Forum Linux.général Paiement sécurisé sur un téléphone rooté

Posté par  . Licence CC By‑SA.
12
19
oct.
2021

Bonjour,

Voilà 15 ans que je lis LinuxFr quasi-quotidiennement et ceci est mon premier message :)

Le Crédit Agricole met en place un nouveau système de paiement sécurisé, SécuriPass, qui sera bientôt obligatoire pour tous les paiements en ligne, y compris ceux qui ne passent pas par mon smartphone. Cet outil passe par l'installation de l'application Ma Banque, qui fonctionne très bien sous LineageOS. Mais lorsque l'on veut activer SécuriPass, le message d'erreur suivant apparaît : "Votre appareil semble être rooté. Pour des raisons de sécurité, vous ne pouvez pas poursuivre l'enrôlement."

C'est vrai, j'avoue, j'ai rooté mon téléphone… pour le sécuriser. En particulier pour éviter que des logiciels préinstallés balancent je ne sais quelles données sur internet sans mon accord. Après quelques échanges, je constate que ce refus de fonctionner sur un appareil rooté est en fait une fonctionnalité : on m'envoie un document qui indique : "l'enrôlement au service SécuriPass n'est pas possible dans ces conditions. Il s'agit d'une règle de gestion élémentaire pour des questions multiples de sécurité, d'authentification, …"

Il semble que je sois d'humeur à me battre contre des moulins ces temps-ci, donc je suis décidé à faire une aimable demande de fonctionnalité visant à prendre en charge les téléphones rootés. J'aurais bien fait un rapport de bug, mais il aurait probablement été clôturé bien vite…

Pour être aussi convaincant que possible, j'aimerais comprendre quelles sont, selon eux, les "questions multiples" qui justifient de refuser un appareil rooté. Je ne peux pas communiquer directement avec leur service technique, mais seulement par un malheureux conseiller très aimable mais complètement perdu.

Avez-vous une idées des questions auxquelles il est fait allusion ? Selon vous, motivent-elles de façon justifiée le refus des appareils rootés ? Si non, quels sont les arguments qui permettrait de réfuter au mieux leur position ?

  • # Un cas quasi similaire au tien

    Posté par  . Évalué à 7.

    Bonsoir Sobriquet,

    Il m'est arrivée quasiment la même chose avec ma banque le CIC il y a 3 semaines où j'ai voulu accéder à leur application pour consulter mes comptes. Je possède un smartphone avec /e/ OS installé dessus. Voici le message que j'ai eu: "pour des raisons de sécurité, l'application ne supporte plus les émulateurs. Pour utiliser l'application, utilisez un appareil android". Le pire est que pour faire des achats sur internet, certains sites demandent de valider le paiement via l'application téléphone. Donc, j'étais complètement bloquée.

    J'avais contacté l'assistante technique de la banque, qui m'avait expliqué que sans téléphone sous android ou IOS, je ne pouvais accéder à l'application. J'appelle cela de la discrimination digitale. Cela a provoqué une grande colère chez moi où le diktat d'avoir un téléphone "googlisé" ou "applelisé" est de fait.

    Ma conseillère bancaire m'a appelé après une semaine de flottement pour m'expliquer que j'avais la possibilité d'utiliser un boitier moyennant 29€ pour accéder à mes comptes et utiliser le boitier dans la validation des paiements d'achats effectués. Un scandale!!! Je me suis saisie de l'association Que Choisir et la Quadrature du Net. Ci-dessous leurs réponses:

    **"Chaque consommateur est en droit de bénéficier à l'accès à son compte en banque. Il revient à la banque d'en préciser les modalités d'accès.

    En revanche, nul ne peut contraindre une banque à l'utilisation d'un système électronique autre que Androïd ou IOS. Il se peut que pour des raisons de sécurité (notamment contre le hameçonnage), une banque restreint les modalités d'accès par voie électronique au compte en banque d'un consommateur.

