Forum Linux.android Secur'pass ?

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
5
5
août
2021

Bonjour,

Ma banque (Caisse d'Épargne) me presse assez régulièrement pour que j'installe Secur'pass pour mes opérations bancaires…

Bon, j'ai un smartphone depuis peu (vraiment peu), mais il tourne sous LineageOS et F-Droid pour les applications alors je me demandais…Quelles sont mes options ?

1) Une app' libre qui ferait le taff ?
2) Un paquet desktop qui ferait le taff (et tant pis pour la mobilité) ?
3) Me contenter de Paypal…?
4) Changer de banque ? 
5) Une meilleure idée ?

Merci pour vos suggestions !

  • # Groupe BPCE ?

    Posté par  (site Web personnel) . Évalué à 8 (+7/-0).

    C'est comme les rapports de bogue, c'est plus simple si on est complet dès le début… préciser la banque ne coûterait pas trop cher et ça éviterait de jouer aux devinettes.

    Je serais toi, je me renseignerais sur le lecteur CAP qui est probablement un lecteur de carte à puce (chez CE) ou le lecteur PASS CyberPlus (chez BP). Chez CM/CIC j'ai opté pour le boîtier DIGIPASS pour éviter d'avoir à utiliser la moindre application (modulo 29 € à l'acquisition).

    Debian Consultant @ DEBAMAX

    • [^] # Re: Groupe BPCE ?

      Posté par  . Évalué à 1 (+0/-0).

      Pardon, c'est corrigé. J'avais cru écrire Ma banque à l'écureuil…Je n'avais pas pensé à cette solution, merci !

    • [^] # Re: Groupe BPCE ?

      Posté par  (site Web personnel) . Évalué à 4 (+2/-0).

      Je serais toi, je me renseignerais sur le lecteur CAP

      Je suis justement en train d’ouvrir un compte à la Caisse d’Épargne, et n’ayant pas de téléphone portable c’est ce lecteur qui m’a été proposé.

      C’est le genre de solution que j’aurais tendance à recommander même à ceux qui ont un smartphone. Ne serait-ce que pour limiter les dégâts inévitables quand on centralise trop de choses sur un appareil unique.

    • [^] # Re: Groupe BPCE ?

      Posté par  . Évalué à 2 (+0/-0).

      Je confirme pour le CM.

      Le digipass fait exactement ce que je veux, c'est un "problème" qui a été réglé en 5 minutes sans soucis.

      • [^] # Re: Groupe BPCE ?

        Posté par  . Évalué à 2 (+0/-0).

        Petit complément : le Digipass 770 qui m'a été fourni pour 29€.

        Il y a un QR Code à scanner afin de générer un OTP, et c'est tout ce qui change par rapport à un SMS (de mon point de vue utilisateur).

        • [^] # Re: Groupe BPCE ?

          Posté par  . Évalué à 1 (+0/-0).

          pareil, je l'utilise depuis quelques mois et ça fonctionne très bien tout en gardant la liberté de choix de son outil de communication.

          https://solar.lowtechmagazine.com/fr/ pour les amoureux de la technique élégante

  • # Ça passe

    Posté par  (site Web personnel) . Évalué à 2 (+0/-0).

    J'ai également un PC sous lineageOS (sur lequel j'ai installé micro-g, ce qui peut faire une différence). Par fdroid, j'ai installé "Aurora store", qui permet ensuite d'installer des application du google store… dont l'application de la caisse d'épargne.

    Je n'ai rien à signaler, ça fonctionne.

    • [^] # Re: Ça passe

      Posté par  (site Web personnel) . Évalué à 7 (+6/-0).

      Ça se passe comment dans cet environnement, pour tout ce qui est pisteurs/permissions ?

      Le rapport d'Exodus Privacy m'inciterait bien à ne jamais songer à installer une telle application sur mon téléphone, quel que soit l'environnement. (J'ai fait le tour des applis des grands groupes bancaires français il y a quelques temps, c'est le même niveau d'indécence environ partout.)

      Debian Consultant @ DEBAMAX

      • [^] # Re: Ça passe

        Posté par  (site Web personnel) . Évalué à 2 (+0/-0).

        Que veux-tu dire par "sur cet environnement" ? Au moment du lancement de l'application le système nous demande si l'on autorise telle ou telle permission à l'application (comme sur d'autres systèmes je suppose ?)

        • [^] # Re: Ça passe

          Posté par  (site Web personnel) . Évalué à 1 (+0/-0).

          Tu as des mécanismes en place pour empêcher les pisteurs de remonter tout plein d'infos sur ton téléphone, ta navigation, etc. chez les data brokers ? Tu peux choisir d'interdire la localisation précise, l'accès à tes contacts, le fait de passer un coup de fil, etc. et l'application fonctionne quand même ?

