Sommaire
-
Des facteurs d'authentification
- Infos de carte bancaire
- Code ou lien par SMS
- Grille de nombres
- Empreinte digitale
- Code secret sur téléphone
- Code secret sur le site de l'intermédiaire de paiement
- Code Ă usage unique sur logiciel bancaire
- Code Ă usage unique standard
- Boîtier physique à code à usage unique
- Variante : carte à code de sécurité dynamique
- Lecteur de carte bancaire
- D'autres ?
- Mon avis sur le sujet
Comme vu récemment, les banques sont dans l'obligation d'implémenter une authentification à deux facteurs pour certains trucs. Je n'ai pas très bien compris pour quels trucs, mais bref, ça s'applique visiblement pour certains achats en ligne et pour certains opérations particulières comme par exemple l'ajout de bénéficiaires de virement. Je crois que ça dépend des banques.
Pour rappel, l'authentification à deux facteurs consiste à demander à l'usager deux types de preuves de son identité, parmi trois types : une connaissance (typiquement un mot de passe), une possession (typiquement un téléphone) ou une caractéristique biométrique (typiquement une empreinte digitale).
Concrètement… ça dépend des banques, mais pour un paiement en ligne par exemple, les preuves demandées sont effectivement multiples. Voici les exemples que je connais.
Des facteurs d'authentification
Infos de carte bancaire
Presque toujours demandées, sauf sur des sites qui enregistrent ces infos, comme Amazon.
Preuve de possession : fournir le numéro de la carte bancaire, sa date d'expiration et son code de sécurité.
Accessible Ă toute personne voyante. Inaccessible aux non-voyants, mais j'imagine que les banques doivent pouvoir fournir ces informations en braille.
Vulnérable à la copie, photocopie ou photographie de carte bancaire. Sachant qu'il s'agit d'un objet qu'on remet souvent à des commerçants pour payer des trucs, c'est significatif. Vulnérable au piratage de sites marchands connus pour enregistrer ces infos. Vulnérable à la négligence (laisser traîner sa carte le temps que quelqu'un la photographie).
Code ou lien par SMS
Preuve de possession : fournir un code ou suivre un lien reçu par SMS.
Accessible à toute personne disposant d'un téléphone mobile et d'un abonnement. Inaccessible aux personne non abonnées à un service de téléphonie mobile.
Vulnérable à l'interception, visiblement assez facile à réaliser pour que cette méthode soit désormais interdite ou en voie d'interdiction.
Dépend de l'abonnement téléphonique et de la pérennité du numéro de téléphone.
Grille de nombres
Preuve de possession : fournir un numéro dans une grille fournie à l'avance.
Accessible Ă toute personne voyante, et non-voyante si la banque peut fournir une grille en braille.
Vulnérable à la photocopie. Contrairement à une carte bancaire, on n'a jamais besoin de la tendre à quelqu'un d'autre, ce risque est donc en pratique limité aux cas de vol et d'extorsion. Vulnérable à la négligence (laisser traîner sa grille le temps que quelqu'un la photographie).
Dépend de la bonne conservation d'un morceau de papier plastifiée, ou d'une carte en plastique si les banques s'en donnaient la peine.
Empreinte digitale
Biométrie : utiliser le lecteur d'empreinte digitale de son téléphone sur demande du logiciel de la banque.
Accessible aux personnes disposant d'un terminal sous Android ou iOS, assez récent et pas trop modifié (ou au contraire suffisamment modifié pour que ça ne se voie pas).
Vulnérable au piratage du système d'exploitation du téléphone ou du logiciel bancaire sous réserve de faille exploitable.
Dépend du fonctionnement du téléphone et du logiciel bancaire.
Code secret sur téléphone
Preuve de connaissance : saisir un code secret sur son téléphone sur demande du logiciel de la banque.
Accessible aux personnes disposant d'un terminal sous Android ou iOS, assez récent et pas trop modifié (ou au contraire suffisamment modifié pour que ça ne se voie pas).
Vulnérable au piratage du système d'exploitation du téléphone ou du logiciel bancaire sous réserve de faille exploitable. Vulnérable à la négligence (noter son code sur un post-it).
Dépend du fonctionnement du téléphone et du logiciel bancaire.
Code secret sur le site de l'intermédiaire de paiement
Preuve de connaissance : saisir un code secret sur le site de l'intermédiaire de paiement.
Accessible à toute personne déjà en mesure d'effectuer l'achat en ligne en question.
Très vulnérable au phishing. Vulnérable à la corruption de l'intermédiaire de paiement. Vulnérable à la négligence (noter son code sur un post-it).
Ne dépende de rien du tout. Ou plus précisément, ne dépend de rien de plus que l'acte d'achat lui-même.
Code Ă usage unique sur logiciel bancaire
Preuve de possession : saisir un code secret fourni par un logiciel bancaire sur son téléphone.
Accessible aux personnes disposant d'un terminal sous Android ou iOS, assez récent et pas trop modifié (ou au contraire suffisamment modifié pour que ça ne se voie pas).
Vulnérable au piratage du système d'exploitation du téléphone ou du logiciel bancaire sous réserve de faille exploitable.
Dépend du fonctionnement du téléphone et du logiciel bancaire.
Code Ă usage unique standard
Preuve de possession : saisir un code secret fourni par un logiciel implémentant TOTP.
Accessible à toute personne disposant d'un outil informatique (ordinateur ou téléphone).
Vulnérable au piratage du logiciel implémentant TOTP sous réserve de faille exploitable. Vulnérable à la négligence (noter les informations de génération des codes, mais ça, c'est de la négligence de spécialiste, le commun des mortels n'est même pas au courant de l'existence d'informations de génération).
Dépend du fonctionnement de l'équipement informatique utilisé.
Boîtier physique à code à usage unique
Preuve de possession : saisir un code secret fourni par un petit appareil implémentant TOTP (ou autre, mais en pratique, c'est très certainement du TOTP, surtout qu'il faut bien que le serveur de la banque en ait une implémentation logicielle pour vérifier !).
Accessible Ă toute personne voyante.
Vulnérable… au vol et à l'extorsion, et c'est probablement tout.
Dépend du fonctionnement du boîtier physique TOTP, et en particulier de sa pile électrique.
Variante : carte à code de sécurité dynamique
Preuve de possession : saisir un code secret fourni… par la carte bancaire elle-même, qui implémente TOTP et dispose d'un petit écran à la place du code de sécurité.
Accessible Ă toute personne voyante.
Vulnérable… au vol et à l'extorsion, et c'est probablement tout.
DĂ©pend du fonctionnement de la carte bancaire, et en particulier de sa pile Ă©lectrique ou de la charge de son condensateur.
Lecteur de carte bancaire
Preuve de possession et de connaissance : mettre sa carte dans un lecteur spécial, qui demande son code secret avant de fournir un code à usage unique.
Accessible Ă toute personne voyante.
Vulnérable… au vol et à l'extorsion, et c'est probablement tout.
DĂ©pend du fonctionnement du lecteur de carte, et en particulier de sa pile Ă©lectrique.
D'autres ?
C'est tout ce dont j'ai connaissance, mais si vous en connaissez d'autres, n'hésitez pas.
Mon avis sur le sujet
Les facteurs de connaissances sont très classiques et systématiquement utilisant en combinaison avec au moins un autre facteur. Je m'intéresse donc aux autres facteurs.
- Compte tenu des avantages et des inconvénients, la grille de nombres arrive très loin devant tous les autres. À se demander pourquoi les banques ne proposent pas tout simplement cela, ne serait-ce qu'aux clients qui en font la demande, plutôt que d'acheter des boîtiers TOTP.