    En ce qui concerne l'accès au compte en banque depuis un ordinateur fixe, il sied de se référer aux conditions générales de la banque aux fins d'en connaître les modalités. En effet, pour mémoire, certaines banques conditionnent l'accès aux comptes bancaires par l'envoi d'un code par voie postale.**

    **Voici quelques éléments que j'ai déjà collecté auprès de nos membres.

    • de plus en plus de personnes signalent le même genre de soucis que vous, que ce soit avec des téléphones non compatibles avec les applications de leurs banques ou simplement parce qu'elles n'ont pas de smartphone. Il faudrait voir à envisager une action collective sur le sujet, mais je ne sais pas si de notre côté nous aurons les ressources pour le faire dans les mois qui viennent.

    • il y a toujours la possibilité d'attaquer votre banque devant un tribunal pour la forcer à offrir une alternative satisfaisante, mais vu qu'ils proposent ce fameux boitier ça n'est pas gagné ils vont probablement estimer que c'est une alternative suffisante. Cela dit ils auraient moyen de vous offrir autre chose, certaines banques proposent un code pour les achats en ligne, envoyé par courrier et qui fonctionne comme le code d'une carte bleue. Il permet une double authentification avec les codes à usage unique reçus par sms. Comme quoi les banques peuvent proposer autre chose que les applis et boitiers…

    • ce genre de problèmes est récurrent avec les OS alternatifs depuis des années, et n’est pas près de disparaître (c’est très dur de contrer la domination iOS/Android sur le marché). En général on essaye de trouver des moyens de contournement au niveau technique, mais ça prend du temps de résoudre tous les cas d’incompatibilité.

    • la première chose à faire serait de demander un avis technique sur votre cas particulier, et l'un de ns membres suggère de poser la question sur le forum de la communauté /e/. Il y a une section en français de ce forum, qui serait un bon endroit pour aborder la question : https://community.e.foundation/c/e-en-francais/e-support-utilisateurs/37.

    Ça serait bien de préciser le nom de l’application, comment vous l'avez installé, si elle tourne directement sur le téléphone sans émulateur, s’il y a une mise à jour récente de l’application en question, et si votre téléphone tourne sur un environnement rooté ou pas (si vous ne pouvez pas répondre à certaines de ces questions, les gens sur le forum pourront certainement vous guider). Sur le forum en anglais, il y a un post dédié aux apps bancaires qui posent notoirement problème, par exemple lorsqu’elles ont recours aux services google. Et il y a une proposition de solution, mais plutôt technique : https://community.e.foundation/t/howto-installing-banking-apps/5875**

    J'espère que cela pourra t'éclairer!

    • [^] # Re: Un cas quasi similaire au tien

      Posté par  . Évalué à 2.

      Merci pour cette réponse complète, je suis content de voir que je ne suis pas le seul à qui ces décisions posent un problème. Je n'envisage pas d'engager une procédure hostile contre ma banque (quoiqu'un recours collectif…).

      Une solution technique ne me satisferait que moyennement : faire tourner leur logiciel à leur insu serait certes une petite victoire, mais j'aspire plutôt à leur faire entendre raison ou à comprendre pourquoi ils ont raison :)

  • # Pour moi, toujours pas d'appli.

    Posté par  . Évalué à 3.

    Bonjour,

    Pour ma part, j'ai reçu un courrier de ma banque (CA) m'informant de ce nouveau système. Dans le courrier était joins le code sécuripass que je devais entrer lors d'un achat en complément du code envoyé par SMS. J'ai pu testé récemment et ça marche sans problèmes.

    Mes deux cents,

    KuroLightning

    • [^] # Re: Pour moi, toujours pas d'appli.

      Posté par  . Évalué à 5.

      Oui, ça marche aussi chez moi avec le code :) Mais d'une part, je n'ai plus assez de place sur mon écran pour mettre un post-it avec un code de de plus. Et on ne peut pas le changer, donc c'est plus chiant à mémoriser quand on ne fait pas un achat en ligne tous les 4 matins (solidarité avec Mme Michu). Et puis ça me navre de voir la sécurité assurée par un code alphanumérique permanent de 4 caractères et un appareil que je trimballe partout avec moi.

