🚲 Tanguy Ortolo a écrit 12091 commentaires

Certes, mais j'ai quand même des doutes. Ces derniers temps, on entend souvent la formulation « personne porteuse de handicap ». Ça sonne très correct, mais ça me semble avoir exactement le même sens que « personne handicapée » : la personne a un handicap rattaché à son corps.

Et deuxième doute, dans un environnement correctement adapté, par exemple, pour les handicaps moteurs, dans une ville avec des plans inclinés, des rampes, des ascenseurs partout où il faut monter et descendre, et avec des gens qui réagissent de façon appropriée, dirais-tu d'une personne en fauteuil qu'elle n'est pas en situation de handicap ? Si oui, très bien, sinon, il va falloir réviser l'idée que le handicap vient de la non adaptation de la société.

Personnellement, vous allez peut-être trouver ça encore pire, mais j'ai tendance à utiliser le terme d'invalide, tout simplement parce que c'est le contraire de valide qui est le contraire de handicapé, et que c'est aussi un terme utilisé officiellement. Donc ne comprenant pas bien les enjeux terminologiques, en l'utilisant je suis sûr de ne pas me tromper plus que la rédaction de pas mal de trucs officiels eux-mêmes.

Les vieux et les handicapés sont pas plus cons que des jeunes valides

L'intelligence n'a rien à voir là-dedans. Ça tombe bien, je n'ai rien prétendu de tel.

Pour les handicapés, je ne vois pas en quoi les handicapés moteur ont le moindre truc différent pour gérer une app bancaire.

Cette phrase n'est pas très claire, mais si tu veux dire que tu ne vois pas en quoi un handicap moteur est un obstacle pour utiliser un téléphone tactile, je ne peux rien pour toi. Des personnes avec un handicap moteur, j'en ai vu plein, et il y en a beaucoup pour qui l'utilisation d'un écran tactile est tout à fait impossible. Alors que l'utilisation d'un clavier à grosses touches peut être possible, ça dépend du niveau de motricité fine.

en fait, tu profites de statistiques pas bonnes sur les vieux pour les mettre tous dans le même sac.

Ben non, justement, d'où la correction. Tu noteras l'article indéfini dans la précision : « en particulier des personnes âgées ». Des personnes âgées, pas toutes. Et pas seulement des personnes âgées. C'est mal, de penser à nos aînés lorsqu'on voit des systèmes qui semblent ne pas être très accessibles ?

Tu peux affirmer quelque chose comme « les passages piétons sont assez peu respectés, en particulier par des automobilistes et par des cyclistes » sans que je me vexe. Pourtant, je suis à la fois automobiliste et cycliste, mais je ne me sentirai pas concerné, même si je suis souvent cycliste et parfois automobiliste. En revanche, utilise le pronom démonstratif et je réagirai immédiatement pour faire remarquer que certains automobilistes et certains cyclistes s'arrêtent comme ils le doivent pour laisser passer les piétons.

Allez, je vais en ajouter un peu pour le troll. Pour avoir récemment pris plusieurs trains grande ligne, je constate que, avant de monter dans un train OuiGo, on croise un nombre impressionnant de fumeurs sur le quai, bien plus qu'avec les trains inOui. J'en généralise directement une chose : sur OuiGo, il y a plus de fumeurs irrespectueux que sur inOui. Et pour aller plus loin, j'ai envie d'en déduire que, chez les gens pas trop riches, il y a plus de fumeurs sans-gêne que chez les gens plus aisés. C'est à mettre en parallèle avec le fait que la pauvreté rend fumeur et que le tabagisme appauvrit, un constat assez classique. Ça fait mal, ce genre de constat, ou bien ?

Je me fais pirater quoi ?

Tes empreintes.

Mon téléphone ?

Pourquoi pas. Ça doit pouvoir se faire, un truc pour intercepter ce qui sort du lecteur d'empreinte avant d'arriver… là où ça doit arriver, peu importe où c'est. Bon, c'est un genre d'attaque très, très technique, c'est sûr.

En tout cas, personnellement, je ne remets pas trop en cause la sécurité de l'authentification par empreinte digitale combinée au déverrouillage d'un secret envoyé à la banque pour validation. Ou mieux, d'une clef secrète utilisée pour signer un défi fourni par la banque et le renvoyer pour vérification.

C'est plutôt la fiabilité générale d'un logiciel sur téléphone mobile que je critique. Ça a beaucoup trop d'occasions de tomber en panne, comparer ça ce qui se fait de plus robuste.

