🚲 Tanguy Ortolo a écrit 12334 commentaires

Ton avis sur HEIF me parait assez radical et infondé

Infondé, et puis quoi encore ? Alors, voyons un peu les fondements en question.

HEIF est :

• miné de brevets problématiques ;
• pris en charge par aucun navigateur ;
• pris en charge par certains outils d'affichage et de traitement d'image.

AVIF est :

• libre de brevets problématiques ;
• pris en charge par tous les navigateurs ;
• pris en charge par certains outils d'affichage et de traitement d'image.

JPEG XL est :

• conçu et promu comme successeur de JPEG à long terme ;
• libre de brevets problématiques ;
• pris en charge par certains navigateurs (c'est tout jeune, ça commence à peine) ;
• pris en charge par certains outils d'affichage et de traitement d'image (dont la liste est déjà plus longue que celle de HEIF).

Je m'avance peut-être, mais HEIF a l'air clairement d'être promu à un avenir aussi radieux que la connectique Thunderbolt. Il a peut-être convaincu quelques acteurs, mais côté navigateurs, c'est très, très mal parti, aucun n'a suivi. En face, on a un concurrent qui a déjà réussi à s'imposer (AVIF, bon courage pour le rattraper vu ce qui arrive ensuite). Je doute qu'HEIF réussisse à percer dans quelques années, puisqu'il y en a un autre qui débute et est bien parti pour s'imposer encore plus (JPEG XL, qui est vraiment conçu avec ce qu'il faut pour remplacer JPEG à long terme).

En matière de conseil de formats, je maintiens qu'aujourd'hui, il n'y a aucune raison, lorsqu'on enregistre une image après création ou retouche, de choisir ce format, AVIF est juste mieux, parce qu'il est lisible partout. Et si donc, vous avez enregistré une image en AVIF, et que dans deux ans, HEIF s'impose (et que JPEG XL échoue, ce qui m'étonnerait beaucoup), ça n'aurait aucune importance, AVIF restera lisible.

Eh bien, BitTorrent, tout simplement. Pas besoin de traqueur si les fichiers en question sont publics, la DHT fait bien l'affaire. Tout ce qu'il te faut, c'est un client BitTorrent initial, qui dispose du fichier et qui reste en service. Il servira de fournisseur initial, et dès que le fichier sera disponible ailleurs, il deviendra juste un fournisseur du fichier comme les autres.

Je comprends.

Mais le paiement avec une redirection vers le site de la banque pour confirmation permet aussi bien de vérifier que la transaction est bien du montant attendu, vers le bon marchand, et qu'on est bien en train de valider avec la banque et non avec un intercepteur.

L'argument selon lequel l'application bancaire serait le seul moyen pour l'utilisateur de vérifier que le paiement est bien conforme à ce qu'il attend est juste faux. C'est un choix de la banque, mais certainement pas la seule option disponible.

Certes, n'empêche que le changement peut être imposé par d'autres acteurs que le parlement européen.

Je viens seulement de me rendre compte d'une subtilité. Le fait de considérer que le handicap vient de la non-adaptation de l'environnement et de la société, c'est très bien. Mais ça ne plaide pas spécialement pour une tournure comme « en situation de handicap » : « personne handicapée », c'est déjà très bien !

Une personne handicapée, c'est comme une personne discriminée, une personne ignorée, maltraitée ou ce qu'on veut : c'est quelqu'un qui subit un problème. On ne parle pas de personne en situation de discrimination, n'est-ce pas ?

S'il y a bien un terme que j'évite déjà, c'est de parler d'un handicapé, ce qui pour le coup le réduit pas mal à son handicap.

Pas forcément, on a un précédent avec 3-D Secure.

En fait c’est très souvent refusé par le marchand et pour une bonne/mauvaise raison

Aucune importance, ce genre de cas, c'est super facile à gérer par les acteurs en position de force (les banques, les intermédiaires de paiement et les législateurs) : il suffit d'imposer la bonne solution. Les marchands peuvent s'adapter, et s'ils râlent il suffit de les laisser râler, le monde continuera à tourner.

Je trouve ahurissant que les banques acceptent l'intégration de leurs systèmes de paiement par iframe, et le fait que les marchands le demandent n'explique rien du tout. En matière de paiement en ligne, les demandes de la sécurité informatique devraient être considérées comme des ordres non négociables, prioritaires sur tout le reste.

Tous les agrégateurs dignes de ce nom supportent l'importation et l'exportation de listes de flux en OPML.

Mais accessoirement, ça pourrait être une bonne occasion de passer à une agrégation centralisée, avec un service d'agrégation installé sur un serveur, auquel tu accéderais depuis le terminal que tu veux.