      Mais surtout, j'ai l'impression qu'il faut avoir l'esprit tordu pour considérer qu'un smartphone rooté est moins sûr qu'un autre : je ne crois pas qu'on puisse les rooter par accident, si on le fait, c'est qu'on en a les compétences et qu'on veut bien en assumer la responsabilité. A l'inverse, on n'a pas besoin de rooter un téléphone pour installer un logiciel espion. Pégasus en est l'exemple le plus frappant, mais on peut aussi penser à des choses plus ordinaires et tout aussi problématiques : les téléphones Android espionnent constamment leurs utilisateurs et transmettent des informations sensibles au développeur du système d'exploitation.

      C'est surtout ça l'objet de mon message : comprendre comment ils peuvent raisonner ainsi, juger de la pertinence de leur position, et le cas échéant développer un argumentaire adapté. Parce que ça me gêne de voir mon banquier faire involontairement et inadéquatement la promotion d'Android et iOS.

      • [^] # Re: Pour moi, toujours pas d'appli.

        Posté par  (Mastodon) . Évalué à 3.

        C'est surtout ça l'objet de mon message : comprendre comment ils peuvent raisonner ainsi, juger de la pertinence de leur position, et le cas échéant développer un argumentaire adapté.

        Quand c'est rooter, il peut y avoir tout et n'importe quoi niveau OS.
        Quand c'est pas rooter, a priori c'est moins le cas. L'OS doit être celui placé par le fabricant et il doit être relativement connu.

        By the way, je me demande si le problème c'est que c'est rooter ou bien si c'est que c'est un OS exotique. En même temps, cela peut être les deux ensemble.

        Surtout, ne pas tout prendre au sérieux !

        • [^] # Re: Pour moi, toujours pas d'appli.

          Posté par  . Évalué à 4. Dernière modification le 20 octobre 2021 à 10:25.

          L'OS doit être celui placé par le fabricant et il doit être relativement connu

          Rien qu'androïd, c'est une myriade de déclinaisons.

          C'est presque comme dire "linux". Ok, mais quelle distrib' ? :)

          Matricule 23415

      • [^] # Re: Pour moi, toujours pas d'appli.

        Posté par  . Évalué à 2.

        Un code de plus à retenir, c'est bien vrai. Et comme je dois déjà retenir d'autres valeurs plus importantes (constantes physiques, numéros atomiques…), je déporte ça dans un fichier (chiffré) sur ma machine et un Keepass sur mon téléphone (en appliquant un chiffrement de César sur la valeur afin de rendre moins direct). Bref, pour le geek rien de nouveau et pour Madame Michu, il lui suffit d'avoir son Keepass avec elle. (Les Michus (au sens d'espèces biologiques) tendent avoir leur smartphone près d'eux).

        En ce qui concerne le root du téléphone et leur vision, il suffit de se rappeler que les personnes dans ta banque qui ont pris cette décision sont des… Michus ! Et pensent donc comme des Michus ! Pour un Michu, un téléphone rooté c'est comme un Linux. C'est un truc de h4ck3r underground, barbu et parlant une langue satanique. Alors oui je caricature méchamment, néanmoins c'est mon ressenti quand tu expliques au gens (administration, banque) que tu souhaites le document en format pdf car tu es sous Linux.

        En évitant la caricature et se plaçant dans un contexte plus pragmatique, c'est simplement qu'utiliser les OS des Michus (Androïd ou IOS), ça réduit leur coût de développement et de maintenance. Comme pour les drivers, on ne développe que pour les plus grosses parts du marché et on ne veut pas se prendre la tête (ni perdre de l'argent) pour 3 péons et 1 tondus qui sont sous: Lineage, /e/…

        • [^] # Re: Pour moi, toujours pas d'appli.

          Posté par  . Évalué à 6.

          on ne développe que pour les plus grosses parts du marché et on ne veut pas se prendre la tête (ni perdre de l'argent) pour 3 péons et 1 tondus qui sont sous: Lineage, /e/…

          Là, c'est pour répondre à une obligation légale applicable à toute la population. Une solution genre boîtier fourni par la banque est acceptable… à condition d'être gratuite (quitte à ce que la banque soit éventuellement dédommagée par l’État, un peu comme la SNCF est dédommagée pour les tarifs sociaux imposés par l’État).

        • [^] # Re: Pour moi, toujours pas d'appli.

