Bonjour,
Ma banque (Caisse d'Épargne) me presse assez régulièrement pour que j'installe Secur'pass pour mes opérations bancaires…
Bon, j'ai un smartphone depuis peu (vraiment peu), mais il tourne sous LineageOS et F-Droid pour les applications alors je me demandais…Quelles sont mes options ?
1) Une app' libre qui ferait le taff ?
2) Un paquet desktop qui ferait le taff (et tant pis pour la mobilité) ?
3) Me contenter de Paypal…?
4) Changer de banque ?
5) Une meilleure idée ?
Merci pour vos suggestions !
# Groupe BPCE ?
Posté par Cyril Brulebois (site web personnel) . Évalué à 8.
C'est comme les rapports de bogue, c'est plus simple si on est complet dès le début… préciser la banque ne coûterait pas trop cher et ça éviterait de jouer aux devinettes.
Je serais toi, je me renseignerais sur le lecteur CAP qui est probablement un lecteur de carte à puce (chez CE) ou le lecteur PASS CyberPlus (chez BP). Chez CM/CIC j'ai opté pour le boîtier DIGIPASS pour éviter d'avoir à utiliser la moindre application (modulo 29 € à l'acquisition).
Debian Consultant @ DEBAMAX
[^] # Re: Groupe BPCE ?
Posté par Stinouff . Évalué à 1.
Pardon, c'est corrigé. J'avais cru écrire Ma banque à l'écureuil…Je n'avais pas pensé à cette solution, merci !
[^] # Re: Groupe BPCE ?
Posté par vv222 . Évalué à 4.
Je suis justement en train d’ouvrir un compte à la Caisse d’Épargne, et n’ayant pas de téléphone portable c’est ce lecteur qui m’a été proposé.
C’est le genre de solution que j’aurais tendance à recommander même à ceux qui ont un smartphone. Ne serait-ce que pour limiter les dégâts inévitables quand on centralise trop de choses sur un appareil unique.
[^] # Re: Groupe BPCE ?
Posté par _kaos_ . Évalué à 2.
Je confirme pour le CM.
Le digipass fait exactement ce que je veux, c'est un "problème" qui a été réglé en 5 minutes sans soucis.
Matricule 23415
[^] # Re: Groupe BPCE ?
Posté par _kaos_ . Évalué à 2.
Petit complément : le Digipass 770 qui m'a été fourni pour 29€.
Il y a un QR Code à scanner afin de générer un OTP, et c'est tout ce qui change par rapport à un SMS (de mon point de vue utilisateur).
Matricule 23415
[^] # Re: Groupe BPCE ?
Posté par yannv . Évalué à 1.
pareil, je l'utilise depuis quelques mois et ça fonctionne très bien tout en gardant la liberté de choix de son outil de communication.
https://solar.lowtechmagazine.com/fr/ pour les amoureux de la technique élégante
# Ça passe
Posté par chimrod (site web personnel) . Évalué à 2.
J'ai également un PC sous lineageOS (sur lequel j'ai installé micro-g, ce qui peut faire une différence). Par fdroid, j'ai installé "Aurora store", qui permet ensuite d'installer des application du google store… dont l'application de la caisse d'épargne.
Je n'ai rien à signaler, ça fonctionne.
[^] # Re: Ça passe
Posté par Cyril Brulebois (site web personnel) . Évalué à 7.
Ça se passe comment dans cet environnement, pour tout ce qui est pisteurs/permissions ?
Le rapport d'Exodus Privacy m'inciterait bien à ne jamais songer à installer une telle application sur mon téléphone, quel que soit l'environnement. (J'ai fait le tour des applis des grands groupes bancaires français il y a quelques temps, c'est le même niveau d'indécence environ partout.)
Debian Consultant @ DEBAMAX
[^] # Re: Ça passe
Posté par chimrod (site web personnel) . Évalué à 2.
Que veux-tu dire par "sur cet environnement" ? Au moment du lancement de l'application le système nous demande si l'on autorise telle ou telle permission à l'application (comme sur d'autres systèmes je suppose ?)
[^] # Re: Ça passe
Posté par Cyril Brulebois (site web personnel) . Évalué à 1.
Tu as des mécanismes en place pour empêcher les pisteurs de remonter tout plein d'infos sur ton téléphone, ta navigation, etc. chez les data brokers ? Tu peux choisir d'interdire la localisation précise, l'accès à tes contacts, le fait de passer un coup de fil, etc. et l'application fonctionne quand même ?
