🚲 Tanguy Ortolo a écrit 12334 commentaires

Tiens, c'est une impression que j'ai eu avec plusieurs banque, ça : le fait que les vérifications utilisent différents modes d'authentification ou facteurs selon le sens du vent.

Ce ne serait pas de la double authentification, sinon !

Et fournir son numéro de carte bancaire plus un code tiré d'une grille, ça n'est pas de la double authentification, puisqu'il s'agit de deux implémentations distinctes du même type de facteur : un objet qu'on possède.

Ton argument, il ne fait que déporter le check fait dans un logiciel propriétaire de ton téléphone vers un serveur http, qui peut aussi tres bien ne pas marcher.

Le serveur qui validera mon code ? C'est sûr que s'il est en panne, ça ne marchera pas. Mais je pense que la banque le maintient plus facilement en fonctionnement que leur logiciel pour Android.

En fait, j'ai déjà vu des pannes de validation par une banque. C'est généralement plus ou moins vite corrigé, disons au pire un jour ou deux, ce qui est déjà pénible.

Et j'ai déjà vu une panne de logiciel bancaire sur LineageOS rooté. Ça a duré des mois. Je considère donc cette solution comme beaucoup moins fiable.

Ca tombe bien, c'est en bonus, en fait il y a un code personnalisé, et tu peux remettre ton empreinte. Fou ça, toi tu y arrives pas alors que tout les autres oui…

Ta banque a eu la présence d'esprit de permettre une validation par code ou empreinte, c'est très bien. Pas la mienne, ou pour être plus précis, avec ma banque, j'ai un choix à faire… une fois pour toute, c'est à dire pour passer en vérification biométrique pour toutes les opérations à venir. Et si ça ne fonctionne plus, la procédure pour revenir à une validation par code est assez pénible.

alors que la grille de codes et le TOTP standard sont par nature accessibles et beaucoup moins coûteuses.

tu sais mieux qu'eux, et tu convaincs avec ta prose…

Non non, c'est plus factuel que ça. Pour rappel, je compare ici les appareils physiques fournissant des codes à usage unique à deux autres moyens d'authentification.

Pour le TOTP : ça ne coûte pas cher, c'est certain, en fait ça ne coûte rien du tout puisque les banques l'utilisent déjà avec les appareils physiques qu'ils proposent en option.

Sérieusement, tu as vraiment un doute sur le fait que la mise en place et la distribution de QR-Code d'initialisation de TOTP par une banque pourrait être plus coûteuse que la mise en place et la distribution d'appareils physiques fournissant des codes à usage unique ?

Pour les grilles de code, c'est un tout petit peu plus subtil, mais pas très compliqué non plus. Il faut juste bien voir qu'avec du TOTP, la banque doit stocker, pour chaque client concerné, le secret associé. Avec des grilles de code, il faut stocker, pour chaque client, la grille de code associée : jusque là, c'est aussi complexe, avec un besoin de stockage de moins d'un kibioctet par client. L'algorithme de validation est trivial, et par conséquent très facile à auditer et peu sujet à une découverte de failles. La distribution de grilles de code elles-même est semblable à celle des appareils physiques, en plus simple (ça peut se distribuer au guicher, ça peut s'envoyer par courrier, etc). Autre chose ?

Sérieusement, tu as vraiment un doute sur le fait que la mise en place et la distribution de grilles de code par une banque pourrait être plus coûteuse que la mise en place et la distribution d'appareils physiques fournissant des codes à usage unique ? Et on prétend que c'est moi qui trolle ?

Je ne peux rien exclure du tout et je m'en moque, ça m'a simplement fait comprendre que dépendre d'un logiciel propriétaire sur mon téléphone pour valider des opérations bancaires, c'était risqué. Pas fiable.

Je parle de risque que ça ne fonctionne pas, pas de risque que ça permette à quelqu'un d'accéder à mon compte ou de valider des opérations frauduleuses.

Tu t'en as pas parle, mais c'est ou la stocker ?

Dans le portefeuille, avec la carte bancaire en effet. Si tu te fais voler ça :

• ce n'est pas dramatique, en tout cas en ce qui concerne la double authentification, parce que ça ne compromet pas le second facteur, un code secret que tu es seul à connaître ;
• tu t'en rendras vite compte et tu feras vite opposition.