          Posté par  . Évalué à 3. Dernière modification le 20 octobre 2021 à 17:37.

          c'est mon ressenti quand tu expliques au gens (administration, banque) que tu souhaites le document en format pdf car tu es sous Linux

          Il n'y a aucun problème à faire sauter les windows pour les remplacer par des VM docker/linux voir des pods kubernetes dans le banquaire. Faire sauter les mainframes, c'est une autre histoire… et pas une simple question de volonté.

          Là, tu parle de la partie à l'interface visible probablement. Mais en interne, pas d'inquiétude, il y a des gens qui sont très barbus, si tu vois où je veux en venir ;)

          Matricule 23415

  • # Crédit Agricole aussi ...

    Posté par  . Évalué à 5. Dernière modification le 20 octobre 2021 à 08:35.

    Client du CA je suis "coincé" par leur "obligation" d'activer le securipass lorsque je lance l'appli … et pourtant je n'ai aucunement envie de faire des achats en ligne, je souhaite faire "comme avant", c'est à dire consulter mes comptes et éventuellement faire des virements.

    Depuis quelques mois cette appli est inutilisable et je tourne en rond donc si tu peux faire bouger les lignes merci !

    Autre truc qui me dérange sur le fond puisque ton message est dans ce domaine : avec ces applications les banques nous obligent à accepter les CGU des éditeurs Google ou Apple … ce qui n'est quand même pas rien … alors aller jusqu'à refuser de fonctionner si on est pas sur l'OS "certifié" par un de ces 2 éditeurs ma foi ça reste dans la même zone à mon sens.

    Pour ma part j'ai expliqué à mon conseillé que j'ai refusé les CGU de Google et donc c'est pour ça que j'ai un Android sans Google, pour pouvoir avoir ce système sans Google j'ai été contraint de le "rooter" … j'ai perdu son cerveau dès la 1ere phrase, il a déployé plus de ressources à essayer de me vendre une assurance vie que de comprendre ce qu'est un OS.

    Ironie de l'histoire : je passe par le navigateur web de mon téléphone pour consulter mes comptes et faire mes virements, c'est moins "pratique" mais ça marche.

    eric.linuxfr@sud-ouest.org

    • [^] # Re: Crédit Agricole aussi ...

      Posté par  . Évalué à 5.

      Un moyen, qui vaut ce qui vaut, est de systématiquement voter sur les store des applis et de mettre une mauvaise note et un commentaire expliquant que l'appli est incompatible avec le telephone. En général, les prestataires en charge des appli (ou les sous-traitants des prestataires) suivent d'assez près les notes des utilisateurs.

      Moi c'est l'appli Boursorama qui s'est retrouvé incompatible "pour des raisons de sécurité" avec un tel Android 4, alors qu'elle marchait très bien juste avant le passage à la dernière version de l'appli.

      • [^] # Re: Crédit Agricole aussi ...

        Posté par  . Évalué à 3. Dernière modification le 20 octobre 2021 à 21:26.

        Mais pour ça il faut un compte et accepter les CGU …

        eric.linuxfr@sud-ouest.org

  • # Code par courrier

    Posté par  . Évalué à 4.

    Même chose que KuroLightning de mon côté. Je suis au CA également et on m'a envoyé un code fixe par courrier que je peux utiliser, associé à un facteur d'authentification par SMS.
    Dans l'absolu j'ai jamais essayé mais je pense que mon téléphone LineageOS, avec l'usurpation de l'API Google via MicroG doit faire fonctionner l'appli à mon avis. Mais quoi qu'il en soit je ne l'installerai pas, d'autant plus que j'ai envie de retourner sur un téléphone basique (type clavier numérique 12 touches).

    • [^] # Re: Code par courrier

      Posté par  . Évalué à 3.

      J'ai aussi eu le code par courrier, mais mes paiements en ligne ne passent plus depuis ~ 3 semaines.

      C'est peut-être dû à un autre problème, mais j'ai voulu activer Securipass. J'ai réinstallé LineageOS/MicroG (qui était auparavant rooté), et… j'ai le même message d'erreur.

      Je suppose que l'application MaBanque fait un check SafetyNet, qui ne passe pas avec Lineageos (il faut un bootloader verrouillé).