- Les trucs qui dépendent du logiciel bancaire sur téléphone mobile, c'est de la merde. Ça exclut ceux qui ont du mal avec les téléphones tactiles, en particulier des personnes âgées ou handicapées, ça exclut les bidouilleurs sous LineageOS avec root, ça cesse de fonctionner si la banque fournir une nouvelle version boguée…
- Si on veut éviter d'exclure des usagers, le top, c'est évidemment la grille de nombres, mais en second, l'utilisation de TOTP, en version logicielle ou matérielle. Mention spéciale à l'originalité du TOTP sur la carte bancaire elle-même, très astucieuse.
- L'utilisation d'un lecteur de carte bancaire vérifiant le code secret et fournissant un code à usage unique combine l'utilisation de deux facteurs en une seule opération. Très astucieux également.
# Validation sur téléphone
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  3.
Un autre moyen d'authentification.
Preuve de possession : valider l'opération à partir du logiciel de la banque sur son téléphone mobile. Combiné avec la saisie d'un code secret.
Accessible aux personnes disposant d'un terminal sous Android ou iOS, assez récent et pas trop modifié (ou au contraire suffisamment modifié pour que ça ne se voie pas).
Vulnérable au piratage du système d'exploitation du téléphone ou du logiciel bancaire sous réserve de faille exploitable.
Dépend du fonctionnement du téléphone et du logiciel bancaire.
# Banque populaire
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  2. Dernière modification le 13 juin 2023 à 15:42.
Opérations soumises à une double authentification
Moyen d'authentification
Les moyens proposés combinent deux facteurs en une seule opération.
Au choix :
La seconde solution est proposée aux clients qui en font la demande en agence.
[^] # Re: Banque populaire
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  7.
Personnellement, je suis utilisateur de la validation par téléphone, mais je vais certainement passer à la solution matérielle suite à une expérience inquiétante.
Je possède un téléphone sous LineageOS, rooté. Après tout, cet appareil m'appartient, il est bien normal que j'en sois administrateur et que je puisse y faire ce que je veux. Bref. Je parviens à y faire tourner le logiciel de la Banque Populaire.
Il y a un peu moins d'un an, je vois passer une mise à jour de ce logiciel. Pas de problème. Sauf que si, problème justement : à partir de cette version-là , le logiciel ne se lance plus, ou plutôt plante une demi-seconde après son lancement. Pas moyen d'accéder à mon compte évidemment, mais au début, les validations d'opérations passaient encore. Et puis un jour, elles ont aussi cessé de fonctionner.
Je me suis retrouvé sans moyen de valider les opérations demandant de la double authentification, notamment les paiements avec 3-D Secure, mais aussi le simple accès à mon compte depuis mon ordinateur, lorsque le cookie de validation expirerait.
J'ai fini par trouver un moyen de :
Et puis un jour, cette version a cessé de fonctionner : vous utilisez une version trop ancienne, mettez à jour. Coup de chance, à ce moment-là , la nouvelle version fonctionnait. Depuis, je sauvegarde régulièrement ce logiciel et ses données, mais je ne serai serein qu'en passant à un truc plus fiable.
[^] # Re: Banque populaire
Posté par flagos . Évalué à  2. Dernière modification le 13 juin 2023 à 16:21.
Est ce que tu peux exclure que le souci venait de la ROM ? Je te dis ca parce que j'ai eu le même souci avec mon téléphone roote dans une autre banque, même pas en France.
[^] # Re: Banque populaire
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  5.
Je ne peux rien exclure du tout et je m'en moque, ça m'a simplement fait comprendre que dépendre d'un logiciel propriétaire sur mon téléphone pour valider des opérations bancaires, c'était risqué. Pas fiable.
Je parle de risque que ça ne fonctionne pas, pas de risque que ça permette à quelqu'un d'accéder à mon compte ou de valider des opérations frauduleuses.
[^] # Re: Banque populaire
Posté par flagos . Évalué à  2.
Ton argument, il ne fait que déporter le check fait dans un logiciel propriétaire de ton téléphone vers un serveur http, qui peut aussi tres bien ne pas marcher.
A ce compte la, si tu veux pas dépendre d'un logiciel propriétaire, tu passes même pas par le site internet de ta banque qui n'est pas open-source et tu envoies un chèque par la poste.
[^] # Re: Banque populaire
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  5.
Le serveur qui validera mon code ? C'est sûr que s'il est en panne, ça ne marchera pas. Mais je pense que la banque le maintient plus facilement en fonctionnement que leur logiciel pour Android.
En fait, j'ai déjà vu des pannes de validation par une banque. C'est généralement plus ou moins vite corrigé, disons au pire un jour ou deux, ce qui est déjà pénible.
Et j'ai déjà vu une panne de logiciel bancaire sur LineageOS rooté. Ça a duré des mois. Je considère donc cette solution comme beaucoup moins fiable.
[^] # Re: Banque populaire
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  3.
Au fait, j'ose espérer que la vérification de mon code ou de mon empreinte digitale n'est pas seulement faite dans le logiciel sur mon téléphone. Il doit y avoir une validation par un serveur de la banque là -dedans, donc en passant à quelque chose qui ne dépendrait que d'une validation par un serveur de la banque, on ne peut que gagner en fiabilité.
[^] # Re: Banque populaire
Posté par mahikeulbody . Évalué à  2. Dernière modification le 13 juin 2023 à 17:18.
Je doute fort que l'empreinte digitale soit transmise à une appli, quelle qu'elle soit. Donc je ne vois pas comment ça pourrait remonter jusqu'à la banque. A mon avis, elle s'en remet à Android pour ça (qui lui-même s'en remet à un composant matériel dédié).
[^] # Re: Banque populaire
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  3.
Évidemment, mais elle doit servir à décoder un truc qui est transmis à la banque et validé chez eux. Sinon, ce serait de la validation entièrement confiée à un truc qui tourne sur un appareil du client, grosse faille en vue.
# CIC
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  2. Dernière modification le 13 juin 2023 à 15:51.
C'est sans doute pareil au Crédit Mutuel, qui fait partie du même groupe.
Opérations soumise à une double authentification
Moyens d'authentification
C'est très bizarre, les moyens proposés dépendent des opérations.
Le plus souvent, au choix :
La seconde solution est proposée au client en s'acquittant de 29 € à la fourniture de l'appareil en question.
Parfois :
C'est à se demander pourquoi le CIC n'a pas simplement généralisé la grille de codes pour toutes les opérations nécessitant une double authentification. Je soupçonne soit une interdiction réglementaire (les rédacteurs du règlement se sont peut-être dit que ce n'était pas assez technologique pour être vraiment sûr), soit une surinterprétation du règlement.
[^] # Re: CIC
Posté par dark_moule . Évalué à  1.
J'ai un compte au Crédit Mutuel. Ils m'ont bien gonflé pour m'équiper d'un lecteur de carte à la place de la grille de numéro et de l'envoi d'un SMS soit disant non fiable. Le lecteur était censé être compatible Linux, mais malheureusement cela ne fonctionne pas.
Ils m'ont donc remplacé le lecteur de carte par un générateur de code. Il faut lire le QR code affiché sur l'écran de l'ordinateur et saisir un code PIN pour obtenir un code à entrer sur le site de la banque.
En plus de ce code, selon les opérations ils demandent un code de la grille qui était censé ne plus être utilisée.
Et parfois ils envoient aussi un code via SMS Ă resaisir aussi.
Les trois moyens sont parfois utilisés seul, parfois une combinaison de deux, parfois les trois, ce qui a tendance à m'agacer sérieusement. Les montants ou les destinataires ne semblent pas déterminants, car cela paraît assez aléatoire.
Par contre la suppression des cookies entraîne forcément l'utilisation du générateur de code.