En vrai, la seule alternative que je trouve pas trop mal au smartphone, c'est le boîtier: tu peux garder ca sur toi, ca se fait pas trop mal. Tu peux même en avoir plusieurs et en laisser au bureau ou ailleurs.

Comme la grille de code en somme. C'est juste un peu plus lourd, un peu plus encombrant et un peu moins fiable (ça peut tomber en panne ou à cours de pile).

Mais oui sinon, désolé mais le smartphone avec vérification biométrique, c'est pas si mal quand même, quoiqu'en dise DLFP.

En terme de sécurité, certainement. En terme de fiabilité et de coût de maintenance, c'est très loin derrière le TOTP et les grilles de code.

le top, c'est évidemment la grille de nombres,

Faut l'avoir, souvent oublié,

Alors là, si tu en as besoin pour chaque paiement en ligne, tu ne risque pas de l'oublier. Tu vas juste la ranger au même endroit que ta carte bancaire.

et faut rentrer le nombre.

Sans commentaire. On parle quand même d'achats sur Internet, pour lesquels on saisit son numéro de carte bancaire à 16 chiffres.

Les trucs qui dépendent du logiciel bancaire sur téléphone mobile, c'est de la merde.

Mais c'est toujours sur toi, et l'empreinte est pas chiante à faire, rapide.

Alors l'empreinte digitale, j'ai testé, plus jamais. Ça marche bien, jusqu'au jour où il y a je ne sais quoi de différent et plus aucun essai ne fonctionne.

Par contre un truc vraiment chiant, c'est de se retrouver avec un logiciel qui ne marche plus, ou de changer de téléphone. Là, on n'est pas dans une flemme de saisir quatre chiffres hein, mais dans une vraie galère.

C'est de l'anti-vieux primaire à les prendre tous pour des attardés, être vieux ne veut pas dire ne pas dire suivre les évolutions technologiques, plein de vieux ont un tel, WhatsApp, l'app bancaire, et payent même avec leur tel. Ces vieux te dise "merde" à considérer leur âge comme critère pour les exclure par défaut de l'évolution technologique.

??? Mais c'est le contraire, je sais bien qu'il y a des vieux qui sont tout à fait capables d'utiliser un téléphone mobile. Mais il y a aussi des tas de gens qui ont du mal avec ces outils. Des systèmes de double authentification nécessitant l'usage d'un téléphone sous Android ou iOS excluent pas mal d'usagers. C'est mal de s'en rendre compte, en fait ? D'ailleurs les banques s'en rendent très bien compte, c'est pour ça qu'elles fournissent des solutions matérielles plus ou moins bien fichues.

Ce qui me surprend, c'est juste le fait qu'elles fournissent justement des solutions matérielles complexes, alors que la grille de codes et le TOTP standard sont par nature accessibles et beaucoup moins coûteuses.

Personnellement, je suis utilisateur de la validation par téléphone, mais je vais certainement passer à la solution matérielle suite à une expérience inquiétante.

Je possède un téléphone sous LineageOS, rooté. Après tout, cet appareil m'appartient, il est bien normal que j'en sois administrateur et que je puisse y faire ce que je veux. Bref. Je parviens à y faire tourner le logiciel de la Banque Populaire.

Il y a un peu moins d'un an, je vois passer une mise à jour de ce logiciel. Pas de problème. Sauf que si, problème justement : à partir de cette version-là, le logiciel ne se lance plus, ou plutôt plante une demi-seconde après son lancement. Pas moyen d'accéder à mon compte évidemment, mais au début, les validations d'opérations passaient encore. Et puis un jour, elles ont aussi cessé de fonctionner.

Je me suis retrouvé sans moyen de valider les opérations demandant de la double authentification, notamment les paiements avec 3-D Secure, mais aussi le simple accès à mon compte depuis mon ordinateur, lorsque le cookie de validation expirerait.

J'ai fini par trouver un moyen de :

1. sauvegarder le logiciel de la Banque Populaire et ses données sur mon mobile (heureusement que je suis root pour pouvoir faire ça !) ;
2. installer une ancienne version (note pour les gens de la sécurité d'une banque : si vous sortez une version boguée de votre logiciel, vous incitez vos clients à rester sur une ancienne version) et la conserver aussi longtemps que possible.

