re: Application "Authenticator" PC
Posté par solsTiCe (site web personnel) . Évalué à 3.
Ouh la ca fait un peu peur ton install. Il est sécurisé ton serveur ? accessible depuis internet ?
Franchement, il y a des outils pour du 2FA avec TOTP sur pc.
Pour linux (gtk/gnome), il y a https://gitlab.gnome.org/World/Authenticator
Il doit y en avoir d'autres.
Keepassxc, un gestionnaire de mot de passe, fait aussi du TOTP. Il est multi-plateforme.
# C'est dredi
Posté par Funix (site web personnel, Mastodon) . Évalué à -2.
Y a plus qu'à profiter du black friday !
https://www.funix.org mettez un manchot dans votre PC
# Pourquoi ?
Posté par Jean Parpaillon (site web personnel) . Évalué à 1. Dernière modification le 04 décembre 2020 à 09:31.
Sont 2 choix tout à fait respectables.
Mais pourquoi donc vouloir les 2 ensembles ?
"Liberté, Sécurité et Responsabilité sont les trois pointes d'un impossible triangle" Isabelle Autissier
[^] # Re: Pourquoi ?
Posté par jihele . Évalué à 9. Dernière modification le 04 décembre 2020 à 09:37.
Je comprends pas la question.
J'utilise Paypal parce que pour certaines choses, j'ai pas trop le choix. Par exemple pour recevoir des fonds via OpenCollective. Mais aussi pour certains achats / dons internet à l'étranger. C'est parfois pas possible autrement ou alors vachement plus cher.
J'utilise pas de mobile parce que j'en ai pas parce que j'en utilise pas. Ca me va bien comme ça et en avoir un juste pour se connecter à la banque c'est un peu lourd.
Au moins chez Paypal, il y a un contournement, même s'il est mal documenté. L'objet du journal était de balancer sur le support.
A la banque postale, par exemple, je n'ai pas connaissance d'un contournement.
[^] # Re: Pourquoi ?
Posté par _kaos_ . Évalué à -1.
Salut,
Y aller à pieds, ou chéquier. On peut aussi les joindre par téléphone.
L'argument
montre bien un défaut : c'est juste que tu n'en veut pas (ce qui en soi n'est pas critiquable).
La résolution de problème est donc simple :
Matricule 23415
[^] # Re: Pourquoi ?
Posté par Jean Parpaillon (site web personnel) . Évalué à 4.
Juste pour remettre un peu de contexte (et je ne suis pas un expert en la matière, mais juste un utilisateur, plus d'infos bienvenues…): si Paypal, La Poste ou ton banquier préféré accepte de débiter ton compte à cause d'une fraude, il engage sa responsabilité pour ne pas avoir vérifié correctement l'identité du donneur d'ordre… Et donc il est censé te rembourser.
Cette responsabilité de la banque est assez grande (et assez protectrice pour l'utilisateur) pour que, en contrepartie, on exige des utilisateurs de service bancaire une identification avec mieux qu'un mot de passe, même compliqué.
Contrairement à ce que tu dis, rien ne t'oblige à utiliser Paypal (en enrichir des psychopathes au passage, mais c'est une autre histoire).
"Liberté, Sécurité et Responsabilité sont les trois pointes d'un impossible triangle" Isabelle Autissier
[^] # Re: Pourquoi ?
Posté par jihele . Évalué à 9.
Je suis conscient, au moins vaguement, pour la responsabilité. Et je comprends sur le fond la nécessité de sécuriser.
En pratique, tous les organismes bancaires ne le font pas de la même manière. Il faut 2 méthodes (2FA), en général mot de passe + autre chose parmi possession d'un objet (téléphone, carte bancaire,…) ou biométrie.
Le deuxième facteur est en général possession d'un objet, qui peut se traduire par carte bancaire + lecteur spécial (parfois appelé lecteur Sésame) ou bien téléphone + SMS ou bien application spéciale qui génère des mots de passe temporaires çà la volée.
C'est ce que je comprends. Je suis pas spécialiste.
Les organismes proposent en général SMS parce que c'est simple et tout le monde a un téléphone, bien sûr. Il semble que ça soit décrié parce que pas si sûr, notamment aux Etats-Unis (me demandez pas pourquoi) mais c'est peut-être du pinaillage.
La Banque Postale impose la méthode SMS (sinon plus d'accès du tout) et essaye d'imposer l'appli maison à tout le monde, ce qui coince un peu plus (smartphone obligé est une condition encore plus forte).