[^] # Re: CIC
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  3.
Tiens, c'est une impression que j'ai eu avec plusieurs banque, ça : le fait que les vérifications utilisent différents modes d'authentification ou facteurs selon le sens du vent.
# Tu oublie le plus important
Posté par Zenitram (site web personnel) . Évalué à  2. Dernière modification le 13 juin 2023 à 15:54.
Faut l'avoir, souvent oublié, et faut rentrer le nombre. C'est bon, on n'est plus dans les années 2000.
Bon, ça on peut l'avoir sur le tel donc moins oublié, mais faut toujours rentrer le nombre. C'est bon, on n'est plus dans les années 2010, et à ma connaissance l'IETF n'a pas standardisé une version plus années 2020 qui permet de ne pas se faire chier avec le nombre à entrer (c'est bien dommage, on pourrait pousser pour ça ensuite, mais bon, c'est un choix, on voit que les gens qui voudraient "un changement" se foutent de chercher une solution qui marcherait, ce n'est pas l'idée)
Mais c'est toujours sur toi, et l'empreinte est pas chiante Ă faire, rapide.
C'est de l'anti-vieux primaire à les prendre tous pour des attardés, être vieux ne veut pas dire ne pas dire suivre les évolutions technologiques, plein de vieux ont un tel, WhatsApp, l'app bancaire, et payent même avec leur tel. Ces vieux te dise "merde" à considérer leur âge comme critère pour les exclure par défaut de l'évolution technologique.
En fait, dans ton comparatif tu oublies l'un des éléments les plus importants, la facilité d'usage.
A partir de là , tu n'es juste pas crédible dans une analyse.
Et rappelons que les banques sont complètement échaudée par l'expérience CB à usage unique, plein le réclamaient car "bloquant" pour eux, ils ont fait les investissements, et à la fin 99.99% des gens s'en foutaient en vrai, aucune valorisation, et peu d'usage, les gens ayant passé au dessus de leurs peurs avec le temps.
Note : tout n'est pas rose, il y a de quoi améliorer les choses (app séparée de l'app bancaire, accessibilité aux magasin d'app non Google/Apple, accessibilité aux personnes qui n’aiment pas les tels, et plein d'autres trucs), mais prendre les vieux pour tous des attardés par définition de vieux ou ne pas chercher à comprendre pourquoi les banques font des choses, perso je ne vois pas trop à quoi ça sert à part se croire fin analyste en éliminant tout ce qui ne va pas dans sa conclusion, c'est pour l'égo et pas pour changer les choses même un peu en débat.
en attendant, la grande majorité des gens continueront avec l'offre qui leur correspond assez et tant pis pour les "pertes", vu comment les défenseurs des plus "faibles" les défendent en ne cherchant pas du tout à comprendre comment convaincre ceux qui doivent être convaincus.
[^] # Re: Tu oublie le plus important
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  7.
Alors lĂ , si tu en as besoin pour chaque paiement en ligne, tu ne risque pas de l'oublier. Tu vas juste la ranger au mĂŞme endroit que ta carte bancaire.
Sans commentaire. On parle quand même d'achats sur Internet, pour lesquels on saisit son numéro de carte bancaire à 16 chiffres.
Alors l'empreinte digitale, j'ai testé, plus jamais. Ça marche bien, jusqu'au jour où il y a je ne sais quoi de différent et plus aucun essai ne fonctionne.
Par contre un truc vraiment chiant, c'est de se retrouver avec un logiciel qui ne marche plus, ou de changer de téléphone. Là , on n'est pas dans une flemme de saisir quatre chiffres hein, mais dans une vraie galère.
??? Mais c'est le contraire, je sais bien qu'il y a des vieux qui sont tout à fait capables d'utiliser un téléphone mobile. Mais il y a aussi des tas de gens qui ont du mal avec ces outils. Des systèmes de double authentification nécessitant l'usage d'un téléphone sous Android ou iOS excluent pas mal d'usagers. C'est mal de s'en rendre compte, en fait ? D'ailleurs les banques s'en rendent très bien compte, c'est pour ça qu'elles fournissent des solutions matérielles plus ou moins bien fichues.
Ce qui me surprend, c'est juste le fait qu'elles fournissent justement des solutions matérielles complexes, alors que la grille de codes et le TOTP standard sont par nature accessibles et beaucoup moins coûteuses.
[^] # Re: Tu oublie le plus important
Posté par Zenitram (site web personnel) . Évalué à  1. Dernière modification le 13 juin 2023 à 16:25.
Ca tombe bien, c'est en bonus, en fait il y a un code personnalisé, et tu peux remettre ton empreinte. Fou ça, toi tu y arrives pas alors que tout les autres oui…
Si tu aimes ça, c'est ton choix.
D'autres ont Google/apple Pay sur le tel (si le site n'est pas compatible, ça fait un peu d'autofill quand même, si compatible même rien à faire), et un navigateur stockant les numéros et date de validité (les développeurs veulent pas tout stocker, bon tu dois garder en tête 3 chiffres encore, certes, mais ça fait pas 16) sur leur desktop.
Et c'est trop mignon cette excuse que comme c'est déjà compliqué, 2x plus compliqué c'est acceptable. Non, les gens vont préféré les 1x compliqué sur 2x plus compliqué, ne t'en déplaise.
Tu as mis "les vieux", tous, dans la case "pas de tel".
Je te cites : "dépendent du logiciel bancaire sur téléphone mobile, c'est de la merde. Ça exclut les vieux"
Tu fais le lien. Pas ton idée? Ben va falloir changer pas mal ta façon de présenter, parce que ta phrase dit bien vieux = pas de tel mobile, ce qui est archi faux.
Et pas que des vieux, oui.
Parle d'eux alors, pas des vieux.
tu sais mieux qu'eux, et tu convaincs avec ta prose… Euh, non. Va falloir travailler ton argumentaire, perso quand je le lis je comprend juste du trollage sans aucune envie de convaincre ceux que tu devrais convaincre, que ceux qui aiment la même chose que toi (pas de chance, tous ces gens ne sont pas du tout en responsabilité, et pas la masse non plus).
Passons donc, l'idée n'est pas de faire un bilan objectif et comprendre ce qui pourrait marcher en vrai.
[^] # Re: Tu oublie le plus important
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  4.
Ta banque a eu la présence d'esprit de permettre une validation par code ou empreinte, c'est très bien. Pas la mienne, ou pour être plus précis, avec ma banque, j'ai un choix à faire… une fois pour toute, c'est à dire pour passer en vérification biométrique pour toutes les opérations à venir. Et si ça ne fonctionne plus, la procédure pour revenir à une validation par code est assez pénible.
Non non, c'est plus factuel que ça. Pour rappel, je compare ici les appareils physiques fournissant des codes à usage unique à deux autres moyens d'authentification.
Pour le TOTP : ça ne coûte pas cher, c'est certain, en fait ça ne coûte rien du tout puisque les banques l'utilisent déjà avec les appareils physiques qu'ils proposent en option.
Sérieusement, tu as vraiment un doute sur le fait que la mise en place et la distribution de QR-Code d'initialisation de TOTP par une banque pourrait être plus coûteuse que la mise en place et la distribution d'appareils physiques fournissant des codes à usage unique ?
Pour les grilles de code, c'est un tout petit peu plus subtil, mais pas très compliqué non plus. Il faut juste bien voir qu'avec du TOTP, la banque doit stocker, pour chaque client concerné, le secret associé. Avec des grilles de code, il faut stocker, pour chaque client, la grille de code associée : jusque là , c'est aussi complexe, avec un besoin de stockage de moins d'un kibioctet par client. L'algorithme de validation est trivial, et par conséquent très facile à auditer et peu sujet à une découverte de failles. La distribution de grilles de code elles-même est semblable à celle des appareils physiques, en plus simple (ça peut se distribuer au guicher, ça peut s'envoyer par courrier, etc). Autre chose ?