Évidemment, mais elle doit servir à décoder un truc qui est transmis à la banque et validé chez eux. Sinon, ce serait de la validation entièrement confiée à un truc qui tourne sur un appareil du client, grosse faille en vue.

Ton argument, il ne fait que déporter le check fait dans un logiciel propriétaire de ton téléphone vers un serveur http, qui peut aussi tres bien ne pas marcher.

Au fait, j'ose espérer que la vérification de mon code ou de mon empreinte digitale n'est pas seulement faite dans le logiciel sur mon téléphone. Il doit y avoir une validation par un serveur de la banque là-dedans, donc en passant à quelque chose qui ne dépendrait que d'une validation par un serveur de la banque, on ne peut que gagner en fiabilité.

Ben non ca peut pas se distribuer au guichet. C'est confidentiel, donc ca doit arriver a la maison.

L'un n'exclut pas l'autre. Ça peut être distribué au guichet sous enveloppe, avec juste un numéro de grille à renseigner au banquier ou sur son compte en ligne.

Mais bon, de toute façon, distribuer des trucs par la Poste ou nominativement au guichet, on ne peut pas prétendre que c'est compliqué pour un banque, ils font ça tout le temps, pour les chéquiers, pour les cartes, pour du courrier…

J'imagine ca depend des appareils. Ceux que j'avais n’était pas spécifique au client. Il fallait:

1. taper le code presente par la banque
2. mettre sa carte et taper son code PIN
3. saisir le code sur le site.

L'avantage c'est que les boitiers étaient les memes pour tout le monde. Il ne contenait aucun secret specifique au client. Il suffisait d'aller au guichet et on nous en filait un. Contrairement a une grille qui est forcement personnalisée.

C'est pareil à la Banque Populaire, et c'est ce que je compte demander. J'ignorais que c'était exactement le même boîtier pour tout le monde, mais c'est très intéressant, et certainement très simple en matière de logistique.

Ça sent l'usage de TOTP avec un secret présent sur la carte bancaire, et fourni par cette dernière sous condition de la déverrouiller avec son code secret. Voire même, si ça se trouve, un code de génération TOTP présent sur la carte elle-même, le boîtier ne faisant que le recevoir et l'afficher. J'adore.

Merci Zenitram pour m'avoir fait prendre conscience du caractère insultant d'une de mes phrases. Si un modérateur passe par ici, j'aimerais bien corriger ceci :

Les trucs qui dépendent du logiciel bancaire sur téléphone mobile, c'est de la merde. Ça exclut les vieux, ça exclut les bidouilleurs sous LineageOS avec root, ça cesse de fonctionner si la banque fournir une nouvelle version boguée…

En :

Les trucs qui dépendent du logiciel bancaire sur téléphone mobile, c'est de la merde. Ça exclut ceux qui ont du mal avec les téléphones tactiles, en particulier des personnes âgées ou handicapées, ça exclut les bidouilleurs sous LineageOS avec root, ça cesse de fonctionner si la banque fournir une nouvelle version boguée…

Tiens, c'est une impression que j'ai eu avec plusieurs banque, ça : le fait que les vérifications utilisent différents modes d'authentification ou facteurs selon le sens du vent.

Ce ne serait pas de la double authentification, sinon !

Et fournir son numéro de carte bancaire plus un code tiré d'une grille, ça n'est pas de la double authentification, puisqu'il s'agit de deux implémentations distinctes du même type de facteur : un objet qu'on possède.

Ton argument, il ne fait que déporter le check fait dans un logiciel propriétaire de ton téléphone vers un serveur http, qui peut aussi tres bien ne pas marcher.

Le serveur qui validera mon code ? C'est sûr que s'il est en panne, ça ne marchera pas. Mais je pense que la banque le maintient plus facilement en fonctionnement que leur logiciel pour Android.

En fait, j'ai déjà vu des pannes de validation par une banque. C'est généralement plus ou moins vite corrigé, disons au pire un jour ou deux, ce qui est déjà pénible.

Et j'ai déjà vu une panne de logiciel bancaire sur LineageOS rooté. Ça a duré des mois. Je considère donc cette solution comme beaucoup moins fiable.