Le Crédit Coop accepte encore le lecteur sésame et le support dit que le jour où le SMS devient obligatoire ils pourront créer une liste blanche pour les utilisateurs qui ne peuvent pas (pas de mobile, zone blanche,…). Ils ont aussi une application maison.
Paypal propose le SMS mais a une autre méthode, mal documentée, qui permet d'utiliser une application génératrice de mots de passe. Tu coche l'option, on te donne un code secret à enregistrer dans l'application et voilà. L'avantage (et c'est pas tout à fait neutre, on est sur DLFP, quand-même), c'est que tu peux utiliser l'application que tu veux, y compris libre, ou non-libre générique (Google Authenticator), pas forcément l'application maison.
[^] # Re: Pourquoi ?
Posté par claudex . Évalué à 8.
Pas tant du pinaillage que ça https://www.01net.com/actualites/des-pirates-vident-des-comptes-bancaires-en-detournant-des-sms-1156971.html
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 4. Dernière modification le 04 décembre 2020 à 12:53.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Pourquoi ?
Posté par Psychofox (Mastodon) . Évalué à 1. Dernière modification le 04 décembre 2020 à 11:51.
Tu n'est pas obligé d'utiliser opencollective, donc tu as le choix ou non d'utiliser paypal.
En général on peut toujours payer via une mastercard/visa ou virement bancaire. Et ça ne coûte pas plus cher que paypal.
[^] # Re: Pourquoi ?
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 8.
Pour les paiements en ligne il faut une double authentification qui nécessite soit l'envoi d'un SMS (et ça ne va pas durer) soit une appli pour smartphone sous android ou iphone. Et ce n'est pas évident d'avoir des banques des solutions qui n'exigent pas un smartphone sous android.
Donc le choix…
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Pourquoi ?
Posté par tisaac (Mastodon) . Évalué à 5.
Demandez l'asile en Belgique!
Jusqu'à présent, la plupart des banques proposent un boîtier qui sert de second moyen d'authentification. Les détails varient d'une banque à l'autre.
A la réflexion, je me demande ce qui poserait problème pour avoir un compte en Belgique pour une personne résidant ailleurs. Sans doute quelques difficultés mais peut-être pas tant que cela.
Surtout, ne pas tout prendre au sérieux !
[^] # Re: Pourquoi ?
Posté par GG (site web personnel) . Évalué à 3. Dernière modification le 06 décembre 2020 à 22:39.
En France, les comptes bancaires détenus à l'étranger doivent être déclarés auprès des impôts.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Pourquoi ?
Posté par tisaac (Mastodon) . Évalué à 3.
Un peu comme tous les pays ayant un système fiscal pas trop boiteux, non ?
À mes yeux, cela ne crée pas de réelle difficultés pour un résident de l'Hexagone de posséder un compte en Belgique. Si ?
En même temps, visiblement, certaines banques françaises proposent le même système. Donc peut-être pas nécessaire de s'exiler bancairement au plat pays.
Surtout, ne pas tout prendre au sérieux !
[^] # Re: Pourquoi ?
Posté par barmic 🦦 . Évalué à 3.
Juste un token RSA ? Ça ne me semble pas compatible avec DSP2.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Pourquoi ?
Posté par claudex . Évalué à 6.
Qu'est-ce que tu appelle un token RSA ? J'ai un truc avec un clavier pour ma banque du genre.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Pourquoi ?
Posté par Psychofox (Mastodon) . Évalué à 0. Dernière modification le 04 décembre 2020 à 15:26.
Pas besoin de smartphone pour avoir android. Il peut tourner sur un PC, une VM, il est possible d'utiliser Android Virtual Device (de Android Studio), ou via anbox sur ta distrib.
Du reste on peut faire demander un virement à sa banque sur demande écrite. En général ils te rappellent pour confirmer et demander des détails personnels pour prouver ton identité mais ça peut être un numéro fixe.
[^] # Re: Pourquoi ?
Posté par Psychofox (Mastodon) . Évalué à 1. Dernière modification le 04 décembre 2020 à 15:32.
Et accessoirement je crois que la plupart des opérateurs fixes ont toujours le robot qui te dicte tes sms.
[^] # Re: Pourquoi ?
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 2.
L'appli est sur le googlestore ! D'accord ! C'est le problème. Ce n'est pas une histoire de virtualisation (en plus moi je n'ai pas de fixe).
Par contre, oui, ce sera plus long, mais je peux peut-être demander à ma conseillère de faire les deux virements que je dois faire. Ça risque de l'enquiquiner de la faire bouger.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Pourquoi ?