      Il serait apparemment possible de faire passer SafetyNet avec Magisk. Je ne sais pas si c'est possible avec MicroG ou s'il faut les Gapps. Je ne suis pas trop motivé pour essayer.

  • # Justification

    Posté par  . Évalué à 5.

    Pour être aussi convaincant que possible, j'aimerais comprendre quelles sont, selon eux, les "questions multiples" qui justifient de refuser un appareil rooté. Je ne peux pas communiquer directement avec leur service technique, mais seulement par un malheureux conseiller très aimable mais complètement perdu.

    Avez-vous une idées des questions auxquelles il est fait allusion ? Selon vous, motivent-elles de façon justifiée le refus des appareils rootés ? Si non, quels sont les arguments qui permettrait de réfuter au mieux leur position ?

    J'ai un téléphone Lineage rooté, et privé d'appli aussi. Je pense, dès que ce sera nécessaire, passer au boîtier séparé du téléphone, qui me semble une bonne solution (même si en vrai, je préférerais un truc avec/sur la carte).

    Pour les "questions multiples" qui posent problème avec les téléphones rootés, j'en vois au moins une : sur un téléphone rooté, un utilisateur privilégié a accès à toutes les (bases de) données des applications. Ce qui veut dire qu'il est possible d'extraire les clefs de vérification (la plupart des ces systèmes sont basés sur TOTP, donc une clef secrète) et de les transférer dans une autre appli.

    Je ne sais pas ce qu'il en est pour l'appli de ta banque, mais sur une des applis que j'ai pu tester au moins, et à une période donnée, la "protection" anti-téléphone rooté consistait simplement en une vérification de la présence du binaire "su". Il suffisait de le renommer pour ne plus avoir de problème…

  • # Wiki de l'April qui recense les alternatives

    Posté par  (site web personnel, Mastodon) . Évalué à 8. Dernière modification le 20 octobre 2021 à 10:56.

    Personnellement, j'ai un ordiphone sous LineageOS, mais il est, de toute façon, hors de question que je paie quoi que ce soit avec.

    Bref, il y a une page du wiki de l'April consacré à ce sujet avec les alternatives proposées par les banques. Sachant que la directive qui impose la sécurisation forte n'impose pas le recours à une appli pour ordiphone.

    « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

    • [^] # Re: Wiki de l'April qui recense les alternatives

      Posté par  . Évalué à 2. Dernière modification le 21 octobre 2021 à 17:45.

      quid de TOTP, FIDO, WebAuthn ?

      • [^] # Re: Wiki de l'April qui recense les alternatives

        Posté par  . Évalué à 3.

        TOTP, c'est à priori, ce qui est utilisé dans la plupart des systèmes ; mais ils ne transmettent pas la clef, tu ne peux pas la mettre dans l'appli que tu veux.

        Pour FIDO/Webauthn, à ma connaissance VISA a lancé une expérimentation en europe sur une authentification DSP2 basée sur webauthn. Je crois que CarteBanquaire étudie aussi le sujet. Mais même si les schemes se mettent à le proposer, il faut encore que les banques l'adopte (et donc le paye), que ce soit validé par l'ACPR (ce qui est toujours plus long et plus cher que comme les autres, etc.

  • # tout vient du "droit"

    Posté par  . Évalué à 4.

    hello,

    je lis en souriant à moitié à ce sujet.. Nous étions prévenus !

    a/ tout le monde cherche du confort, c'est humain : donc les plus pauvres qui cherchent à tout prix finissent par passé du coté obscur de la force. Si vous constatez en rentrant du boulot chez vous que les marabouts ont bien laissé des prospectus dans votre courrier, c'est pas juste pour se vanter de concurrencer la poste : c'est parce qu'il y a des gens qui appellent. Et qui escroquent d'autres gens. C'est un fait.

    b/ pour poursuivre, la loi est faite pour que le gentil paie pour le méchant. Partout. On met pas une prune à un gar qui roule à 140 pour le plaisir, mais pour que celui qui passe derrière à 260 se la mange aussi. C'est le gentil qui paie pour le méchant, essence de la vie en société pour légitimiser les règles afin de limiter les débordements. Bah la DSP2 et l'europe, c'est pareil : quand vous avez N millions de personnes par an en europe qui se mangent des ajouts de bénéficiaires vers des faux comptes fr, ou comptes à l'étranger, que certains se font siphonner comme des bleus leur combinaison de code CB, alors oui, l'europe veut limiter ca, ca s'appelle sonner la fin de la récréation.