Et puis un jour, cette version a cessé de fonctionner : vous utilisez une version trop ancienne, mettez à jour. Coup de chance, à ce moment-là, la nouvelle version fonctionnait. Depuis, je sauvegarde régulièrement ce logiciel et ses données, mais je ne serai serein qu'en passant à un truc plus fiable.

C'est sans doute pareil au Crédit Mutuel, qui fait partie du même groupe.

Opérations soumise à une double authentification

• Paiement en ligne avec 3-D Secure
• Ajout d'un destinataire de virement
• Pas sûr pour le reste

Moyens d'authentification

C'est très bizarre, les moyens proposés dépendent des opérations.

Le plus souvent, au choix :

• Validation sur téléphone avec saisie d'un code secret ou validation d'une empreinte digitale.
• Saisie d'un code à usage unique fourni par un appareil physique après avoir scanné un QR-Code affiché à l'écran du terminal d'achat et saisie un code secret.

La seconde solution est proposée au client en s'acquittant de 29 € à la fourniture de l'appareil en question.

Parfois :

• Grille de codes, une solution qui existe dans cette banque depuis plus de dix ans.

C'est à se demander pourquoi le CIC n'a pas simplement généralisé la grille de codes pour toutes les opérations nécessitant une double authentification. Je soupçonne soit une interdiction réglementaire (les rédacteurs du règlement se sont peut-être dit que ce n'était pas assez technologique pour être vraiment sûr), soit une surinterprétation du règlement.

Opérations soumises à une double authentification

• Paiement en ligne avec 3-D Secure
• Ajout d'un bénéficiaire de virement
• Émission d'un virement ? À vérifier.
• Accès à son compte client depuis un navigateur non encore validé, et depuis un navigateur dont le cookie de validation a expiré.

Moyen d'authentification

Les moyens proposés combinent deux facteurs en une seule opération.

Au choix :

• Validation sur téléphone avec saisie d'un code secret ou validation d'une empreinte digitale.
• Saisie d'un code à usage unique fourni par un boîtier après vérification du code secret de la carte bancaire.

La seconde solution est proposée aux clients qui en font la demande en agence.

Un autre moyen d'authentification.

Preuve de possession : valider l'opération à partir du logiciel de la banque sur son téléphone mobile. Combiné avec la saisie d'un code secret.

Accessible aux personnes disposant d'un terminal sous Android ou iOS, assez récent et pas trop modifié (ou au contraire suffisamment modifié pour que ça ne se voie pas).

Vulnérable au piratage du système d'exploitation du téléphone ou du logiciel bancaire sous réserve de faille exploitable.

Dépend du fonctionnement du téléphone et du logiciel bancaire.

Possible à la Banque Populaire aussi, sur demande du client.

Ce que je compte faire, parce que l'application pour Android a eu le mauvais goût de m'exploser entre les doigts pendant plusieurs mois et que je n'ai pas trop envie que ça arrive de nouveau. C'est à dire que suite à une mise à jour, elle ne démarrait même plus. J'avais trouvé un moyen d'installer une ancienne version, que j'ai gardé jusqu'à ce qu'elle ne soit plus acceptée. À ce moment-là, j'ai forcément installé une nouvelle version, qui fonctionnait. Tant mieux, mais ça refroidit.

(Au passage, heureusement que mon téléphone est rooté, ça permet de sauvegarder ce genre de logiciel pour pouvoir en essayer plusieurs versions sans perdre tout leur configuration, et surtout sans perdre l'association avec le compte client.)

Pour ceux qui utilisent un système d'exploitation et un gestionnaire de services maléfiques, ce dernier a une option pour introduire un délai aléatoire au démarrage d'une unité programmée, par exemple :

[Unit]
…
OnCalendar=*-*-* *:*:00/10
RandomizedDelaySec=60

Lorsque je change de DNS, à chaque redémarrage, le changement se réinitialise.
Je passe par le fichier /etc/resolv.conf

C'est tout à fait normal. Lorsque tu te connectes à un réseau, wifi ou filaire, ton ordinateur y envoie une requête DHCP, puis reçoit une réponse qui lui indique ses paramètres de connexion, en particulier son adresse IP, son masque de sous-réseau… et des serveurs de résolution DNS. Ces derniers sont placés dans /etc/resolv.conf, qui est réécrit à cette occasion.