Posté par Psychofox (Mastodon) . Évalué à -3. Dernière modification le 04 décembre 2020 à 23:30.
tu installes aurorastore et tu as accès aux applis du playstore.
Accesoirement blissos fournit le playstore.
Après si tu vis sans mobile, sans fixe, sans électricité, tu vas pas non plus te plaindre si tu ne peux pas faire tes paiements en ligne via ton routeur alimenté à l'électricité par une chaudière à vapeur sans te déplacer à dos de mule jusqu'à ta banque.
[^] # Re: Pourquoi ?
Posté par Nodeus . Évalué à 4.
Et si je ne veux pas utilisé Android et si je ne veux pas utiliser les produits m$.
Je dois être libre de le faire et c'est aux fournisseurs de s'adapter et pas au client.
C'est contradictoire de vouloir soutenir le logiciel libre et d'encourager ce genre de pratique de la part des fournisseurs de services quels qu'il soient.
A quand le smartphone obligatoire pour aller faire sont marché ou à l'école.
c'est exactement le problème que ça soulève, l'exclusion.
Que peux-t-on répondre à ça…..
[^] # Re: Pourquoi ?
Posté par Jean-Baptiste Faure . Évalué à -2.
Les fournisseurs font ce qu'ils pensent être leur intérêt. Si cela rejoint les souhaits du client tant mieux, sinon tant pis pour le client. Soit le client se satisfait de ce qu'il trouve, soit il devient lui-même fournisseur, soit il essaye de convaincre un fournisseur d'adapter son offre à ses désirs. Si le client est assez riche ou nombreux, ça peut marcher.
Après tu peux militer pour l'instauration d'une économie dirigée. Si tu réussis tout le monde te remerciera pour les queues interminables devant des magasins quasi vides et sans aucune liberté de choix.
[^] # Re: Pourquoi ?
Posté par Nodeus . Évalué à 1. Dernière modification le 08 décembre 2020 à 19:23.
Oui j'en suis bien certain
Si l'intérêt d'un fournisseur est de te tromper ses clients sur la marchandise pour gagner de l'argent avant de crier Merci de se référer au différents scandales régulièrement exposés dans la presse. ex lasagne au cheval, lait contaminé, diesel gate sciemment vendu avec campagne de communication. Non respect de la réglementation.
Sauf que dans certain domaine ce n'est pas possible tout simplement parce que le ticket d'entrée sur le marché est bien trop important. Quand il te faut 50 millons d'euros pour espérer entrer simplement sur un marché tous ceux qui veulent faire mieux ne peuvent pas forcément se le permettre.
Le milieu bancaire , le milieu des télécoms et de l'énergie par exemple sont des marchés fortement capitalistique
De fait nous sommes déjà dans des marchés dirigés mais pas par l'état.
Et pour être juste il faut que chacun puisse avoir ces besoins satisfait.
L'économie c'est comme un écosystème, s'il n'est pas diversifié il meurt
Et contrairement à ce que tu semble penser, les marché ne sont pas binaires économie dirigée d'un coté et marché libre de l'autre.
Il y a une myriade de nuances entre les deux car parfois l'intérêt de tous doit primer sur celui de quelques un.
La chine est un exemple d'économie dirigée qui semble fonctionner même si je n'en suis pas fan.
[^] # Re: Pourquoi ?
Posté par Jean-Baptiste Faure . Évalué à 1.
Pourquoi réponds-tu à coté ? Je te parle de liberté d'entreprendre. Tu ne peux pas obliger un entrepreneur à développer et vendre un produit qu'il ne veut pas.
[^] # Re: Pourquoi ?
Posté par Nodeus . Évalué à 2.
Merci pour la condescendance.
Je ne réponds pas à côté ,j'essaie juste d'expliquer que la liberté d'entreprendre est relative.
Donc je vais essayer d'être plus clair.
La liberté d'entreprendre est toute relative :
Car pour aborder un marché, il faut des pré-requis capitalistique , réglementaire, etc
qui limite la liberté d'entreprendre.
Relativise la liberté d'entreprise.
Objectivement les normes et réglementations sont là pour ça pour obliger les entreprises à vendre des produits qu'elle n'auraient pas voulus vendre normalement (ex: essence sans-*plomb plastiques sans phtalates et bientôt produit alimetaires et cosmétiques sans dioxyde de titane ou nitrites.
donc Tu peux obliger un entrepreneur à développer et vendre un produit qu'il ne veut pas au départ.