Debian Consultant @ DEBAMAX
[^] # Re: Ça passe
Posté par chimrod (site web personnel) . Évalué à 2.
Pour les pisteurs qui passent par des requêtes http j'utilise l'application blokada, qui fonctionne comme un bloqueur VPN. Cela permet de filtrer toutes les requêtes, même celles venant des applications.
Pour les appels ou autre, oui il y a cela. Par contre j'ai l'impression que ta demande concerne davantage LineageOS que l'appli bancaire c'est bien cela ? Tu envisages un remplacement de téléphone ? Si oui, je t'invite à lire la dépêche quel téléphone plus ou moins libre en 2021 qui t'ouvrira plein de pistes !
# Refuser ....
Posté par root_rtfm . Évalué à 4.
Bonjour,
Ma banque aussi aimerait que j'utilise leur appli de sécurisation, cependant, de l'avis même de mon conseiller, cela ne peut pas être obligatoire de l'utiliser, nous ne possédons pas tous de smartphone… les banques doivent encore maintenir un accès sans leur appli … pour le moment.
En outre, si nos chères banques souhaitent l'utilisation de leur appli, elles pourraient offrir le smartphone ;-)
[^] # Re: Refuser ....
Posté par vv222 . Évalué à 2.
C’est ce que j’ai demandé à ma banque actuelle.
Étrangement, suite à ça ils ont arrêté de me demander en boucle de leur donner un numéro de portable (que je n’ai pas).
[^] # Re: Refuser ....
Posté par Benoît Sibaud (site web personnel) . Évalué à 6.
L'April a collecté quelques informations sur le sujet.
https://wiki.april.org/w/Atelier-directive-dsp2
# alternatives
Posté par Marc Quinton . Évalué à 3.
ca marche très bien sur les sites de crypto, je ne comprends pas bien pourquoi on ne le fait pas sur les sites des banques en ligne. Boursorama semble avoir une double authentification FIDO2, mais qui ne fonctionne pas sur ma conf Linux actuelle.
Est-ce que les applis spécifiques aux banques apportent plus de sécurité que les standards actuel (OTP, FIDO) ? ou alors des services plus complets ? Ne peut-on pas dissocié l'application et la méthode d'authentification sécurisée ?
[^] # Re: alternatives
Posté par Marc Quinton . Évalué à 2.
pas de réponse chez Hellobank concernant ce sujet.
[^] # Re: alternatives
Posté par aiolos . Évalué à 3.
De ce que j'en sais, au moins Visa et Mastercard travaillent tous deux sur le sujet de FIDO pour l'authentification DSP2, à ma connaissance, rien n'a été normalisé/commercialisé par eux, Visa a commencé une expérimentation, il me semble ; je crois que CB travaille également sur le sujet.
Il faut savoir que les banques, en plus s'être des organismes un peu conservateurs, ne déploient pas ce qu'elles veulent comme ça. Il faut recevoir le blanc-sein de l'ACPR ; si la méthode d'authentification forte que tu propose n'a jamais été déployée, le processus sera probablement plus long puisqu'il faudra qu'il soit examiné par les équipes techniques et juridiques.
# C'est un sujet récurrent donc :-)
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 3.
Il y a eu des commentaires sur ce sujet dans le sondage sur les SE des téléphones et l'April a fait une page wiki sur la question.
(il faudra vraiment que je fasse une dépêche de ce sondage en relevant les points traités dans les commentaires).
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: C'est un sujet récurrent donc :-)
Posté par devnewton 🍺 (site web personnel) . Évalué à 6.
Bizarre.
Quand on fait un achat via son téléphone et qu'on valide le paiement via un SMS reçu sur la même machine, c'est un deuxième facteur.
Quand on fait un achat via son téléphone et qu'on valide le paiement via une appli sur la même machine, c'est un deuxième facteur.
Quand on fait un achat via son téléphone et qu'on valide le paiement avec un certificat sur la même machine, c'est pas un deuxième facteur.
Il y aurait les bons et les mauvais deuxièmes facteurs?
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: C'est un sujet récurrent donc :-)
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 2.
Faut croire. Ou, en tout cas, il y en a qui sentent plus la pâté que d'autres.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: C'est un sujet récurrent donc :-)
Posté par Watchwolf . Évalué à 1.
"Quand on fait un achat via son téléphone et qu'on valide le paiement via une appli sur la même machine, c'est un deuxième facteur."
Pour ce cas le fait de devoir saisir un mot de passe spécifique pour la validation en fait un 2ème facteur je pense.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.