    Depuis 2019 j'avais prévénu mon entourage que le SMS allait être interdit par les banques par l'application DSP2, qui oblige à faire évoluer la confirmation de virement, d'ajout de bénéficiaire ou autre. Les banques se sont dit "okay, appli pour tout le monde, pas de discussion", et voilà le schéma dans lequel nous sommes. Pour pallier à ce problème certaines mutualistes ont décidé de rattraper le process avec une planche papier de codes pour remplacer l'appli. Voir si ça perdure.. Le crédit mut' le fait, est ce que les autres banques en lignes le feront? Mystère et boule de gomme.

    En attendant comme certains ici, j'ai la grande prudence de ne surtout vouloir aucune appli bancaire, mon bourso et fortuneo se contentant de l'envoi d'un sms. J'ai horreur de la consultation des comptes sur tel.
    Ah! et pour info : aucune banque ne prendra jamais jamais le risque de proposer son appli sur autre chose que le play store officiel ou sur une ROM non certifiée par un constructeur, questions de responsabilités et de juridique : en cas de problème, la banque doit pouvoir se retourner contre un responsable (personne morale), pas les trois nerds auteurs d'une ROM sur XDA ;)

    Il nous manque le meme process pour beaucoup beaucoup d'autres choses : les appels provenant de l'étranger avec un numéro fr qui s'affiche, les emails avec une adresse expéditrice faussée, les arnaques au président, et sans doute encore beaucoup de choses. Le gendarme est là pour emmerder oui. Mais il emmerde pas pour le plaisir malheureusement.

  • # Fortuneo

    Posté par  . Évalué à 5. Dernière modification le 20 octobre 2021 à 12:39.

    Pour info, sur Fortuneo:

    Cette authentification à double facteur devra être effectuée à la connexion tous les 90 jours, de la façon suivante:

    Si vous utilisez l’application mobile Fortuneo, cela sera transparent. Chaque authentification, grâce à la procédure d’association de votre téléphone ou de votre tablette et à la saisie de votre mot de passe ou de votre biométrie, constitue une authentification à double facteur. [j'imagine que les tel rootés sont exclus]

    Si vous utilisez exclusivement notre site fortuneo.fr, la saisie d'un code reçu par SMS vous sera demandée en complément du mot de passe tous les 90 jours.

    Du coup, si je comprends bien, pas besoin de smartphone, de boîtier ou de code fixe envoyé par courrier ??? Pourquoi les autres ne font pas pareil ?

  • # magisk

    Posté par  . Évalué à 3.

    Jamais testé mais il y a magisk qui permet de masquer au applications qu'android est rooté.
    J'en ai entendu parler quand pokemon go testait si le téléphone était rooté pour éviter la triche.
    A voir si ça peut marcher avec les application bancaire.

    • [^] # Re: magisk

      Posté par  (Mastodon) . Évalué à 4.

      Ça fonctionne.
      Il faut rooter son téléphone avec Magisk et pas autre chose, car il sait se cacher lui-même.
      Dans Magisk tu installes un plugin pour faire ça, et tu l'actives.

      Et voilà, les systèmes qui détectent les rootkit sont bernés.

      Mon vieux téléphone a un LineageOS rooté avec magisk, et sur lequel il y a Les gapps micro qui sont fournies à côté de LineageOS.

      Je m'en sers uniquement pour les applis d'authentification à dissonance cognitive : elles ont besoin impérativement des gapps mais refusent un certain nombre de trucs (root, pas de code à l'ouverture du téléphone, etc.) : celles qui considèrent que c'est ok de se faire pomper ses données par Google mais uniquement par Google.

      • Yth.
      • [^] # Re: magisk

        Posté par  . Évalué à 4. Dernière modification le 22 octobre 2021 à 18:52.