Juste pour enfoncer le clou les entreprises du type CAC40 ne sont pas gérés par des entrepreneur dans leur majorité.
Dans le sens pour me faire comprendre ou ils n'ont créé leur entreprise de toute pièce à partir de rien.
J'espère que j'ai été bien clair et je suis certain d'être dans le sujet.
Bien cordialement
[^] # Re: Pourquoi ?
Posté par Psychofox (Mastodon) . Évalué à -2.
Ben tu changes de banque ou tu fais toutes tes opérations au guichet.
[^] # Re: Pourquoi ?
Posté par matteli . Évalué à 6.
A la banque popu, on utilise un petit lecteur de carte bancaire qui te permet de générer des codes à usage unique.
Pas besoin de smartphone. A noter que si tu as perdu ce lecteur, il est possible de passer par smartphone.
[^] # Re: Pourquoi ?
Posté par jihele . Évalué à 3.
C'est le lecteur Sésame auquel je fais référence, aussi utilisé au Crédit Coopératif. Je sais pas à la BP mais au CC la conseillère m'a dit qu'ils ne le donnaient plus aux nouveaux clients.
[^] # Re: Pourquoi ?
Posté par matteli . Évalué à 3.
ah pourtant, il me semble faire le taf même avec la nouvelle législation. non ?
[^] # Re: Pourquoi ?
Posté par jihele . Évalué à 3.
Je suppose qu'ils préfèrent recommander l'appli mobile.
Mais peut-être que la conseillère est mal informée (cf. commentaire plus bas sur Banque Pop).
[^] # Re: Pourquoi ?
Posté par barmic 🦦 . Évalué à 3.
De ce que j'ai compris DSP2 n'est pas compatible avec ce genre de token rsa. Le principe est d'avoir un lien plus fort. Ta banque ne te file pas seulement un code mais aussi à quoi il va servir.
cf: https://www.certeurope.fr/blog/dsp2-et-authentification-forte-que-prevoit-la-directive-europeenne/ article 97 paragraphe 2
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Coincidence
Posté par nizan666 . Évalué à 7.
J'ai justement passé une partie de la matinée au téléphone avec des gens de la banque populaire pour un problème parfaitement identique : plus possible d'accéder à rien si je ne donnais pas un numéro recevant les sms.
En réponse à mes questions, mon agence m'a plusieurs fois assuré qu'il était désormais nécessaire de renseigner un numéro de portable.
Mais c'était faux : le "service technique" de ladite banque, très disponible et compétent, a réglé la situation d'un simple clic : l'authentification peut tout aussi bien se faire par l'entremise d'un petit calculateur équipé d'un lecteur de carte bleue, celui même dont la possibilité d'usage m'avait été supprimée sans prévenir, et du jour au lendemain.
J'en ai aussitôt informé l'agence ; la conseillère s'est montrée surprise et agacée de n'avoir jamais été elle-même informée de cette possibilité.
Reste que ce dénouement favorable est plutôt une exception dans un monde de call-centers à scripts qui ne sont souvent rien d'autre que des barres de progression infinies.
[^] # Re: Coincidence
Posté par matteli . Évalué à 6.
Je me souviens avoir gueulé sur le mail de contact que l'on ne pouvait plus ouvrir des rib en pdf sur linux car il fallait le logiciel officiel d'adobe.
Et ben, quelques mois après, le problème était résolu. J'imagine que je n'étais pas le seul à avoir gueulé mais le résultat était là.
Par contre, si quelqu'un peut me dire en quoi il est plus sécurisé de rentrer un code 8 chiffres avec un clavier virtuel par rapport à un mot de passe classique pour accéder à ses comptes, ça m'intéresse…
[^] # Re: Coincidence
Posté par cfx . Évalué à 5.
Ils permettent d'éviter les keylogger, qui sont a priori des vecteurs d'attaques relativement simples à mettre en place (cela ne prend que quelque secondes de brancher une clé USB à l'arrière d'un PC pendant que la personne a le dos tourne).
Bon, ils ont aussi pas mal d'inconvénients, notamment qu'il est relativement facile de juste regarder par dessus l'épaule de quelqu'un. Bref, je suis pas convaincu non plus.
[^] # Re: Coincidence
Posté par matteli . Évalué à 2. Dernière modification le 04 décembre 2020 à 21:47.
ah oui en effet le bon vieux sniffeur de clavier.
Il n'y a pas des OS modernes avec une pile graphique moderne qui rendent inopérant par design ce genre de technique ?