Sérieusement, tu as vraiment un doute sur le fait que la mise en place et la distribution de grilles de code par une banque pourrait être plus coûteuse que la mise en place et la distribution d'appareils physiques fournissant des codes à usage unique ? Et on prétend que c'est moi qui trolle ?
[^] # Re: Tu oublie le plus important
Posté par flagos . Évalué à  2.
Ben non ca peut pas se distribuer au guichet. C'est confidentiel, donc ca doit arriver a la maison.
J'imagine ca depend des appareils. Ceux que j'avais n’était pas spécifique au client. Il fallait:
L'avantage c'est que les boitiers étaient les memes pour tout le monde. Il ne contenait aucun secret specifique au client. Il suffisait d'aller au guichet et on nous en filait un. Contrairement a une grille qui est forcement personnalisée.
[^] # Re: Tu oublie le plus important
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  3. Dernière modification le 13 juin 2023 à 16:58.
L'un n'exclut pas l'autre. Ça peut être distribué au guichet sous enveloppe, avec juste un numéro de grille à renseigner au banquier ou sur son compte en ligne.
Mais bon, de toute façon, distribuer des trucs par la Poste ou nominativement au guichet, on ne peut pas prétendre que c'est compliqué pour un banque, ils font ça tout le temps, pour les chéquiers, pour les cartes, pour du courrier…
C'est pareil à la Banque Populaire, et c'est ce que je compte demander. J'ignorais que c'était exactement le même boîtier pour tout le monde, mais c'est très intéressant, et certainement très simple en matière de logistique.
Ça sent l'usage de TOTP avec un secret présent sur la carte bancaire, et fourni par cette dernière sous condition de la déverrouiller avec son code secret. Voire même, si ça se trouve, un code de génération TOTP présent sur la carte elle-même, le boîtier ne faisant que le recevoir et l'afficher. J'adore.
# Le plus gros défaut de la grille a mes yeux
Posté par flagos . Évalué à  5. Dernière modification le 13 juin 2023 à 16:12.
Tu t'en as pas parle, mais c'est ou la stocker ?
J'avais une grille avant le passage de la vérification sur smartphone, et ben elle était dans le même portefeuille que la carte bancaire. Elle avait le logo de la banque dessus, comme pour la CB, donc pas trop de doute si un type me volait mon portefeuille. Franchement je pense que 90% des gens faisaient comme moi, trop relou a retrouver sinon.
En vrai, la seule alternative que je trouve pas trop mal au smartphone, c'est le boîtier: tu peux garder ca sur toi, ca se fait pas trop mal. Tu peux même en avoir plusieurs et en laisser au bureau ou ailleurs.
Mais oui sinon, désolé mais le smartphone avec vérification biométrique, c'est pas si mal quand même, quoiqu'en dise DLFP.
[^] # Re: Le plus gros défaut de la grille a mes yeux
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  4.
Dans le portefeuille, avec la carte bancaire en effet. Si tu te fais voler ça :
Comme la grille de code en somme. C'est juste un peu plus lourd, un peu plus encombrant et un peu moins fiable (ça peut tomber en panne ou à cours de pile).
En terme de sécurité, certainement. En terme de fiabilité et de coût de maintenance, c'est très loin derrière le TOTP et les grilles de code.
[^] # Re: Le plus gros défaut de la grille a mes yeux
Posté par flagos . Évalué à  2.
Ah il faut s'authentifier en plus de la grille pour un paiement en ligne ? OK, je me souvenais pas de ca.
[^] # Re: Le plus gros défaut de la grille a mes yeux
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  3.
Ce ne serait pas de la double authentification, sinon !
Et fournir son numéro de carte bancaire plus un code tiré d'une grille, ça n'est pas de la double authentification, puisqu'il s'agit de deux implémentations distinctes du même type de facteur : un objet qu'on possède.
[^] # Re: Le plus gros défaut de la grille a mes yeux
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à  3.
Jusqu'au jour où tu te fais pirater (et c'est possible). Et là tu fais quoi ? Tu te fais greffer des doigts, des yeux ?
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Le plus gros défaut de la grille a mes yeux
Posté par flagos . Évalué à  4. Dernière modification le 13 juin 2023 à 17:36.
Je me fais pirater quoi ? Mon téléphone ?
Ah mais non, les données biométriques sont conserves sous forme de signature dans une enclave hardware securisee (une TEE selon le vocabulaire android si je ne raconte pas nimp), qui ne fait que dire "Da" ou "Niet" a l'OS. Ce ne sont pas des données qui se baladent sur le web.
Un joli graphique pour un peu plus de sources: https://source.android.com/docs/security/features/biometric?hl=fr
[^] # Re: Le plus gros défaut de la grille a mes yeux
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  3.
Tes empreintes.
Pourquoi pas. Ça doit pouvoir se faire, un truc pour intercepter ce qui sort du lecteur d'empreinte avant d'arriver… là où ça doit arriver, peu importe où c'est. Bon, c'est un genre d'attaque très, très technique, c'est sûr.
En tout cas, personnellement, je ne remets pas trop en cause la sécurité de l'authentification par empreinte digitale combinée au déverrouillage d'un secret envoyé à la banque pour validation. Ou mieux, d'une clef secrète utilisée pour signer un défi fourni par la banque et le renvoyer pour vérification.
C'est plutôt la fiabilité générale d'un logiciel sur téléphone mobile que je critique. Ça a beaucoup trop d'occasions de tomber en panne, comparer ça ce qui se fait de plus robuste.
[^] # Re: Le plus gros défaut de la grille a mes yeux
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à  4.
Le problème de la biométrie c'est que tu ne maîtrises rien : si tu changes (coupure par exemple), si quelqu'un te pirate tes empreintes, c'est fichu.
Moi j'aime bien les mots de passe pour ça : ça se change.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Le plus gros défaut de la grille a mes yeux
Posté par mahikeulbody . Évalué à  3.
Oui en général mais pas dans le cas du téléphone (cf. explication de flagos ci-dessus).
[^] # Re: Le plus gros défaut de la grille a mes yeux
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à  3.
Il n'y a pas que le problème des données ! Il y a le problème physique !
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Le plus gros défaut de la grille a mes yeux
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  7. Dernière modification le 13 juin 2023 à 18:00.
Pour être plus explicite : des empreintes, c'est comme un mot de passe, ça se vole très bien. Encore plus facilement d'ailleurs.
Et des empreintes, c'est comme un mot de passe, en cas de vol, ça se change. Euh, non, en fait. En cas de vol, c'est juste foutu pour la vie.
[^] # Re: Le plus gros défaut de la grille a mes yeux
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à  2.
VoilĂ :-)
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Le plus gros défaut de la grille a mes yeux
Posté par gUI (Mastodon) . Évalué à  4.
On a des exemples de gens qui ont joué à se copier les empreintes et à déverrouiller un smartphone avec ?
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Le plus gros défaut de la grille a mes yeux
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à  4.
Oui ! J'ai vu passer des méthodes pour piquer des empreintes sur des Iphone il y a quelques années. J'ai vu aussi passer un article sur une femme que son téléphone ne reconnaissait plus après une intervention de chirurgie esthétique.
Et je ne vois toujours pas comment on peut reconnaître une empreinte cachée par un pansement !
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Le plus gros défaut de la grille a mes yeux
Posté par mahikeulbody . Évalué à  3.
On peut toujours utiliser le code PIN, l'utilisation de l'empreinte est optionnelle, elle ne substitue jamais au code PIN. Le jour oĂą tu as ton pansement, tu tapes ton code PIN, c'est tout.