        Cette fonctionnalité de Magisk de se cacher lui-même va à priori bientôt disparaître (peut-être même déjà fait)
        https://www.xda-developers.com/magisk-development-continues-without-magiskhide/

        • [^] # Re: magisk

          Posté par  . Évalué à 1.

          pas encore (téléphone rooté hier, le dernier magisk fonctionne encore, mais il date de mai dernier, et l'annonce date d'août…

          « Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher

  • # Changer de banque

    Posté par  (site web personnel) . Évalué à 4.

    C'est malheureusement la seule réponse valide -et qui ait un impact significatif.

    Une appli qui refuse de s'exécuter sur un téléphone rooté, c'est la sécurité par l'obscurité : la pire qui soit. Un mauvais choix technique -et dans notre cas, antisocial.

    "Voter" en déplaçant ton argent est tout ce qui reste. Nous sommes plusieurs à pouvoir te conseiller si tu le fais.

    • [^] # Re: Changer de banque

      Posté par  (site web personnel, Mastodon) . Évalué à 3.

      Je te rejoins : pour moi, ça devient un critère pour fuir une banque (s'il n'y a pas l'alternative web classique pour gérer son compte ou quand l'appli que je ne peux pas utiliser est obligatoire pour certaines opérations.)

      “It is seldom that liberty of any kind is lost all at once.” ― David Hume

    • [^] # Re: Changer de banque

      Posté par  . Évalué à 1.

      MagiskHide continue de fonctionner pour le moment : j'ai eu le message de l'appli du Crédit Agricole, disant que le téléphone était rooté, et donc que l'on ne pouvait pas utiliser leur "SecuriPass" tout pourri : j'ai paramétré magiskHide et ça m'a permis de l'activer. Néanmoins, je vais réfléchir pour aller sur une banque en ligne qui utiliserait une autre méthode d'authentification, idéalement du TOTP.

      Parce que ne nous leurrons pas, remplacer un SMS par un code à 4 chiffres, toujours le même, à taper, ce n'est pas réellement renforcer la sécurité. Je leur ai envoyé un email à ce sujet, je n'ai toujours pas eu de réponse.

      « Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher

    • [^] # Re: Changer de banque

      Posté par  . Évalué à 1.

      tu conseillerais quelle banque en ligne, qui n'imposerait pas ces sécurités débiles ? TOTP serait un plus…

      « Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher

  • # témoiniage + question

    Posté par  . Évalué à 2.

    Personnellement je suis à la banque postale et j'arrive pour l'instant encore à me passer de leurs foutu application.
    La seule chose que je dois faire c'est rentrer une fois par moi (je crois) le code de vérification qui est envoyé sur mon par SMS sur mon Fairphone 2 - LineageOS (sans les services Google).

    Questions:
    1) Je n'ai jamais testé d'installer leur application, est ce que quelqu'un l'a fait ? Cela fonctionne t il ?

    2) Au delà de l'aspect technique, je suis retissant à installer des applications bancaires sur mon ordiphone.
    Principalement pour des questions de sécurité … qui se révèlent en un sens assez idiotes puisque j'ai bien sur mon téléphone mes courriels ainsi que l'accès à mon nextcloud.
    Bref, je vois parfois qu'Android serait de base plus sécurisé que le système d'exploitation MS ou même nos distributions Linux, du fait, entre autres que les applications seraient dans des sandbox (je n'y connais strictement rien à Androïd).
    Votre avis là-dessus ?

  • # J'ai payé mon loyer récemment !

    Posté par  (site web personnel, Mastodon) . Évalué à 3. Dernière modification le 07 novembre 2021 à 21:59.

    Et ?

    Banque Société générale
    Téléphone sous Lineage
    Paiement par carte visa.

    Donc j'ai fait, comme d'habitude, paiement via mon ordinateur, connexion filaire même pas de wifi. La banque m'a demandé d'entrer identifiant et login au moment du paiement comme quand je veux aller sur mon compte. Plus envoi d'un SMS (système 3d secure si je comprends bien) avec un code à entrer pour confirmer (SMS que j'ai mis du temps à recevoir cela dit).

    Il ne faut pas compter sur les conseillers sur ce sujet : ils en ignorent tout, et, semble-t-il, la plupart du temps, il n'en ont rien à battre. Il faut mettre la main sur le service client pour ça (rien à voir avec les conseillers).

    « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.