A quand l'obligation de consulter les sites de banques sur ce genre d'OS ?
[^] # Re: Coincidence
Posté par cfx . Évalué à 3.
Je ne sais pas quelle est la popularité des keyloggers software de nos jour, ni leur résistance aux anti-{virus,malware}, par contre pour quelques euros tu peux avoir une version hardware miniature, indétectable par la machine, et même consultable en wifi…
[^] # Re: Coincidence
Posté par matteli . Évalué à 2.
Les questions étaient rhétoriques.
Sous linux, la promesse de Wayland est justement de ne pas permettre à un programme de "voir l'écran" et "sniffer le clavier" d'un autre programme ce qui devrait rendre inopérant les keylogger.
[^] # Re: Coincidence
Posté par barmic 🦦 . Évalué à 5.
Et lui de te répondre que tu tu as une attaque matériel, wayland ne fera rien pour toi.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Coincidence
Posté par matteli . Évalué à 3.
ok je n'avais pas compris ce que c'était.
Le clavier usb est branché sur un dongle lui même branché sur un port usb de le PC.
Dans ce cas, en effet, l'OS n'y changera rien.
[^] # Re: Coincidence
Posté par Benoît Sibaud (site web personnel) . Évalué à 7.
Le système peut dire : je n'accepte que les périphériques USB portant tel ou tel identifiant, ou de tel constructeur, ou sur tel port USB. Par contre quand ton matériel ne marche plus, il faut espérer avoir une connexion via SSH ou autre pour pouvoir autoriser un autre clavier ou une autre souris… (et ça ne protège que si l'attaquant ne connaît pas le matériel autorisé parce qu'il peut tout à fait mentir au système).
(ça rejoint cette ancienne dépêche https://linuxfr.org/news/cle-web-usb-et-securite )
[^] # Re: Coincidence
Posté par barmic 🦦 . Évalué à 6.
Ça ne doit pas être trop compliqué de simplement répliqué l'identifiant que tu as du coté clavier.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Coincidence
Posté par flavien75 . Évalué à 5.
C'est pire que ça, tu peux avoir un composant qui se contente de lire le contenu des trames qui passent sur le bus USB sans être visible par le système.
Dans ce cas il n'y a absolument rien qu'on puisse finir niveau système d'exploitation.
exemple en vidéo
Les vrais naviguent en -42
[^] # Re: Coincidence
Posté par oinkoink_daotter . Évalué à 5. Dernière modification le 07 décembre 2020 à 13:24.
Ca ne l'est plus beaucoup, je pense. A la base, je pense que c'était effectivement pour éviter les keyloggers (surtout logiciels, le coup des devices matériels nécessitant un accès physique, …des devices, un risque de se faire gauler, et une certaine facilité à retracer à posteriori, donc risqué au global).
Depuis, les malwares ont évolués, sont capables de faire des screenshot "on-click", sont dispo en marque blanche, l'écosystème s'est structuré, c'est bô. Mais du coup, je pense que ça ne sert plus à grand chose ces pinpad à l'écran. A part peut-être pour nettoyer le tout venant bas de gamme.
(cf
- le rapport de l'Agence sur Dridex ici (en anglais, 404 sur la version française
- un rapport de Trusteer … de 2007 là, pages 3-4)
# EDF
Posté par arnauld . Évalué à -10.
Bonjour EDF,
Je n'ai pas l'électricité mais je voudrais pouvoir regarder la télévision.
Comment faire ?
Merci.
arnauld
[^] # Re: EDF
Posté par Yth (Mastodon) . Évalué à 10.
Il est marrant ton exemple !
Sauf…
Bah sauf que je vois pas le rapport entre accéder à des services bancaires et avoir un téléphone…
# Ce bon vieux France Telecom
Posté par Maclag . Évalué à 10.
1996, mais je le texte n'est pas original, ma mémoire n'est pas si bonne que ça:
"Bonjour, je vous appelle parce que ma ligne fixe est censée être activée, mais elle ne marche pas
-Vous appelez de chez vous ?
-Non, d'une cabine. Comme je vous le disais, ma ligne ne fonctionne pas
-Vous pouvez rappeler de chez vous ? Nous avons un nouveau système pour identifier les clients avec le numéro appelant.
-Non, je ne peux pas appeler de chez moi, parce que LA LIGNE NE MARCHE PAS. Et si elle marchait, je n'appellerais sûrement pas le support technique…
-Attendez, je dois en parler avec mon supérieur
-Hein?!
