Journal Paypal et l'authentification à deux facteurs

Posté par  . Licence CC By‑SA.
14
2
sept.
2022

Rien de tel qu'un journal qui dénonce grave pour commencer son vendredi.

Comme chacun sait, aujourd'hui, c'est Bandcamp Friday, donc je remplis mon caddie pour soutenir mes artistes favoris et je passe au paiement avec Paypal.

Je n'ai pas de mobile perso et pour pouvoir me connecter à Paypal j'ai activé la 2FA et j'utilise une "application tierce" pour générer un mot de passe à usage unique (OTP) à chaque connexion. (Voir précédent journal.)

Jusqu'à il y a peu, ça fonctionnait à merveille. Mais depuis quelques temps, Paypal me demande en plus de recevoir un SMS avec un code. Ceinture et bretelles.

Je n'ai pas trouvé de trace de ce changement dans les annonces de modifications du règlement d'utilisation Paypal. J'ai peut-être mal cherché.

La page d'aide sur l'authentification stipule même explicitement que l'appli 2FA devrait suffire :

J'ai déjà activé la vérification en 2 étapes sur mon compte PayPal, vais-je remarquer des changements ?
La vérification en 2 étapes est une authentification conforme aux exigences de l'Authentification client forte. Par conséquent, vous ne remarquerez aucun changement lors de la connexion à votre compte. Cependant, si vous décidez de désactiver la vérification en 2 étapes, vérifiez que vous avez un numéro de téléphone à jour dans vos préférences.

Je n'ai pas de numéro de téléphone mobile ou fixe direct à enregistrer sur mon compte PayPal. Existe-il un autre moyen de vérifier mon identité lors de la connexion ?
Afin de continuer à accéder à votre compte PayPal conformément aux réglementations de la DSP2, vous devez activer le paramètre de vérification en 2 étapes dans les Paramètres de votre page Préférences. Ce paramètre permet d'obtenir davantage d'options de vérification conformes aux exigences de l'Authentification client forte. Pour le moment, la vérification en 2 étapes propose des applications mobiles et des applications d'authentification.

J'ai pu contacter le support technique et on m'a répondu que par mesure de sécurité, Paypal demande aussi un SMS. Apparemment, ça ne serait pas systématique, ça dépendrait de la renommée du site et de si on y a déjà fait des achats. Sachant que j'achète sur Bandcamp presque tous les mois, j'ai des doutes.

En conclusion

  • C'est pénible, je pensais avoir une solution de paiement qui ne nécessite pas de téléphone mobile mais ça ne fonctionne plus. (Je peux aussi passer par ma banque mais il faut un "lecteur sésame" pour obtenir un code, et c'est moins bien pour diverses autres raisons.)

  • Je ne comprends pas l'intérêt de pouvoir configurer la 2FA avec une application tierce plutôt qu'un SMS si à la fin il faut quand-même un SMS. Et il me semblait que l'OTP était plus sécurisé que le SMS (SIM jacking).

  • Même si on a un téléphone, quand on est à l'étranger dans un pays où on n'a pas de mobile (je sais que c'est de plus en plus rare avec les abonnements actuels, mais quand-même), on peut se trouver coincé à ne pas pouvoir effectuer de paiement.

Perso, vu les montants que j'ai sur Paypal (pas grand-chose, juste l'argent de poche que je gagne en contribuant à du LL), je préfèrerais la praticité à la sécurité.

  • # L'or numérique...

    Posté par  . Évalué à 10.

    Et il me semblait que l'OTP était plus sécurisé que le SMS (SIM jacking).

    Tout à fait, mais du coup, ils ont pas ton numéro de tél. :-)
    La vraie richesse aujourd'hui, c'est une base conséquente de mails de tél. à "polluer".

    Celui qui pose une question est bête cinq minutes, celui qui n'en pose pas le reste toute sa vie.

    • [^] # Re: L'or numérique...

      Posté par  . Évalué à 4.

      J'ai ajouté un num de mobile pro. J'ai accepté qu'ils envoient de la merde dessus…

  • # Les téléphones fixes peuvent recevoir des sms

    Posté par  (site web personnel, Mastodon) . Évalué à 5.

    Sous certaines conditions un fixe peut recevoir des sms (transcrits oralement). Il faudrait voir comment ça fonctionne. Ça ne résout pas franchement la question, mais bon.

    « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

    • [^] # Re: Les téléphones fixes peuvent recevoir des sms

      Posté par  . Évalué à 6.

      Oui, j'ai un fixe avec un répondeur qui me renvoie les messages par courriel en mp3 en direct.

      Le numéro est renseigné dans Paypal.

      J'ai essayé le SMS dessus mais ça marche pas, il se passe rien. (C'est dommage, j'ai souvenir d'une soirée jadis où on s'amusait à envoyer des SMS avec plein de consonnes sur des fixes juste pour se marrer à entendre la voix automatique les prononcer.)

      Je peux aussi demander un appel sur le fixe, mais l'appel ne donne pas un code sur le message, il demande à celui qui décroche de rentrer un numéro à 4 chiffres donné par Paypal avant l'appel. Donc il faut être sur place pour décrocher.

  • # DSP2

    Posté par  . Évalué à 4.

    C'est le DSP2, PayPal doit s'y conformer. Et même si ce sont de petites sommes, un compte Paypal pourrait donner d'autres infos sensibles.

    L'un des fils de LFR sur le sujet : https://linuxfr.org/users/fcartegnie/journaux/l-authentification-molasse

    Je paie par e-carte et Bandcamp les refuse avec Firefox, je suis olbigé d'en passer par Chromium.

    • [^] # Re: DSP2

      Posté par  . Évalué à 10.

      Quelques éléments plus précis ici : https://linuxfr.org/users/glandos/journaux/bpce-et-les-paiements-avec-authentification-a-deux-facteurs#comment-1888343

      Ça semble être une obligation. Mais ça agace quand-même parce que le sigle DSP2 est brandi régulièrement pour faire accepter tout et n'importe quoi, parce que jusqu'à il y a quelques temps ça marchait bien, parce que ça semble arbitraire (pas systématique).

      Plus largement, j'ai l'impression de vivre une grosse régression. J'ai vécu l'apparition d'Internet qui nous a offert plein de services pratiques devenus indispensables, les difficultés à pouvoir naviguer avec un navigateur qui ne soit pas IE (ça faisait râler que les libristes jusqu'à ce que les navigateurs libres l'emportent parce qu'ils étaient plus cools), on a connu une apogée, et depuis les Smartphones, catastrophe, tout se verrouille, il faut une appli proprio pour tout (ça fait râler que les libristes, et encore pas tant que ça), il faut un mobile pour tout, même pour des choses qui peuvent se faire dans un navigateur (pour créer un compte Blablacar, Tinder, What's app, pour s'authentifier sur un site important comme une banque). Le tout PC ne fonctionne plus, le tout mobile est encouragé à outrance.

      L'intérêt pour les vendeurs est évident : plus facile de tracker un mobile, plus facile de pomper des données avec des applis, de balancer des pubs, le canal est maîtrisé.

      L'intérêt général l'est un peu moins. Mais quel décideur s'en soucie tant que l'économie tourne ? Quel consommateur s'en soucie tant que ça juste marche ?

  • # Et les zones blanches

    Posté par  (site web personnel) . Évalué à 7.

    Même si on a un téléphone, quand on est à l'étranger dans un
    pays où on n'a pas de mobile (je sais que c'est de plus en plus
    rare avec les abonnements actuels, mais quand-même), on peut se
    trouver coincé à ne pas pouvoir effectuer de paiement.

    Ou alors, quand ça ne capte pas. La maison des parents de mon coloc, ou on a passé une partie des vacances, est dans un endroit fort peu desservi par les ondes (en partie à cause des murs, en partie à cause de la géographie, en partie parce qu'il y a personne).

    Donc pour faire des opérations bancaires, j'ai du aller dehors vers la route la plus proche pour recevoir mon SMS de vérification. Et pourtant, c'était pas perdu au milieu de la Creuse ou du Vercors, il y a un train vers Paris.

    • [^] # Re: Et les zones blanches

      Posté par  (site web personnel, Mastodon) . Évalué à 6.

      À un moment, dans Paris, chez moi, je n'avais aucun réseau téléphone mobile dans l’appartement. j'ai dû changer de prestataire.

      « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

      • [^] # Re: Et les zones blanches

        Posté par  (site web personnel) . Évalué à 4.

        On a eu le même souci au travail avec SFR. Leur solution, c'était de proposer gratuitement d'avoir des relais 3G femtocell.