Essayer de l'éditer à la main est donc vain. Pour avoir des changements stables, tu dois passer par le logiciel qui l'édite. En fait, un logiciel a été créé pour centraliser les opérations liées à ce resolv.conf. Il s'appelle justement resolvconf, et je te laisse te documenter à son sujet.

Je n'ai plus cette boîte, je l'ai jetée ou perdue. Pouvez-vous me donner ce mot de passe ?

Je vous parle de votre boîtier de connexion, votre modem-routeur. J'espère que vous ne l'avez pas jeté ou perdu, il ne vous appartient pas. Et vous aurez du mal à vous connecter sans.

Malgré les tentatives pour l'étouffer, la vérité émerge de partout, et ceux qui ont soutenu ces mensonges ces dernières années sont devenus enragés.

En fait cette phrase est une (la seule?) phrase vraie et pas trop délirante du journal.
J'en apporte la preuve : En direct | Marseille : une perquisition des gendarmes en cours à l’IHU.

Mince alors, il y aurait donc une épidémie de rage au sein de la Gendarmerie nationale ?

D'ailleurs, l'hydroxychloroquine, ça donnerait quoi, comme antirabique ?

Malgré les tentatives pour l'étouffer, la vérité émerge de partout, et ceux qui ont soutenu ces mensonges ces dernières années sont devenus enragés.

L'aviez-tu remarqué ? Les tentatives pour étouffer la vérité ont cours partout, même dans le bastion de l'information libre qu'est LinuxFr ! J'en veux pour preuve le moinssage acharnéenragé dont a fait l'objet ce journal.

(Ou est-ce parce qu'il n'est vraiment pas pertinent ?)

En clair oui, mais sur une étiquette sous la boîte. Il n'a aucune raison d'être stocké dans le SI de l'opérateur. La clef qui en dérive oui, mais pas le mot de passe lui-même.

Alors, on est quand même dans un cas très, très peu fréquent.

Rappelons que presque personne ne sait qu'on peut changer le mot de passe du réseau wifi. Que parmi ceux qui savent qu'on peut le faire, très peu savent effectivement le faire.

Nous sommes donc ici dans le cas d'un client qui s'y connaît visiblement plutôt bien, puisqu'il fait partie de l'élite qui sait qu'on peut changer ce mot de passe, qui sait le faire, et qui l'a effectivement fait avec succès.

Nous sommes par ailleurs dans le cas encore plus rare où ce client qui s'y connaît plutôt bien a perdu le mot de passe qu'il a lui-même défini. Oui, dans ce genre de cas très rare, il me semble parfaitement acceptable de lui annoncer qu'on peut remettre le mot de passe par défaut, qu'il trouvera sous la boîte, et que ça aura pour effet de déconnecter ses appareils, comme s'il venait de prendre son abonnement à Internet.

Pour un client qui s'y connaît à ce point, reconfigurer ses appareils, ou changer à nouveau le mot de passe n'a rien d'insurmontable, surtout qu'il l'a déjà fait avec succès dans le passé. Et rassurez-vous ce n'est pas parce qu'il doit faire ça qu'il changera d'opérateur, donc ce genre de pratique n'expose l'opérateur à aucun risque de perte de clientèle, ni même d'insatisfaction puisqu'on aura quand même fourni un solution à un client qui sait qu'il a lui-même merdé.

Depuis, on a inventé les QR-codes tout de même.

Je trouve personnellement que c'est une mauvaise idée. Je comprends l'idée d'avoir un breadcrumb pour les présentations vraiment longues

Eh bien voilà, tu en comprends l'intérêt. Des miettes de pain, c'est une forme de mini-sommaire adapté à la section et sous-section courante.

mais dans le cas général tu vire tout ce que tu peux des slides. Ça n'apporte rien à la personne qui suit la présentation de savoir qu'il y a déjà eu une présentation de l'historique de LaTeX par exemple.