          Debian Consultant @ DEBAMAX

          • [^] # Re: Ça passe

            Posté par  (site Web personnel) . Évalué à 2 (+0/-0).

            Pour les pisteurs qui passent par des requêtes http j'utilise l'application blokada, qui fonctionne comme un bloqueur VPN. Cela permet de filtrer toutes les requêtes, même celles venant des applications.

            Pour les appels ou autre, oui il y a cela. Par contre j'ai l'impression que ta demande concerne davantage LineageOS que l'appli bancaire c'est bien cela ? Tu envisages un remplacement de téléphone ? Si oui, je t'invite à lire la dépêche quel téléphone plus ou moins libre en 2021 qui t'ouvrira plein de pistes !

  • # Refuser ....

    Posté par  . Évalué à 4 (+4/-1).

    Bonjour,

    Ma banque aussi aimerait que j'utilise leur appli de sécurisation, cependant, de l'avis même de mon conseiller, cela ne peut pas être obligatoire de l'utiliser, nous ne possédons pas tous de smartphone… les banques doivent encore maintenir un accès sans leur appli … pour le moment.

    En outre, si nos chères banques souhaitent l'utilisation de leur appli, elles pourraient offrir le smartphone ;-)

  • # alternatives

    Posté par  . Évalué à 3 (+1/-0).

    ca marche très bien sur les sites de crypto, je ne comprends pas bien pourquoi on ne le fait pas sur les sites des banques en ligne. Boursorama semble avoir une double authentification FIDO2, mais qui ne fonctionne pas sur ma conf Linux actuelle.

    Est-ce que les applis spécifiques aux banques apportent plus de sécurité que les standards actuel (OTP, FIDO) ? ou alors des services plus complets ? Ne peut-on pas dissocié l'application et la méthode d'authentification sécurisée ?

    • [^] # Re: alternatives

      Posté par  . Évalué à 2 (+0/-0).

      pas de réponse chez Hellobank concernant ce sujet.

      • [^] # Re: alternatives

        Posté par  . Évalué à 3 (+1/-0).

        De ce que j'en sais, au moins Visa et Mastercard travaillent tous deux sur le sujet de FIDO pour l'authentification DSP2, à ma connaissance, rien n'a été normalisé/commercialisé par eux, Visa a commencé une expérimentation, il me semble ; je crois que CB travaille également sur le sujet.

        Il faut savoir que les banques, en plus s'être des organismes un peu conservateurs, ne déploient pas ce qu'elles veulent comme ça. Il faut recevoir le blanc-sein de l'ACPR ; si la méthode d'authentification forte que tu propose n'a jamais été déployée, le processus sera probablement plus long puisqu'il faudra qu'il soit examiné par les équipes techniques et juridiques.

  • # C'est un sujet récurrent donc :-)

    Posté par  (site Web personnel) . Évalué à 3 (+1/-0).

    Il y a eu des commentaires sur ce sujet dans le sondage sur les SE des téléphones et l'April a fait une page wiki sur la question.

    (il faudra vraiment que je fasse une dépêche de ce sondage en relevant les points traités dans les commentaires).

    « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

    • [^] # Re: C'est un sujet récurrent donc :-)

      Posté par  (site Web personnel) . Évalué à 6 (+3/-0).

      Certificat x509 présenté par le client (supporté par firefox depuis toujours). Les impôts avaient tenté une authentification avec certificat, qui a été abandonné ensuite. Ce n'est PAS un deuxième facteur puisqu'il est sur la même machine.

      Bizarre.

      Quand on fait un achat via son téléphone et qu'on valide le paiement via un SMS reçu sur la même machine, c'est un deuxième facteur.

      Quand on fait un achat via son téléphone et qu'on valide le paiement via une appli sur la même machine, c'est un deuxième facteur.

      Quand on fait un achat via son téléphone et qu'on valide le paiement avec un certificat sur la même machine, c'est pas un deuxième facteur.

      Il y aurait les bons et les mauvais deuxièmes facteurs?

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

      • [^] # Re: C'est un sujet récurrent donc :-)

        Posté par  (site Web personnel) . Évalué à 2 (+0/-0).

        Faut croire. Ou, en tout cas, il y en a qui sentent plus la pâté que d'autres.

        « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

      • [^] # Re: C'est un sujet récurrent donc :-)

        Posté par  . Évalué à 1 (+0/-0).

        "Quand on fait un achat via son téléphone et qu'on valide le paiement via une appli sur la même machine, c'est un deuxième facteur."

        Pour ce cas le fait de devoir saisir un mot de passe spécifique pour la validation en fait un 2ème facteur je pense.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.