        Ils sont gentils, mais si tu proposes pas le service comme promis, c'est pas à moi de sponsoriser le courant et la bande passante pour ça.

        • [^] # Re: Et les zones blanches

          Posté par  (site web personnel, Mastodon) . Évalué à 7.

          Un problème aussi, c'est que certains bâtiments modernes sont de véritables cages de Faraday. Même avec la meilleure volonté du monde de la part de l'opérateur (une antenne juste en face du bâtiment par exemple), tu peux très bien ne pas avoir de réseau ou presque à l'intérieur. J'ai vu ça dans plusieurs bâtiments d'entreprise, moins chez des particuliers.

          La connaissance libre : https://zestedesavoir.com

          • [^] # Re: Et les zones blanches

            Posté par  . Évalué à 7.

            Au boulot si je n'ouvre pas la fenêtre j'ai pas de réseau gsm.
            Pas pratique surtout l'hiver…et pourtant la réception est très bonne dans le secteur. Le soucis est apparu depuis qu'on a isolé le bâtiment par l'extérieur et mis des fenêtres avec vitrage athermique…

          • [^] # Re: Et les zones blanches

            Posté par  (site web personnel) . Évalué à 4.

            C'est possible, mais ça ne posait pas de souci avec un autre opérateur (celui d'avant, et celui d’après aussi). Et mes collègues se plaignaient aussi du réseau chez eux (et moi aussi, c'est comme ça que j'ai su pour les femtocells).

            C'est con, mais ça aide d'avoir du réseau pour recevoir les alertes nagios.

          • [^] # Re: Et les zones blanches

            Posté par  (site web personnel) . Évalué à 2.

            Pour les problèmes de non réception dans les bâtiments, il y a toujours la solution du Voice Over Wifi… à condition d'avoir du wifi (et un abonnement compatible chez les opérateurs qui osent encore facturer cela alors que cela ne leur coûte absolument rien).

  • # adblock et extension pour la vie privée

    Posté par  (Mastodon) . Évalué à 7.

    J'ai remarqué que lorsque j'utilise firefox associé à ghostery beaucoup de sites me font faire résoudre des ribambelles de captcha qu'ils ne me demandent pas si je suis sur un autre navigateur en me disant que j'ai le comportement d'un robot alors qu'il faut que je prouve mon humanité.

    Paypal ne ferait-il pas de même et t'imposerait plus de validations quand tu bloque la ribambelle de trackers qu'ils utilisent?

    Du coup j'ai un navigateur chrome qui tourne en mode incognito dans une vm dédiée pour des sites pénibles.

  • # Service de réception de SMS en ligne

    Posté par  . Évalué à 4. Dernière modification le 02 septembre 2022 à 16:42.

    Il y a des services en ligne qui permettent de recevoir un SMS de façon gratuite.

    Il suffit de chercher "Receive SMS online for free" pour trouver ces services.

    Le principe c'est que ça affiche une liste de pays, puis un numéro de téléphone dudit pays et les SMS reçus s'affichent directement sur la page web.

    Oui, tout est public au niveau des SMS reçus, mais je ne vois pas ce qu'on peut faire avec juste un code de confirmation sans avoir le reste des informations

    • [^] # Re: Service de réception de SMS en ligne

      Posté par  (site web personnel) . Évalué à 9.

      Il y a des services en ligne qui permettent de recevoir un SMS de façon gratuite.

      Ce n'est pas une très bonne idée sur de l'authentification qu'on veut pérenne dans le temps, car ces numéros ont une durée de vie limitée. Donc, ne plus pouvoir se connecter parce que le numéro a été viré de la base de donnée… bof. Sauf si c'était un compte jetable, et là évidement c'est plus qu'utile. Mais je ne jouerais pas avec ça pour un compte Paypal.

      Il y a aussi des services qui proposent de payer un service similaire (louer un numéro de téléphone pour recevoir des appels en voip et des sms sur son ordi), mais je trouve cela assez cher par rapport à une carte sim et un prépayé, le tout dans un téléphone de récupération. Cela reste une bonne alternative quand on est dans une zone blanche côté mobile mais correctement desservie par les câbles.