Ça dépend, ça peut aider à prendre des notes. Mais effectivement, ça obstrue un peu, et aujourd'hui je passe plutôt à un sommaire partiel rappelé entre chaque section par exemple. Là, ça n'obstrue plus, ça ne distrait pas non plus, et ça permet aux gens de se rappeler où on en est sans y perdre trop de temps.

Ce genre de TOC sur toutes les slides me semblent surtout servir à la navigation pour celui qui présente quand il veut pouvoir naviguer dans ses slides.

Ça, ce serait plutôt le boulot de logiciel de projection.

pouvoir définir une structure de présentation, c'est à dire des sections et sous-sections (ça aide à la fois le présentateur et l'auditoire, d'avoir une structure plutôt qu'un discours-fleuve)

Ça, dans Impress c’est le boulot des pages maîtresses et de la mise en forme des diapos,

Si je comprends bien, il s'agit alors de faire ce qu'il faut pour que toutes les diapos contiennent, dans un coin ou sur un côté, le titre de la section courante ou un mini-sommaire. À moins que je ne loupe quelque chose, ça reste un pseudo-sommaire fait à la main (vous savez, c'est exactement ce que font intuitivement les newbies avec un traitement de texte, et qui fait s'arracher les cheveux à ceux qui savent utiliser correctement les styles et la numérotation), et en aucun cas une structure de document. Pire encore, si je veux afficher un mini-sommaire qui mette en valeur la section courante, je sens que ça va demander une personnalisation à la main pour chaque section…

sachant qu’une présentation n’est pas le texte d’une intervention ou un support de cours (sauf exception… un support pour Impress par exemple), si je comprends bien ce que tu entends par là.

Bien sûr, c'est différent, mais ça reste structuré. Si par exemple je devais faire une présentation à propos de Beamer lui-même, je commencerais pas écrire en vrac un tas d'idées et de trucs dont il faut parler, que j'organiserais ensuite sous la forme d'une structure. Jusque là, c'est ma façon de préparer une présentation, mais le fait d'avoir in fine une structure ne m'est pas spécifique, c'est juste une bonne pratique :

1. TeX, LaTeX, Beamer : un peu de contexte
2. Histoire
   1. TeX et LaTeX
   2. Beamer
3. Principes
   1. WYSIWYM
   2. Compilation
4. En pratique
   1. Du code
   2. Des outils

Là-dedans, je vais préparer ce que je vais dire et ce que j'ai besoin d'afficher, sous forme de diapos qui vont s'insérer dans cette structure. Je trouve ensuite utile :

• de pouvoir afficher ce sommaire en début de présentation ;
• si la présentation et longue (et donc sa structure assez profonde), de pouvoir afficher un sommaire partiel avant chaque section ;
• de pouvoir afficher, sur chaque diapo, au minimum la section courante (et éventuellement un mini-sommaire plus complet, avec toutes les sections et les sous-sections de la section courante, avec la section et la sous-section courantes mises en valeur, tant qu'à faire) ;
• de ne pas avoir à mettre tout ça à jour si je modifie les sections, par exemple si je change le titre d'une section ou si j'ajoute une sous-section quelque part : si j'utilise un ordinateur, ce n'est pas pour faire ça à la main, merci.

Ça, c'est le genre de chose qui, me semble-t-il, nécessite impérativement que le logiciel ait une notion de structure du document. Or, sauf si j'ai loupé quelque chose, LibreOffice Impress n'a rien de tel.

Et, évidemment des gens qui concoctent les présentations et là…

Pas compris.

Eh bien c'est juste scandaleux, pour plusieurs raisons :

• stocker un mot de passe en clair, ça craint juste complètement : dans des systèmes conçus avec un minimum de sérieux, on stocke un hachage du mot de passe (là, c'est pour du PSK, donc c'est un chouïa plus compliqué que ça, voir plus bas) ;
• stocker un mot de passe en clair est parfaitement inutile, même pour pouvoir le rappeler au client : s'il ne se souvient pas du mot de passe, il suffit de lui remettre celui par défaut qui est écrit sur le boîte (et pour ça, il n'est même pas nécessaire que l'opérateur connaisse lui-même ce mot de passe).