[^] # Re: Le plus gros défaut de la grille a mes yeux
Posté par gUI (Mastodon) . Évalué à  3. Dernière modification le 13 juin 2023 à 19:02.
Ne serait-ce qu'avec les doigts mouillés, en tous cas sur le mien. L'empreinte n'est qu'un "raccourcis" mais n'est jamais obligatoire.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Le plus gros défaut de la grille a mes yeux
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à  3.
Sur les Iphone aussi ?
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Le plus gros défaut de la grille a mes yeux
Posté par mahikeulbody . Évalué à  4.
Je n'arrive pas à comprendre ce qui est foutu "pour la vie" dans le cas de son utilisation comme moyen d'authentification sur un téléphone. Le vol d'un moyen d'identification biométrique est un vrai problème mais il concerne tout le monde (piratage d'une base de données de l'État, par exemple). Si un jour, mes empreintes sont dans la nature et qu'on peut tromper un téléphone avec, j'arrêterai d'utiliser cette méthode sur mon téléphone. Mais pourquoi se priver de l'utiliser tant que ce jour n'est pas arrivé ?
[^] # Re: Le plus gros défaut de la grille a mes yeux
Posté par Zenitram (site web personnel) . Évalué à  3. Dernière modification le 13 juin 2023 à 18:06.
une coupure ne change pas le test, qui accepte des changements.
tu peux refaire l'empreinte.
Tu es une personne tellement importante… Ou pas.
Dans la vraie vie, le sujet est ailleurs, il est sur la sécurité adaptée au risque.
Et en pratique, ceux sur qui ça tombe quand ça merde considèrent que c'est une sécurité suffisante.
Rappelons que pour qu'un méchant réussisse, il faut qu'il ai ton smartphone en plus d'une copie de tes empreintes. Pas que tes empreintes.
Faudrait un jour arrêter de se croire plus intelligent que ceux en charge (il y a des critiques, surtout sur les minorités car pas leur priorité, il y a des erreurs de design, mais la vous critiquez un truc qui marche sur des millions de personnes).
Et c'est bien le gros soucis du journal aussi, il ne prend pas en compte des éléments importants comme l'utilisabilité.
Et ça n'a rien de nouveau comme problème, nombre de projets "super" techniquement se vautrent car oublient le plus important (non, ce n'est pas la technique).
Vous pouvez continuer Ă fantasmer sur l'importance que vous avez pour les voleurs, sur votre intelligence mieux que les autres, en attendant le monde avance (sans vous mais il s'en fout complet, il y a assez de monde qui avance).
[^] # Re: Le plus gros défaut de la grille a mes yeux
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  6.
Non mais sérieusement, l'utilisabilité. La seule utilisabilité qui a un sens, c'est celle qui fait passer les clients à la concurrence quand c'est pénible à utiliser. Ou qui, au contraire, fait venir les clients tellement c'est mieux qu'ailleurs.
Et donc, pour rappel, on est sur un sujet où le changement de fournisseur, c'est à dire le changement de banque, est un acte assez coûteux. Oui, je sais, c'est facilité par les services obligatoires de mobilité bancaire. Je le sais d'autant mieux que j'ai changé quatre fois de banque en quinze ans, la dernière fois étant il y a un peu plus d'un an, donc j'ai une vue assez récente de ce genre de procédure. Et je peux vous dire que c'est loin d'être trivial, il y aura toujours un acteur incapable de prendre en compte la demande de changement de compte.
Bref, sur ce sujet, en tant que public de DLFP, je pense que nous sommes assez motivés pour pouvoir, sur un motif assez sérieux, engager la démarche de changer de banque. Or justement, nous sommes assez nombreux a avoir rapporté ici même de sérieux soucis d'utilisabilité. Et à être restés dans la même banque, malgré ces problèmes.
Alors imaginer que la pénibilité de saisir quatre chiffres est assez significative pour qu'une banque perdre des clients à cause de ça, franchement, c'est prendre les gens pour plus fainéants (pour taper des chiffres) et plus motivés (pour changer de banque) qu'ils ne le sont.
En parallèle, les mêmes banques appliquent parfois des trucs comme une temporisation après ajout d'un bénéficiaire de virement avant de pouvoir lui envoyer de l'argent. Le truc parfait pour oublier de passer l'ordre de virement trois jours après. Et pourtant, ça ne décourage pas les clients, qui ne changent pas de banque malgré un truc aussi casse-pied. Alors les quatre chiffres à saisir, à d'autres, c'est bidon comme motif pour ne pas mettre en place un système d'authentification un minimum accessible (comprendre : pas réservé à ceux qui ont un téléphone sous iOS ou Android non modifié).
[^] # Re: Le plus gros défaut de la grille a mes yeux
Posté par fearan . Évalué à  3.
je ne vois pas ce qui, sur un téléphone piraté, empêche de remplacer la couche androidx.biometric.BiometricPrompt
Donc en fait c'est pas Da ou Niet, c'est oui avec une preuve qu'on a bien accédé au keystore protégé par la biométrie, ou le déchiffrement d'un fichier ou autre. Mais clairement c'est pas juste oui/non.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
# Correction
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  4.
Merci Zenitram pour m'avoir fait prendre conscience du caractère insultant d'une de mes phrases. Si un modérateur passe par ici, j'aimerais bien corriger ceci :
En :
[^] # Re: Correction
Posté par flagos . Évalué à  7.
Je suis vraiment le seul qui attend une blague sur l'exclusion des manchots ?
[^] # Re: Correction
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à  3.
Corrigé, merci.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Correction
Posté par Zenitram (site web personnel) . Évalué à  0. Dernière modification le 13 juin 2023 à 17:26.
tu adaptes un peu pour adoucir, mais en pratique tu tapes toujours sur les vieux, tu dis toujours la mĂŞme chose dans le fond.
Une phrase sans taper sur les vieux, c'est par exemple : "Ça exclut ceux qui ont du mal avec les téléphones tactiles." Point. Rien d'autre.
Les vieux et les handicapés sont pas plus cons que des jeunes valides, seuls les "vieux qui ont du mal avec les téléphones tactiles" ont du mal avec les téléphones tactiles, pas plus, pas moins.
Pour les handicapés, je ne vois pas en quoi les handicapés moteur ont le moindre truc différent pour gérer une app bancaire.
en fait, tu profites de statistiques pas bonnes sur les vieux pour les mettre tous dans le mĂŞme sac.
Avant, on mettait les homos dans le sac "baiseurs à fond donc pas de don du sang", on a arrêté la connerie et les homos monogames sont considérés comme les hétéros monogames car même risque, l'homosexualité n'était pas le critère.
Et encore maintenant, les étrangers sont des voleurs, ça marche encore pour certains.
si tu veux donner des exemples, fait-le sans mettre un groupe dans un sac alors que ce groupe n'a rien Ă voir avec le sujet, parle du sujet.
[^] # Re: Correction
Posté par jtremesay (site web personnel) . Évalué à  3.
Personnes en situation de handicap.
L’handicap ne provient pas de leurs spécificités physiques ou malades, mais du fait que la société n’est pas adapté à leurs besoins.
[^] # Re: Correction
Posté par Zenitram (site web personnel) . Évalué à  2. Dernière modification le 13 juin 2023 à 17:52.
Sur ce mot, je me fais encore surprendre à l'utiliser (et pourtant l'OP ne l'utilisait pas directement, je ne peux même pas me défausser sur lui).
Et en l'occurrence, il faudrait préciser de quelle situation on parle (une compatible avec besoin de rentrer un numéro de CB sans pouvoir utiliser l'app pour confirmer)
[^] # Re: Correction
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  5. Dernière modification le 13 juin 2023 à 18:03.