Le plus connu est TinyTinyRSS, mais personnellement j'utilise FreshRSS, qui a l'avantage de ne pas nécessiter de faire tourner un serveur de base de données (c'est une vraie maladie des développeurs Web ça, utiliser presque systématiquement un serveur de base de données…).

Les alternatives à l'iframe ne se résument pas à avoir un site marchand qui demande tout et fait lui-même des requêtes à un prestataire de paiement hein.

Il y a aussi une dernière alternative, la seule qui tient la route à mon avis : rediriger le client vers le prestataire de paiement, qui une fois le paiement effectué redirige le client vers le site marchand avec des paramètres qui permettent à ce dernier de vérifier que le paiement a été effectué.

Avec un iframe, c'est juste pareil en terme de fonctionnalité sauf qu'en plus on s'assure que le client n'a aucun moyen de vérifier qui est le prestataire de paiement et si la frame de confirmation de paiement est bien celle de sa banque plutôt qu'un phishing. C'est pour cela que je suis sidéré que les banques permettent cela.

Merci pour les explications, c'est très intéressant. Mais c'est quoi le truc avec le prénom Camille au juste ? C'est pratique comme prénom, c'est épicène, mais au point de l'utiliser comme synonyme de « gens », tout de même…

Bon, euh, le problème des iframe, ça vient des banques. Ça pourrait facilement être interdit, il suffit d'ajouter un en-tête HTTP pour interdire l'intégration d'une page dans un cadre ou dans un cadre flottant.

Il est ahurissant que cette pratique ait été tolérée au départ, mais ça peut très bien se résoudre, c'est juste une question de volonté de la part des banques et des intermédiaires de paiement. Et la volonté, ça se fabrique très bien à coup de règlement européen.

Disons que c'est un facteur de possession. Il en faut toujours un autre, par exemple un code secret ou une empreinte digitale.

Tu rentres ton mot de passe bancaire ordinaire, puis le code reçu par SMS. Mais ça marcherait aussi bien avec n'importe quel second facteur potentiellement indépendant d'un téléphone, genre un TOTP ou une grille de codes.

Ça, je vais vite le vérifier, parce que je vais justement demander un appareil physique comme ça et voir ce que ça donne.

Ce qui est clair vu la description qu'ils en donnent, c'est que cet appareil n'intègre pas de carte SIM et d'abonnement qui va avec, ou de carte wifi ou quoi que ce soit qui lui permette d'avoir une connexion avec la banque. Ça a l'air d'un appareil autonome, parfaitement incapable d'afficher la moindre information en provenance de la banque. Et c'est censé pouvoir servir pour les achats en ligne avec 3-D Secure.

Par ailleurs, j'ai un sérieux doute sur ce qu'impose le DSP2 et dans quel cas : pour rappel, les achats sans 3-D Secure, ça existe toujours, c'est même très répandu (allez, au hasard, pour l'achat de timbres en ligne chez la Poste, qui demande simplement le numéro de carte, la date d'expiration et le code de sécurité, à l'ancienne), donc probablement pas du tout illégal. On peut donc en déduire que le fait de permettre un paiement en ligne sans dispositif séparé permettant au client de valider l'achat en connaissant le montant et le marchant n'a rien d'illégal.

Donc « les banques ne peuvent pas utiliser du TOTP simple parce que c'est illégal », je ne pense pas que ce soit vrai, en tout cas pas de façon aussi simpliste.

Je ne comprends pas.

DSP2 impose une 2FA contextuelle, aka qu’il soit impossible de procéder à un MITM par un site de phishing ou de drop shipping (l’objectif est que tu puisses être certain du montant et du destinataire de la transaction et que tu ne vas pas filer une 2FA qui va en vrai te débiter 2000€ chez un revendeur chinois obscur au lieu de 2€ chez Ebay).
Le moyen de 2FA doit afficher obligatoirement le montant et le destinataire à côté de l’OTP de manière à ce que l’utilisateur ne puisse pas les ignorer. Il est réputé les avoir vérifier avant de communiquer l’OTP.
Tous les moyens offline sont donc de facto illicites.

Ben non. Le formulaire dans lequel on rentre un OTP est une page de la banque, qui précise justement le montant et le commerçant.

Ils mettent parfois ça dans une iframe, ce qui empêche de vérifier que c'est bien notre banque, mais ça, c'est juste un choix technique débile, pas une nécessité.

Et c'est bien le gros soucis du journal aussi, il ne prend pas en compte des éléments importants comme l'utilisabilité.

Non mais sérieusement, l'utilisabilité. La seule utilisabilité qui a un sens, c'est celle qui fait passer les clients à la concurrence quand c'est pénible à utiliser. Ou qui, au contraire, fait venir les clients tellement c'est mieux qu'ailleurs.