Bon, comme je disais, c'est du PSK, c'est à dire un mot de passe est transformé et haché afin de créer une clef partagée, connue par la borne et par l'appareil connecté. On ne peut donc pas juste stocker un simple hachage du mot de passe. En revanche, ce qu'on peut stocker côté borne, c'est la clef dérivée du mot de passe. Ceci dit, à la différence d'un système de vérification de mot de passe, la connaissance de cette clef suffit à se connecter, donc ça reste imparfait comme solution.

Je doute que ça existe, ou plutôt, je doute qu'il existe un outil de présentation autre que Beamer qui répondre à mes critères. :-)

En l'occurrence, je ne peux pas deviner les tiens, mais mes critères sont au nombre de deux :

• pouvoir définir une structure de présentation, c'est à dire des sections et sous-sections (ça aide à la fois le présentateur et l'auditoire, d'avoir une structure plutôt qu'un discours-fleuve) ;
• pouvoir facilement définir des dévoilements successifs ou des remplacements de texte et de schémas (les overlays de Beamer, donc).

Aussi sidérant que cela puisse paraître, le premier point a l'air d'être une spécificité de Beamer. À croire qu'il est juste inhabituel de vouloir faire des trucs structurés. Ou que les gens trouvent normal de rédiger à la main un genre de sommaire et de le copier-coller à plusieurs endroits de leur présentation pour afficher une structure sans aucune assistance de l'outil de présentation. S'il existe désormais d'autre logiciels qui permettent de préparer une présentation structurée, ça m'intéresse.

Quand au second, je dois dire que je n'ai pas essayé grand chose d'autre que Beamer vu que le premier point n'est déjà visiblement rempli par aucun autre logiciel. J'ai essayé avec LibreOffice, quand même, il y a très longtemps. De mémoire, c'était faisable, bien que pas aussi évident qu'avec Beamer parce que les dévoilements successifs sont par nature une fonctionnalité qui ne colle absolument pas au modèle WYSIWYG.

Pendant de nombreuses de ces années, des méthodes fastidieuses et chronophages, telle que les listes de courriel, étaient le standard "de-facto" pour la collaboration dans l'open source. Git, le gestionnaire de version distribué et open source, créé par Linus Torvalds, n'arrivera pas avant 2005, et même à cette époque, il n'offrait qu'un outil en ligne de commande.

Exact, mais franchement orienté. Bravo pour la tournure dépréciative qui décrit une fonctionnalité en ligne de commande. Il y aurait eu plein de façons neutres de dire la même chose, sans sous-entendre qu'en 2005, un outil en ligne de commande c'est nul.

Allez, par exemple : « Git, un gestionnaire de version distribué et open source en ligne de commande créé par Linus Torvalds, a vu le jour en 2005. »

3 ans plus tard, Github créa une interface utilisateur pour Git

Si on veut, mais pour être honnête, il faudrait préciser que c'est une interface pour certains aspects de Git. Parce qu'enregistrer des modifications à un fichier et tout, ça se fait en ligne de commande, pas dans l'interface de Github.

Et pour être honnête, il faut aussi reconnaître que c'est une interface utilisateur supplémentaire pour Git. Parce que bon, une interface utilisateur, il y en a déjà une, la ligne de commande justement.

et introduisit les "Pull Request",

Faux. Pull request, ça veut dire demande de git pull, et ça existait déjà depuis que Git existe, et c'est très utilisé pour le développement du noyau Linux. Ça consiste tout simplement à écrire à quelqu'un pour lui dire « Salut, j'ai codé une fonctionnalité, tu la trouveras dans telle branche de mon dépôt. Si ça te plaît, peux-tu faire un git pull dessus pour l'intégrer à ton projet ? Bisous. »

Github a introduit une interface graphique pour les pull requests, mais n'a en aucune façon inventé le concept.

une fonctionnalité qui changea la manière dont les mainteneurs gèrent les patchs dans l'open source, ce qui serait au cœur du succès récent de l'Open Source selon certains.

Sans doute. Ça a rendu ce mode de contribution plus accessible. Mais de grâce, cessez de prétendre que Github a inventé la PR.