      La carte sim avec du prépayé et le mobile de récupération, ça reste lourd : il faut remettre un peu de sous de temps en temps sur le prépayé pour garder le numéro actif, et avoir un téléphone quand même, et donc du réseau. Une solution moins coûteuse à l'entretien consiste à avoir un abonnement chez un FAI qui propose la ligne téléphonique mobile gratuite (l'offre de base chez Free, mais ce ne sont plus les seuls je crois ?). Et avoir un téléphone juste pour les double authentification, je comprends que ça énerve…

      Il y aurait peut-être une solution "à la chaton", à monter son propre service de récupération des sms via internet, avoir un numéro de téléphone commun, et partager ça entre copains. Ça reste une faille intéressante dans le cas de l'authentification, mais qui s'envisage dès lors que cette dernière demande de payer un abonnement en plus. Dans mon cas j'avais étudié ça dans le cadre de la création de comptes chez les gafams, qui demandent de plus en plus ce genre de choses ; je ne veux pas leur filer mon numéro personnel, surtout quand je gère des comptes pour le biais d'associations (en plus dans ce cadre c'est top de pouvoir partager l'accès aux comptes). Mais lorsque j'avais regardé les logiciels libres de ce genre je n'avais pas vraiment trouvé une façon simple de le faire : ça me demandait plus de compétences que je n'en avais. Ceci dit, si vous savez comment faire, la problématique revient avec la régularité des marées et ça m'intéresse d'apprendre.

    • [^] # Re: Service de réception de SMS en ligne

      Posté par  . Évalué à 5.

      Tu en connais un que tu as personnellement testé, qui fonctionne, et qui t'affiche le dit sms en moins de 5min ?

      Emacs le fait depuis 30 ans.

  • # SMS vers email

    Posté par  (site web personnel) . Évalué à 8.

    J'utilise un vieux téléphone Android dédié à la réception de SMS. Il est branché en permanence, et stocke les SMS reçus dans via IMAP. J'aurais préféré via SMTP, mais bon.

    https://f-droid.org/en/packages/com.github.axet.smsgate/

    Il y a même des fournisseurs qui te proposent d'envoyer le code MFA (Mother Fucker Multifactor Authentication) via WhatsApp 😤.

    • [^] # Re: SMS vers email

      Posté par  (site web personnel) . Évalué à 4.

      pendant un temps j'utilisais une application sur Fdroid qui faisait la synchronisation des SMS par IMAP, c'était très pratique pour garder une archive. Ça doit s'appeler SMS backup ou quelque chose comme ça.

      Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

  • # Webauthn (FIDO)

    Posté par  . Évalué à 5. Dernière modification le 03 septembre 2022 à 18:25.

    toujours aucune banque ne supporte les clés FIDO, exception faite de Boursorama, mais ca ne fonctionnait pas sur Linux … WTF.

    https://www.monguidefinance.com/mon-compte-bancaire-est-il-moins-bien-securise-que-mon-compte-instagram

    Cela commence à m'exaspérer d'avoir de nombreux comptes pro et perso mieux sécurisés que mes quelques comptes en banque. Mieux sécurisé, avec FIDO, cela doit tout de même être démontré, mais je pense que la puissance de feu de consortium Web est au moins équivalente à celle du petit monde bancaire franco-francais qui ne jure par leur application propriétaire.

  • # Le SMS est un mauvais facteur

    Posté par  (site web personnel) . Évalué à 10.

    J'ai eu récemment un joli cas pendant mes vacances:

    • j'ai atteint le plafond de ma carte bancaire ;
    • ma carte SIM est morte.

    Si j'étais parti seul, j'aurais du rentrer en faisant du stop et en mendiant…

    Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

  • # Point bonus pour l'UX du 2FA OTP

    Posté par  . Évalué à 4.

    J’ai un petit point à ajouter au sujet de Paypal et de l’OTP. Leur équipe UX semble avoir de gros problèmes avec cette page.

    L'an dernier, un bug est resté actif pendant au moins 6 mois où après avoir saisi un chiffre du mot de passe unique le champ de texte perdait le focus. Bug confirmé, sur plusieurs machines, navigateurs, sans bloqueur de publicité. Il y avait plusieurs fils de discussions/tickets sur leur tracker de bug.

    Désormais, le formulaire du challenge OTP a été remanié pour être composé de 6 champs de texte. Sur PC, ce n’est pas un problème, car on tape le mot de passe. Par contre, sur le téléphone, que l’on utilise pour générer le mot de passe à usage unique, on ne peut pas coller le mot de passe, il faut le mémoriser puis le taper après avoir changé d’écran.

    Je ne pense pas que l’authentification par OTP soit une priorité pour Paypal.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.