Et donc, pour rappel, on est sur un sujet où le changement de fournisseur, c'est à dire le changement de banque, est un acte assez coûteux. Oui, je sais, c'est facilité par les services obligatoires de mobilité bancaire. Je le sais d'autant mieux que j'ai changé quatre fois de banque en quinze ans, la dernière fois étant il y a un peu plus d'un an, donc j'ai une vue assez récente de ce genre de procédure. Et je peux vous dire que c'est loin d'être trivial, il y aura toujours un acteur incapable de prendre en compte la demande de changement de compte.

Bref, sur ce sujet, en tant que public de DLFP, je pense que nous sommes assez motivés pour pouvoir, sur un motif assez sérieux, engager la démarche de changer de banque. Or justement, nous sommes assez nombreux a avoir rapporté ici même de sérieux soucis d'utilisabilité. Et à être restés dans la même banque, malgré ces problèmes.

Alors imaginer que la pénibilité de saisir quatre chiffres est assez significative pour qu'une banque perdre des clients à cause de ça, franchement, c'est prendre les gens pour plus fainéants (pour taper des chiffres) et plus motivés (pour changer de banque) qu'ils ne le sont.

En parallèle, les mêmes banques appliquent parfois des trucs comme une temporisation après ajout d'un bénéficiaire de virement avant de pouvoir lui envoyer de l'argent. Le truc parfait pour oublier de passer l'ordre de virement trois jours après. Et pourtant, ça ne décourage pas les clients, qui ne changent pas de banque malgré un truc aussi casse-pied. Alors les quatre chiffres à saisir, à d'autres, c'est bidon comme motif pour ne pas mettre en place un système d'authentification un minimum accessible (comprendre : pas réservé à ceux qui ont un téléphone sous iOS ou Android non modifié).

Pour être plus explicite : des empreintes, c'est comme un mot de passe, ça se vole très bien. Encore plus facilement d'ailleurs.

Et des empreintes, c'est comme un mot de passe, en cas de vol, ça se change. Euh, non, en fait. En cas de vol, c'est juste foutu pour la vie.

Certes, mais j'ai quand même des doutes. Ces derniers temps, on entend souvent la formulation « personne porteuse de handicap ». Ça sonne très correct, mais ça me semble avoir exactement le même sens que « personne handicapée » : la personne a un handicap rattaché à son corps.

Et deuxième doute, dans un environnement correctement adapté, par exemple, pour les handicaps moteurs, dans une ville avec des plans inclinés, des rampes, des ascenseurs partout où il faut monter et descendre, et avec des gens qui réagissent de façon appropriée, dirais-tu d'une personne en fauteuil qu'elle n'est pas en situation de handicap ? Si oui, très bien, sinon, il va falloir réviser l'idée que le handicap vient de la non adaptation de la société.

Personnellement, vous allez peut-être trouver ça encore pire, mais j'ai tendance à utiliser le terme d'invalide, tout simplement parce que c'est le contraire de valide qui est le contraire de handicapé, et que c'est aussi un terme utilisé officiellement. Donc ne comprenant pas bien les enjeux terminologiques, en l'utilisant je suis sûr de ne pas me tromper plus que la rédaction de pas mal de trucs officiels eux-mêmes.

Les vieux et les handicapés sont pas plus cons que des jeunes valides

L'intelligence n'a rien à voir là-dedans. Ça tombe bien, je n'ai rien prétendu de tel.

Pour les handicapés, je ne vois pas en quoi les handicapés moteur ont le moindre truc différent pour gérer une app bancaire.

Cette phrase n'est pas très claire, mais si tu veux dire que tu ne vois pas en quoi un handicap moteur est un obstacle pour utiliser un téléphone tactile, je ne peux rien pour toi. Des personnes avec un handicap moteur, j'en ai vu plein, et il y en a beaucoup pour qui l'utilisation d'un écran tactile est tout à fait impossible. Alors que l'utilisation d'un clavier à grosses touches peut être possible, ça dépend du niveau de motricité fine.

en fait, tu profites de statistiques pas bonnes sur les vieux pour les mettre tous dans le même sac.

Ben non, justement, d'où la correction. Tu noteras l'article indéfini dans la précision : « en particulier des personnes âgées ». Des personnes âgées, pas toutes. Et pas seulement des personnes âgées. C'est mal, de penser à nos aînés lorsqu'on voit des systèmes qui semblent ne pas être très accessibles ?

Tu peux affirmer quelque chose comme « les passages piétons sont assez peu respectés, en particulier par des automobilistes et par des cyclistes » sans que je me vexe. Pourtant, je suis à la fois automobiliste et cycliste, mais je ne me sentirai pas concerné, même si je suis souvent cycliste et parfois automobiliste. En revanche, utilise le pronom démonstratif et je réagirai immédiatement pour faire remarquer que certains automobilistes et certains cyclistes s'arrêtent comme ils le doivent pour laisser passer les piétons.