Certes, mais j'ai quand même des doutes. Ces derniers temps, on entend souvent la formulation « personne porteuse de handicap ». Ça sonne très correct, mais ça me semble avoir exactement le même sens que « personne handicapée » : la personne a un handicap rattaché à son corps.
Et deuxième doute, dans un environnement correctement adapté, par exemple, pour les handicaps moteurs, dans une ville avec des plans inclinés, des rampes, des ascenseurs partout où il faut monter et descendre, et avec des gens qui réagissent de façon appropriée, dirais-tu d'une personne en fauteuil qu'elle n'est pas en situation de handicap ? Si oui, très bien, sinon, il va falloir réviser l'idée que le handicap vient de la non adaptation de la société.
Personnellement, vous allez peut-être trouver ça encore pire, mais j'ai tendance à utiliser le terme d'invalide, tout simplement parce que c'est le contraire de valide qui est le contraire de handicapé, et que c'est aussi un terme utilisé officiellement. Donc ne comprenant pas bien les enjeux terminologiques, en l'utilisant je suis sûr de ne pas me tromper plus que la rédaction de pas mal de trucs officiels eux-mêmes.
[^] # Re: Correction
Posté par jtremesay (site web personnel) . Évalué à  3.
Par la suite, je vais utiliser la définition de handicap selon La loi pour l’égalité des droits et des chances, la participation et la citoyenneté des personnes handicapées du 11 février 2005 :
« Constitue un Handicap, toute limitation d'activité ou restriction de participation à la vie en société subie dans son environnement par une personne en raison d’une altération substantielle, durable ou définitive d’une ou plusieurs fonctions physiques, sensorielles, mentales, cognitives ou psychiques, d'un polyhandicap ou d'un trouble de santé invalidant. »
La définition insiste bien sur le fait que le handicap n'est pas rattaché à la personne ou à son corps (qualité intrinsèque) mais une conséquence des limitations de son environnement (qualité extrinsèque).
Le changement sémantique permet d'induire une amélioration position de la vision de ses personnes (l'écriture inclusive ne passe pas que par cette horreur de point médian). On passe de "elles sont handicapées, c'est triste, faudrait peut-être faire quelchose pour eux" à "elles sont en situation de handicap, c'est révoltant, il faut faire la révolution communiste libertaire et vivre dans la société que le camarade Kropot nous a proposé !"
Oui, je pense que dans une société suffisamment adaptée à chacun, il n'y aurait plus ou peu de personne en situation de handicap. Mais je suis un doux rêveur
Je vais essayer d'émettre une série d'arguments et d'expériences de pensée pour illustrer cette idée.
Déjà , prenons mon cas. Je commence à avoir une vue de merde. J'en suis handicapé. Mais depuis que je me suis enfin motivé à aller chez l’ophtalmo, je vois suffisamment bien pour ne plus être impacté.
Maintenant, imagine quelqu'un qui a perdu une jambe. Y'en a un à la salle de grimpe. Malgré sa jambe de bois, il grimpe bien mieux que moi. Ouais, le mec a eu un accident de vie. Mais malgré ça, y'a rien qui justifie de l'appeler handicapé. Il a trouvé un moyen de supprimer ce qui le mettait dans sa situation de handicap et maintenant c'est juste un Camille comme toi ou moi.
Du coup, pour le fauteuil roulant ou autre, même principe. Si on trouve le moyen de supprimer tout ce qui les met en situation de handicap, ça ne serait plus des handicapés. Ça sera juste des gens qui profitent pleinement de la vie. Ouais, ils ne pourront probablement pas gagner la médaille d'or au saut en hauteur. Mais tu sais quoi ? Moi non plus.
Maintenant, prend Gandalf. Ses exploits nous montre qu'il n'est pas handicapé. Pourtant, chaque fois qu'il est dans un trou de Hobbit dans la Conté, avec son 1m80, il est en situation de handicap. Si il devait passer le restant de ses jours là bas, il souffrait comme souffre une personne en fauteuil dans notre société actuelle. Mais dans un autre contexte, il va bien et déchire du poney. La notion de handicap est relative à une situation, pas à la personne.
Le Nexus VI file la métaphore là avec des extra-terrestres qui devraient cohabiter avec nous.
Et lĂ y'a
CamilleCasey Reeves qui explique comment GTK4 et Wayland handicap son usage de l'outil informatique là où avant il pouvait moulait sur le bouchot comme toi et moi.Alors en fait, invalide est la qualification administrative des Camilles dont la capacité à se faire exploiter par le capital est entravé par leur situation de handicap.
"Invalidité: Une maladie ou un accident d'origine non professionnelle peut entraîner une réduction de la capacité de travail. Pour compenser la perte de salaire, des allocations existent pour les salariés du secteur privé comme pour les agents de la fonction publique."
Je n'invente rien.
Tout ça pour dire que "personne en situation de handicap" plutôt que "personne handicapé" c'est juste un upgrade sémantique afin qu'on arrête de les voir comme les handicapés qu'ils ne sont pas.
[^] # Re: Correction
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  3.
Merci pour les explications, c'est très intéressant. Mais c'est quoi le truc avec le prénom Camille au juste ? C'est pratique comme prénom, c'est épicène, mais au point de l'utiliser comme synonyme de « gens », tout de même…
[^] # Re: Correction
Posté par jtremesay (site web personnel) . Évalué à  3.
parce que hier soir j’étais en mode militant d’extreme gauche
https://www.ouest-france.fr/leditiondusoir/2018-04-12/pourquoi-les-zadistes-se-font-tous-appeler-camille-7bb8f26f-9686-4418-b4aa-127765f32225
[^] # Re: Correction
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  4.
Je viens seulement de me rendre compte d'une subtilité. Le fait de considérer que le handicap vient de la non-adaptation de l'environnement et de la société, c'est très bien. Mais ça ne plaide pas spécialement pour une tournure comme « en situation de handicap » : « personne handicapée », c'est déjà très bien !
Une personne handicapée, c'est comme une personne discriminée, une personne ignorée, maltraitée ou ce qu'on veut : c'est quelqu'un qui subit un problème. On ne parle pas de personne en situation de discrimination, n'est-ce pas ?
S'il y a bien un terme que j'évite déjà , c'est de parler d'un handicapé, ce qui pour le coup le réduit pas mal à son handicap.
[^] # Re: Correction
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  3.
L'intelligence n'a rien à voir là -dedans. Ça tombe bien, je n'ai rien prétendu de tel.
Cette phrase n'est pas très claire, mais si tu veux dire que tu ne vois pas en quoi un handicap moteur est un obstacle pour utiliser un téléphone tactile, je ne peux rien pour toi. Des personnes avec un handicap moteur, j'en ai vu plein, et il y en a beaucoup pour qui l'utilisation d'un écran tactile est tout à fait impossible. Alors que l'utilisation d'un clavier à grosses touches peut être possible, ça dépend du niveau de motricité fine.
Ben non, justement, d'où la correction. Tu noteras l'article indéfini dans la précision : « en particulier des personnes âgées ». Des personnes âgées, pas toutes. Et pas seulement des personnes âgées. C'est mal, de penser à nos aînés lorsqu'on voit des systèmes qui semblent ne pas être très accessibles ?
Tu peux affirmer quelque chose comme « les passages piétons sont assez peu respectés, en particulier par des automobilistes et par des cyclistes » sans que je me vexe. Pourtant, je suis à la fois automobiliste et cycliste, mais je ne me sentirai pas concerné, même si je suis souvent cycliste et parfois automobiliste. En revanche, utilise le pronom démonstratif et je réagirai immédiatement pour faire remarquer que certains automobilistes et certains cyclistes s'arrêtent comme ils le doivent pour laisser passer les piétons.