Ca tombe bien, c'est en bonus, en fait il y a un code personnalisé, et tu peux remettre ton empreinte. Fou ça, toi tu y arrives pas alors que tout les autres oui…

Ta banque a eu la présence d'esprit de permettre une validation par code ou empreinte, c'est très bien. Pas la mienne, ou pour être plus précis, avec ma banque, j'ai un choix à faire… une fois pour toute, c'est à dire pour passer en vérification biométrique pour toutes les opérations à venir. Et si ça ne fonctionne plus, la procédure pour revenir à une validation par code est assez pénible.

alors que la grille de codes et le TOTP standard sont par nature accessibles et beaucoup moins coûteuses.

tu sais mieux qu'eux, et tu convaincs avec ta prose…

Non non, c'est plus factuel que ça. Pour rappel, je compare ici les appareils physiques fournissant des codes à usage unique à deux autres moyens d'authentification.

Pour le TOTP : ça ne coûte pas cher, c'est certain, en fait ça ne coûte rien du tout puisque les banques l'utilisent déjà avec les appareils physiques qu'ils proposent en option.

Sérieusement, tu as vraiment un doute sur le fait que la mise en place et la distribution de QR-Code d'initialisation de TOTP par une banque pourrait être plus coûteuse que la mise en place et la distribution d'appareils physiques fournissant des codes à usage unique ?

Pour les grilles de code, c'est un tout petit peu plus subtil, mais pas très compliqué non plus. Il faut juste bien voir qu'avec du TOTP, la banque doit stocker, pour chaque client concerné, le secret associé. Avec des grilles de code, il faut stocker, pour chaque client, la grille de code associée : jusque là, c'est aussi complexe, avec un besoin de stockage de moins d'un kibioctet par client. L'algorithme de validation est trivial, et par conséquent très facile à auditer et peu sujet à une découverte de failles. La distribution de grilles de code elles-même est semblable à celle des appareils physiques, en plus simple (ça peut se distribuer au guicher, ça peut s'envoyer par courrier, etc). Autre chose ?

Sérieusement, tu as vraiment un doute sur le fait que la mise en place et la distribution de grilles de code par une banque pourrait être plus coûteuse que la mise en place et la distribution d'appareils physiques fournissant des codes à usage unique ? Et on prétend que c'est moi qui trolle ?

Je ne peux rien exclure du tout et je m'en moque, ça m'a simplement fait comprendre que dépendre d'un logiciel propriétaire sur mon téléphone pour valider des opérations bancaires, c'était risqué. Pas fiable.

Je parle de risque que ça ne fonctionne pas, pas de risque que ça permette à quelqu'un d'accéder à mon compte ou de valider des opérations frauduleuses.

Tu t'en as pas parle, mais c'est ou la stocker ?

Dans le portefeuille, avec la carte bancaire en effet. Si tu te fais voler ça :

• ce n'est pas dramatique, en tout cas en ce qui concerne la double authentification, parce que ça ne compromet pas le second facteur, un code secret que tu es seul à connaître ;
• tu t'en rendras vite compte et tu feras vite opposition.

En vrai, la seule alternative que je trouve pas trop mal au smartphone, c'est le boîtier: tu peux garder ca sur toi, ca se fait pas trop mal. Tu peux même en avoir plusieurs et en laisser au bureau ou ailleurs.

Comme la grille de code en somme. C'est juste un peu plus lourd, un peu plus encombrant et un peu moins fiable (ça peut tomber en panne ou à cours de pile).

Mais oui sinon, désolé mais le smartphone avec vérification biométrique, c'est pas si mal quand même, quoiqu'en dise DLFP.

En terme de sécurité, certainement. En terme de fiabilité et de coût de maintenance, c'est très loin derrière le TOTP et les grilles de code.

le top, c'est évidemment la grille de nombres,

Faut l'avoir, souvent oublié,

Alors là, si tu en as besoin pour chaque paiement en ligne, tu ne risque pas de l'oublier. Tu vas juste la ranger au même endroit que ta carte bancaire.

et faut rentrer le nombre.

Sans commentaire. On parle quand même d'achats sur Internet, pour lesquels on saisit son numéro de carte bancaire à 16 chiffres.

Les trucs qui dépendent du logiciel bancaire sur téléphone mobile, c'est de la merde.

Mais c'est toujours sur toi, et l'empreinte est pas chiante à faire, rapide.

Alors l'empreinte digitale, j'ai testé, plus jamais. Ça marche bien, jusqu'au jour où il y a je ne sais quoi de différent et plus aucun essai ne fonctionne.