[Attente, attente]
-Bon, est-ce que vous pouvez me confirmer que vous ne pouvez vraiment pas appeler de chez vous?
-… si je pouvais appeler de chez moi, je ne vous appellerais pas !!
-Donc, c'est non? J'ai besoin d'une confirmation pour une dérogation à l'identification du client
[Reste calme, bord… Vérification: on n'est pas le 1er avril, et je ne trouve pas de caméra cachée autour de moi]
-Oui, je vous confirme que je suis dans l'impossibilité de vous appeler de chez moi, parce que je vous appelle pour vous expliquer que MA LIGNE NE MARCHE PAS!!
-Vous pouvez me donner votre nom, numéro de téléphone, et adresse?
-[je réponds à tout ça]
[Petite attente]
-Est-ce qu'il y a un téléphone que vous avez confirmé fonctionnel branché sur la prise?
-Oui, et je l'ai testé chez le voisin: le téléphone marche. C'est bien ma ligne qui ne marche pas.
-Parce que je ne détecte pas de téléphone branché sur la ligne.
-…
-Je vais planifier une intervention d'un technicien
[soupir de soulagement]
"
Un technicien est venu, et m'a confirmé que quand le précédent locataire est parti, un technicien a visiblement physiquement débranché des trucs qui n'avaient pas besoin de l'être.
Aujourd'hui encore, je suis émerveillé par le processus qui a permis d'imaginer, concevoir, et mettre en place le système d'identification de client par numéro entrant au support technique sans que personne ne réalise le problème avant les retours des-dits clients !
Mais à la même époque (plus ou moins quelques années), un ami à moi en a eu une belle aussi:
"Le pilote du lecteur CD ? Il est sur le CD vendu avec le PC
-Et je fais comment alors ?
-Ben vous insérez le CD dans la machine, et vous installez le pilote sur le CD.
-J'installe le pilote du CD sur le CD que je lis sans pilote ?
-Oui, en le disant, maintenant je vois le problème !
-?!?!?
-On vous envoie une disquette avec le pilote, sinon vous pouvez passer la récupérer en magasin !
-Merveilleux…"
[^] # Re: Ce bon vieux France Telecom
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
/me s'est toujours demandé comment sont pensés ces « cas d'utilisation » qui passent à côté d'évidences qui se manifestent rapidement et fréquemment sur le terrain.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
# Donne le
Posté par wilk . Évalué à 6.
Moi je serai à ta place j'aurai donné mon numéro de portable.
-Merci de bien vouloir me donner votre numéro de portable.
-Impossible je l'ai déjà donné à Stripe hier (je vais quand même voir s'ils ne peuvent pas me le rendre).
# Androïdes
Posté par RD . Évalué à 2.
Rappelons que que la 2FA ne protège QUE contre la menace d'obtention du mot de passe en clair à l'exclusive de tous les autres types.
La question de la concurrence (offre, demande, "change de banque") ne sont plus valables (DSP2)
Dans le temps il existait des cartes à numéros : 100x plus pratiques et moins coûteuses que la 2FA imposée actuellement (pas de SIM-jacking, fonctionne sans les vulnérabilités propres aux smartphone-sous-Android-sur-GSM-avec-batterie).
Puisque la 2FA est optionnel pour utiliser les services bancaire lorsque le périphérique est un smartphone [Puisqu'un accès root au mobile donne accès aux SMS y compris de manière dissimulée, il n'y a plus de second facteur]), la solution de la carte à numéros s'avérait donc plus sécurisée aussi.
Les services IT des banques y ont certainement pensé mais leurs directions n'ont pas fait ce choix. Donc la question est probablement moins économique ou sécuritaire qu'idéologique et, à mon avis, liée à :
- la géolocalisation inhérente aux smartphones
- l'objectif de "banalisation" du smartphone
- Le fait de dépendre d'un objet complexe qui risque d'être perdu facilitera le travail lorsqu'il s'agira de promouvoir des puces sous-cutanées ("Plus de problème de GSM, promis, accédez à votre compte même depuis l'étranger sans téléphone, …")
Ainsi la 2FA-smartphone n'est qu'une transition durant laquelle il s'agit de créer le problème qui appellera ensuite une solution bien spécifique : l'authentification majoritairement biométrique qui nous est apparemment promise.
Questions :
- Quelqu'un a-t-il pu réussi à faire tourner Secur'Pass (caisse d'épargne / crédit-coop) sous anbox ?
- Quelqu'un a-t-il déjà décompilé l'app' afin d'identifier l'algo et l'implémenter de manière ouverte ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.