Allez, je vais en ajouter un peu pour le troll. Pour avoir récemment pris plusieurs trains grande ligne, je constate que, avant de monter dans un train OuiGo, on croise un nombre impressionnant de fumeurs sur le quai, bien plus qu'avec les trains inOui. J'en généralise directement une chose : sur OuiGo, il y a plus de fumeurs irrespectueux que sur inOui. Et pour aller plus loin, j'ai envie d'en déduire que, chez les gens pas trop riches, il y a plus de fumeurs sans-gêne que chez les gens plus aisés. C'est à mettre en parallèle avec le fait que la pauvreté rend fumeur et que le tabagisme appauvrit, un constat assez classique. Ça fait mal, ce genre de constat, ou bien ?
# comment se passe la sélection du parcours ?
Posté par mahikeulbody . Évalué à  2.
Comment la banque choisit-elle un parcours ou l'autre (validation via l'appli ou validation via 3D Secure) ? Je n'ai pas fait de transaction Internet depuis un bout de temps mais il me semble qu'on ne me propose que le parcours "validation via l'appli". J'en arrive à imaginer que la banque interroge le smartphone référencé dans leur base et s'il ne répond pas (appli non installée ou pas de data), la banque switche sur 3D Secure. Vous pensez que c'est comme ça que ça marche ?
(si c'est le cas, ça implique que l'appli bancaire tourne en background en tant que service)
[^] # Re: comment se passe la sélection du parcours ?
Posté par Boa Treize (site web personnel) . Évalué à  2.
De ce que je comprends, la validation par l'appli c'est aussi du 3D Secure.
Chez Fortuneo, si tu as installé l'appli mobile, alors ça passe forcément par l'appli, sinon c'est code SMS + mot de passe à saisir dans une IHM web 3D Secure.
Le fait d'utiliser 3D Secure dépend du marchand. (Et il y a peut-être plusieurs niveaux de 3D Secure ? Dans certains cas rares j'ai des vérifications de faible sécurité, genre date de naissance.)
# Validation par appel téléphonique
Posté par Boa Treize (site web personnel) . Évalué à  3. Dernière modification le 13 juin 2023 à 21:39.
C'est plus rare, mais je l'ai eu dans quelques Ă©tablissements financiers et pour des signatures Ă©lectroniques.
Clic sur le site pour déclencher la procédure, dans la foulée tu reçois un appel téléphonique automatisé, qui te dicte un code à saisir sur le site.
J'ai un vague souvenir d'avoir eu l'inverse, le site qui affiche un code à saisir sur un serveur vocal, mais ça date de pas mal d'années maintenant.
# Au delĂ de la france
Posté par Antoine Catton (site web personnel) . Évalué à  3.
L'authentification à deux facteurs était obligatoire en Allemagne avant la directive européenne sur les service de paiement. (Connue sous le nom PSD2 en dehors de la France) La directive mit les autres pays européens, y compris la France, au pas.
L'Allemagne avant la PSD2 Ă©tait au taquet en terme d'authentification multi-factorielle low-tech.
Les principales, ce que tu as déjà cité:
Oui, le « photoTAN » C'est un boîtier qui génère un code après avoir lu un code-barre 2D dynamique sur ton écran. Tu le colle à l'écran et il lit le code-barre 2D coloré sur ton écran d'ordinateur, et génère un code. De ce que j'ai compris, ça repose sur un système de chiffrement publique/privé.
Maintenant, c'est fait par un application sur smartphone, mais à l'époque c'était fait avec un boîtier à 30€ comme celui ci que tu peux toujours acheter.
Cette vidéo, dans la langue de Goethe, montre comment ça marche et à quoi ressemble le photoTAN. Pas besoin de parler la langue, les images d'illustration devraient être compréhensible.
# Ma banque est moderne
Posté par cg . Évalué à  5.
Ici, simplement les mêmes méthodes et outils que pour le reste des sites un peu sérieux : mot de passe de compte généré par bitwarden, Yubikey/FIDO2 comme second facteur reconnu nativement par le portail client de la banque (avec le NFC sur mobile c'est très cool), et TOTP possible. Du coup pas besoin d'application spécifique, et ça fonctionne partout !
Et ma banque, c'est… Noooooon je déconne :). Les codes font 6 chiffres, le MFA du paiement c'est un SMS (pas de smartphone pour moi) et un code à 4 chiffres dans ma tête, et impossible d'utiliser un gestionnaire de mot de passe même pour entrer le login. Le top.
# Le pourquoi du comment
Posté par Aeris (site web personnel) . Évalué à  8. Dernière modification le 14 juin 2023 à 00:15.
La raison est très simple et fait que beaucoup (sinon tous) des moyens listés sont juste… illégaux ?
DSP2 impose une 2FA contextuelle, aka qu’il soit impossible de procéder à un MITM par un site de phishing ou de drop shipping (l’objectif est que tu puisses être certain du montant et du destinataire de la transaction et que tu ne vas pas filer une 2FA qui va en vrai te débiter 2000€ chez un revendeur chinois obscur au lieu de 2€ chez Ebay).
Le moyen de 2FA doit afficher obligatoirement le montant et le destinataire à côté de l’OTP de manière à ce que l’utilisateur ne puisse pas les ignorer. Il est réputé les avoir vérifier avant de communiquer l’OTP.
Tous les moyens offline sont donc de facto illicites.
C’est aussi ça qui « oblige » les banques à des applis mobiles (nécessiter d’accès à internet pour récupérer l’info contextuelle) et à imposer la vérification du root (appli pas officielle = plus de garantie de l’affichage du contexte à côté de la 2FA ou modification possible des données.
Les boîtiers dédiés coûtent trop chers vu la nécessité de connectivité et d’affichage, de perte, de casse, etc. D’où le passage au tout mobile.
[^] # Re: Le pourquoi du comment
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  4.
Ben non. Le formulaire dans lequel on rentre un OTP est une page de la banque, qui précise justement le montant et le commerçant.
Ils mettent parfois ça dans une iframe, ce qui empêche de vérifier que c'est bien notre banque, mais ça, c'est juste un choix technique débile, pas une nécessité.
[^] # Re: Le pourquoi du comment
Posté par flagos . Évalué à  3.
Ca ne te dit pas dans quel contexte ce token a été généré.
[^] # Re: Le pourquoi du comment
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  3.
Je ne comprends pas.
[^] # Re: Le pourquoi du comment
Posté par flagos . Évalué à  4. Dernière modification le 14 juin 2023 à 14:40.
Dans le code de vérification pousse par la banque, tu as directement toutes les infos qui te permettent de valider la transaction. C'est self contained, le token vient dans un contexte explicite.
Si tu dois aller sur le site de la banque pour savoir ce que ton token valide, ben c'est une vraie baisse de confiance. L'utilisateur a pu notamment etre victime de phishing et avoir un site qui ressemble trait pour trait a sa vraie banque.
Quand c'est l'app officielle de ta banque qui t'envoie une notification avec le montant et le destinataire sans devoir a aller ici ou la bas pour recuperer les infos, ca limite enormement les possibilités de se faire truander.
[^] # Re: Le pourquoi du comment
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  4.
Je comprends.
Mais le paiement avec une redirection vers le site de la banque pour confirmation permet aussi bien de vérifier que la transaction est bien du montant attendu, vers le bon marchand, et qu'on est bien en train de valider avec la banque et non avec un intercepteur.
L'argument selon lequel l'application bancaire serait le seul moyen pour l'utilisateur de vérifier que le paiement est bien conforme à ce qu'il attend est juste faux. C'est un choix de la banque, mais certainement pas la seule option disponible.