Par contre un truc vraiment chiant, c'est de se retrouver avec un logiciel qui ne marche plus, ou de changer de téléphone. Là, on n'est pas dans une flemme de saisir quatre chiffres hein, mais dans une vraie galère.

C'est de l'anti-vieux primaire à les prendre tous pour des attardés, être vieux ne veut pas dire ne pas dire suivre les évolutions technologiques, plein de vieux ont un tel, WhatsApp, l'app bancaire, et payent même avec leur tel. Ces vieux te dise "merde" à considérer leur âge comme critère pour les exclure par défaut de l'évolution technologique.

??? Mais c'est le contraire, je sais bien qu'il y a des vieux qui sont tout à fait capables d'utiliser un téléphone mobile. Mais il y a aussi des tas de gens qui ont du mal avec ces outils. Des systèmes de double authentification nécessitant l'usage d'un téléphone sous Android ou iOS excluent pas mal d'usagers. C'est mal de s'en rendre compte, en fait ? D'ailleurs les banques s'en rendent très bien compte, c'est pour ça qu'elles fournissent des solutions matérielles plus ou moins bien fichues.

Ce qui me surprend, c'est juste le fait qu'elles fournissent justement des solutions matérielles complexes, alors que la grille de codes et le TOTP standard sont par nature accessibles et beaucoup moins coûteuses.

Personnellement, je suis utilisateur de la validation par téléphone, mais je vais certainement passer à la solution matérielle suite à une expérience inquiétante.

Je possède un téléphone sous LineageOS, rooté. Après tout, cet appareil m'appartient, il est bien normal que j'en sois administrateur et que je puisse y faire ce que je veux. Bref. Je parviens à y faire tourner le logiciel de la Banque Populaire.

Il y a un peu moins d'un an, je vois passer une mise à jour de ce logiciel. Pas de problème. Sauf que si, problème justement : à partir de cette version-là, le logiciel ne se lance plus, ou plutôt plante une demi-seconde après son lancement. Pas moyen d'accéder à mon compte évidemment, mais au début, les validations d'opérations passaient encore. Et puis un jour, elles ont aussi cessé de fonctionner.

Je me suis retrouvé sans moyen de valider les opérations demandant de la double authentification, notamment les paiements avec 3-D Secure, mais aussi le simple accès à mon compte depuis mon ordinateur, lorsque le cookie de validation expirerait.

J'ai fini par trouver un moyen de :

1. sauvegarder le logiciel de la Banque Populaire et ses données sur mon mobile (heureusement que je suis root pour pouvoir faire ça !) ;
2. installer une ancienne version (note pour les gens de la sécurité d'une banque : si vous sortez une version boguée de votre logiciel, vous incitez vos clients à rester sur une ancienne version) et la conserver aussi longtemps que possible.

Et puis un jour, cette version a cessé de fonctionner : vous utilisez une version trop ancienne, mettez à jour. Coup de chance, à ce moment-là, la nouvelle version fonctionnait. Depuis, je sauvegarde régulièrement ce logiciel et ses données, mais je ne serai serein qu'en passant à un truc plus fiable.

C'est sans doute pareil au Crédit Mutuel, qui fait partie du même groupe.

Opérations soumise à une double authentification

• Paiement en ligne avec 3-D Secure
• Ajout d'un destinataire de virement
• Pas sûr pour le reste

Moyens d'authentification

C'est très bizarre, les moyens proposés dépendent des opérations.

Le plus souvent, au choix :

• Validation sur téléphone avec saisie d'un code secret ou validation d'une empreinte digitale.
• Saisie d'un code à usage unique fourni par un appareil physique après avoir scanné un QR-Code affiché à l'écran du terminal d'achat et saisie un code secret.

La seconde solution est proposée au client en s'acquittant de 29 € à la fourniture de l'appareil en question.

Parfois :

• Grille de codes, une solution qui existe dans cette banque depuis plus de dix ans.

C'est à se demander pourquoi le CIC n'a pas simplement généralisé la grille de codes pour toutes les opérations nécessitant une double authentification. Je soupçonne soit une interdiction réglementaire (les rédacteurs du règlement se sont peut-être dit que ce n'était pas assez technologique pour être vraiment sûr), soit une surinterprétation du règlement.

Opérations soumises à une double authentification

• Paiement en ligne avec 3-D Secure
• Ajout d'un bénéficiaire de virement
• Émission d'un virement ? À vérifier.
• Accès à son compte client depuis un navigateur non encore validé, et depuis un navigateur dont le cookie de validation a expiré.