Allez, je vais en ajouter un peu pour le troll. Pour avoir récemment pris plusieurs trains grande ligne, je constate que, avant de monter dans un train OuiGo, on croise un nombre impressionnant de fumeurs sur le quai, bien plus qu'avec les trains inOui. J'en généralise directement une chose : sur OuiGo, il y a plus de fumeurs irrespectueux que sur inOui. Et pour aller plus loin, j'ai envie d'en déduire que, chez les gens pas trop riches, il y a plus de fumeurs sans-gêne que chez les gens plus aisés. C'est à mettre en parallèle avec le fait que la pauvreté rend fumeur et que le tabagisme appauvrit, un constat assez classique. Ça fait mal, ce genre de constat, ou bien ?

Je me fais pirater quoi ?

Tes empreintes.

Mon téléphone ?

Pourquoi pas. Ça doit pouvoir se faire, un truc pour intercepter ce qui sort du lecteur d'empreinte avant d'arriver… là où ça doit arriver, peu importe où c'est. Bon, c'est un genre d'attaque très, très technique, c'est sûr.

En tout cas, personnellement, je ne remets pas trop en cause la sécurité de l'authentification par empreinte digitale combinée au déverrouillage d'un secret envoyé à la banque pour validation. Ou mieux, d'une clef secrète utilisée pour signer un défi fourni par la banque et le renvoyer pour vérification.

C'est plutôt la fiabilité générale d'un logiciel sur téléphone mobile que je critique. Ça a beaucoup trop d'occasions de tomber en panne, comparer ça ce qui se fait de plus robuste.

Évidemment, mais elle doit servir à décoder un truc qui est transmis à la banque et validé chez eux. Sinon, ce serait de la validation entièrement confiée à un truc qui tourne sur un appareil du client, grosse faille en vue.

Ton argument, il ne fait que déporter le check fait dans un logiciel propriétaire de ton téléphone vers un serveur http, qui peut aussi tres bien ne pas marcher.

Au fait, j'ose espérer que la vérification de mon code ou de mon empreinte digitale n'est pas seulement faite dans le logiciel sur mon téléphone. Il doit y avoir une validation par un serveur de la banque là-dedans, donc en passant à quelque chose qui ne dépendrait que d'une validation par un serveur de la banque, on ne peut que gagner en fiabilité.

Ben non ca peut pas se distribuer au guichet. C'est confidentiel, donc ca doit arriver a la maison.

L'un n'exclut pas l'autre. Ça peut être distribué au guichet sous enveloppe, avec juste un numéro de grille à renseigner au banquier ou sur son compte en ligne.

Mais bon, de toute façon, distribuer des trucs par la Poste ou nominativement au guichet, on ne peut pas prétendre que c'est compliqué pour un banque, ils font ça tout le temps, pour les chéquiers, pour les cartes, pour du courrier…

J'imagine ca depend des appareils. Ceux que j'avais n’était pas spécifique au client. Il fallait:

1. taper le code presente par la banque
2. mettre sa carte et taper son code PIN
3. saisir le code sur le site.

L'avantage c'est que les boitiers étaient les memes pour tout le monde. Il ne contenait aucun secret specifique au client. Il suffisait d'aller au guichet et on nous en filait un. Contrairement a une grille qui est forcement personnalisée.

C'est pareil à la Banque Populaire, et c'est ce que je compte demander. J'ignorais que c'était exactement le même boîtier pour tout le monde, mais c'est très intéressant, et certainement très simple en matière de logistique.

Ça sent l'usage de TOTP avec un secret présent sur la carte bancaire, et fourni par cette dernière sous condition de la déverrouiller avec son code secret. Voire même, si ça se trouve, un code de génération TOTP présent sur la carte elle-même, le boîtier ne faisant que le recevoir et l'afficher. J'adore.

Merci Zenitram pour m'avoir fait prendre conscience du caractère insultant d'une de mes phrases. Si un modérateur passe par ici, j'aimerais bien corriger ceci :

Les trucs qui dépendent du logiciel bancaire sur téléphone mobile, c'est de la merde. Ça exclut les vieux, ça exclut les bidouilleurs sous LineageOS avec root, ça cesse de fonctionner si la banque fournir une nouvelle version boguée…

En :

Les trucs qui dépendent du logiciel bancaire sur téléphone mobile, c'est de la merde. Ça exclut ceux qui ont du mal avec les téléphones tactiles, en particulier des personnes âgées ou handicapées, ça exclut les bidouilleurs sous LineageOS avec root, ça cesse de fonctionner si la banque fournir une nouvelle version boguée…