Moyen d'authentification

Les moyens proposés combinent deux facteurs en une seule opération.

Au choix :

• Validation sur téléphone avec saisie d'un code secret ou validation d'une empreinte digitale.
• Saisie d'un code à usage unique fourni par un boîtier après vérification du code secret de la carte bancaire.

La seconde solution est proposée aux clients qui en font la demande en agence.

Un autre moyen d'authentification.

Preuve de possession : valider l'opération à partir du logiciel de la banque sur son téléphone mobile. Combiné avec la saisie d'un code secret.

Accessible aux personnes disposant d'un terminal sous Android ou iOS, assez récent et pas trop modifié (ou au contraire suffisamment modifié pour que ça ne se voie pas).

Vulnérable au piratage du système d'exploitation du téléphone ou du logiciel bancaire sous réserve de faille exploitable.

Dépend du fonctionnement du téléphone et du logiciel bancaire.

Possible à la Banque Populaire aussi, sur demande du client.

Ce que je compte faire, parce que l'application pour Android a eu le mauvais goût de m'exploser entre les doigts pendant plusieurs mois et que je n'ai pas trop envie que ça arrive de nouveau. C'est à dire que suite à une mise à jour, elle ne démarrait même plus. J'avais trouvé un moyen d'installer une ancienne version, que j'ai gardé jusqu'à ce qu'elle ne soit plus acceptée. À ce moment-là, j'ai forcément installé une nouvelle version, qui fonctionnait. Tant mieux, mais ça refroidit.

(Au passage, heureusement que mon téléphone est rooté, ça permet de sauvegarder ce genre de logiciel pour pouvoir en essayer plusieurs versions sans perdre tout leur configuration, et surtout sans perdre l'association avec le compte client.)

Pour ceux qui utilisent un système d'exploitation et un gestionnaire de services maléfiques, ce dernier a une option pour introduire un délai aléatoire au démarrage d'une unité programmée, par exemple :

[Unit]
…
OnCalendar=*-*-* *:*:00/10
RandomizedDelaySec=60

Lorsque je change de DNS, à chaque redémarrage, le changement se réinitialise.
Je passe par le fichier /etc/resolv.conf

C'est tout à fait normal. Lorsque tu te connectes à un réseau, wifi ou filaire, ton ordinateur y envoie une requête DHCP, puis reçoit une réponse qui lui indique ses paramètres de connexion, en particulier son adresse IP, son masque de sous-réseau… et des serveurs de résolution DNS. Ces derniers sont placés dans /etc/resolv.conf, qui est réécrit à cette occasion.

Essayer de l'éditer à la main est donc vain. Pour avoir des changements stables, tu dois passer par le logiciel qui l'édite. En fait, un logiciel a été créé pour centraliser les opérations liées à ce resolv.conf. Il s'appelle justement resolvconf, et je te laisse te documenter à son sujet.

Je n'ai plus cette boîte, je l'ai jetée ou perdue. Pouvez-vous me donner ce mot de passe ?

Je vous parle de votre boîtier de connexion, votre modem-routeur. J'espère que vous ne l'avez pas jeté ou perdu, il ne vous appartient pas. Et vous aurez du mal à vous connecter sans.

Malgré les tentatives pour l'étouffer, la vérité émerge de partout, et ceux qui ont soutenu ces mensonges ces dernières années sont devenus enragés.

En fait cette phrase est une (la seule?) phrase vraie et pas trop délirante du journal.
J'en apporte la preuve : En direct | Marseille : une perquisition des gendarmes en cours à l’IHU.

Mince alors, il y aurait donc une épidémie de rage au sein de la Gendarmerie nationale ?

D'ailleurs, l'hydroxychloroquine, ça donnerait quoi, comme antirabique ?

Malgré les tentatives pour l'étouffer, la vérité émerge de partout, et ceux qui ont soutenu ces mensonges ces dernières années sont devenus enragés.

L'aviez-tu remarqué ? Les tentatives pour étouffer la vérité ont cours partout, même dans le bastion de l'information libre qu'est LinuxFr ! J'en veux pour preuve le moinssage acharnéenragé dont a fait l'objet ce journal.

(Ou est-ce parce qu'il n'est vraiment pas pertinent ?)

En clair oui, mais sur une étiquette sous la boîte. Il n'a aucune raison d'être stocké dans le SI de l'opérateur. La clef qui en dérive oui, mais pas le mot de passe lui-même.