[^] # Re: Le pourquoi du comment
Posté par Aeris (site web personnel) . Évalué à  3.
Ce n’est pas légal actuellement.
L’info doit bien être présente à côté de l’OTP et non sur la page de saisie (qui peut venir effectivement de n’importe où et n’est donc pas réputée contractuelle).
L’info de contexte doit être routée « out of band » par ta banque directement à toi et ne peut pas venir du site du vendeur (qui peut injecter ce qu’il veut où il veut).
[^] # Re: Le pourquoi du comment
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  3.
Ça, je vais vite le vérifier, parce que je vais justement demander un appareil physique comme ça et voir ce que ça donne.
Ce qui est clair vu la description qu'ils en donnent, c'est que cet appareil n'intègre pas de carte SIM et d'abonnement qui va avec, ou de carte wifi ou quoi que ce soit qui lui permette d'avoir une connexion avec la banque. Ça a l'air d'un appareil autonome, parfaitement incapable d'afficher la moindre information en provenance de la banque. Et c'est censé pouvoir servir pour les achats en ligne avec 3-D Secure.
Par ailleurs, j'ai un sérieux doute sur ce qu'impose le DSP2 et dans quel cas : pour rappel, les achats sans 3-D Secure, ça existe toujours, c'est même très répandu (allez, au hasard, pour l'achat de timbres en ligne chez la Poste, qui demande simplement le numéro de carte, la date d'expiration et le code de sécurité, à l'ancienne), donc probablement pas du tout illégal. On peut donc en déduire que le fait de permettre un paiement en ligne sans dispositif séparé permettant au client de valider l'achat en connaissant le montant et le marchant n'a rien d'illégal.
Donc « les banques ne peuvent pas utiliser du TOTP simple parce que c'est illégal », je ne pense pas que ce soit vrai, en tout cas pas de façon aussi simpliste.
[^] # Re: Le pourquoi du comment
Posté par Aeris (site web personnel) . Évalué à  4.
Les banques s’en cognent actuellement de la légalité malheureusement (ou heureusement selon certains). Les SMS OTP auraient du être éradiqué du marché depuis déjà 5 ans.
https://www.eba.europa.eu/single-rule-book-qa/-/qna/view/publicId/2018_4039
Les banques ne le font pas parce qu’elles sont empêtrées justement dans le bourbier technologique qu’elles ont elles-mêmes demandé (et pour une mauvaise raison : miner le terrain lors de l’arrivée des agrégateurs bancaires).
3DS est actuellement « facultatif » au sens où un commerçant peut effectivement décider de ne pas demander de 3DS. Il endosse alors 100% de la responsabilité de la fraude et a obligation de rembourser le client à la moindre contestation.
Toutes les banques ne l’autorisent pas, et l’acceptation du paiement est conditionné à ce que la banque du porteur lui permet (si tu fais une demande sans 3DS sur une carte 3DS only, ton paiement sera rejeté en code A1 Repli VADS https://doc-api.centralpay.net/les-codes-de-retour-d-autorisation-bancaire).
Le droit de faire de la transaction sans 3DS dépend de négociation avec ta banque, de si tu as un faible taux de contestation, de ton volume de vente, etc. Tout le monde n’a pas le droit de le faire.
[^] # Re: Le pourquoi du comment
Posté par Glandos . Évalué à  3.
Oui, et chez Boursorama, ils ont résolu ça de la bonne manière (attention, adjectif non-objectif).
L'iframe 3D-Secure dit simplement « Allez sur votre espace bancaire ». Je reçois quand même un SMS avec le lien pour me connecter. Quand je vais sur clients.boursorama.com, le premier écran c'est la transaction en attente de validation. Avec : le montant, le motif, le marchand. Je peux la valider, et le site va me demander d'autres facteurs d'authentification, mais directement sur l'espace en ligne de la banque.
La confiance est maximale, pour un paiement en carte bancaire.
[^] # Re: Le pourquoi du comment
Posté par flagos . Évalué à  2.
C'est moi ou ca n'a fait que repousser le problème a cette étape ? Comment se passe cette étape ? Tu l'installes l'app sur ton téléphone et tu valides biometriquement a chaque login ?
[^] # Re: Le pourquoi du comment
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  4. Dernière modification le 14 juin 2023 à 14:21.
Tu rentres ton mot de passe bancaire ordinaire, puis le code reçu par SMS. Mais ça marcherait aussi bien avec n'importe quel second facteur potentiellement indépendant d'un téléphone, genre un TOTP ou une grille de codes.
[^] # Re: Le pourquoi du comment
Posté par Glandos . Évalué à  3.
Sauf que à partir de là , le contexte est donné. On peut utiliser n'importe quel autre moyen de facteur d'authentification, et ça marche.
En l'occurrence, c'est souvent code par courriel ou SMS. Parfois les deux. Donc avec mon identifiant d'espace client, ça fait triple authentification. C'est bourrin…
Mais au moins je n'ai pas Ă rentrer d'informations dans une iframe Ă l'URI louche.
[^] # Re: Le pourquoi du comment
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  4.
Bon, euh, le problème des iframe, ça vient des banques. Ça pourrait facilement être interdit, il suffit d'ajouter un en-tête HTTP pour interdire l'intégration d'une page dans un cadre ou dans un cadre flottant.
Il est ahurissant que cette pratique ait été tolérée au départ, mais ça peut très bien se résoudre, c'est juste une question de volonté de la part des banques et des intermédiaires de paiement. Et la volonté, ça se fabrique très bien à coup de règlement européen.
[^] # Re: Le pourquoi du comment
Posté par Aeris (site web personnel) . Évalué à  5. Dernière modification le 14 juin 2023 à 23:53.
Les iframes sont là parce que la page de départ n’a PAS LE DROIT d’avoir accès aux données de cette iframe. C’est un niveau d’isolation qui te permet par exemple de saisir ton n° de CB sur une infrastructure PCI-DSS (c’est obligatoire) alors que le site de ton marchand est un vulgaire prestashop moisi avec 36 failles de sécurité et en PHP-mutu sur une infra virtualisée.
Seuls les gros comptes marchands sont eux-même habilités PCI-DSS et peuvent du coup manipuler les données bancaires (n° de CB, date d’expiration et CVV).
Le problème est même double dans le cas de 3DS, parce que ce n’est pas l’interface de la banque ou du PSP du marchand qui doit s’ouvrir, mais celle de la banque du porteur, pour validation de la 2FA.
Du coup tu as site marchand -> banque/PSPÂ du marchand -> banque/PSPÂ du porteur en cascade.
C’est une solution loin d’être parfaitement étanche (un site pété pourrait faire de la merde avec ses iframes) mais dans le cas nominal, le site marchand n’a du coup pas accès aux données de CB du porteur et le PSP du marchand pas accès aux données 2FA DSP2 du porteur.
[^] # Re: Le pourquoi du comment
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  5. Dernière modification le 15 juin 2023 à 10:20.
Les alternatives à l'iframe ne se résument pas à avoir un site marchand qui demande tout et fait lui-même des requêtes à un prestataire de paiement hein.
Il y a aussi une dernière alternative, la seule qui tient la route à mon avis : rediriger le client vers le prestataire de paiement, qui une fois le paiement effectué redirige le client vers le site marchand avec des paramètres qui permettent à ce dernier de vérifier que le paiement a été effectué.
Avec un iframe, c'est juste pareil en terme de fonctionnalité sauf qu'en plus on s'assure que le client n'a aucun moyen de vérifier qui est le prestataire de paiement et si la frame de confirmation de paiement est bien celle de sa banque plutôt qu'un phishing. C'est pour cela que je suis sidéré que les banques permettent cela.
[^] # Re: Le pourquoi du comment
Posté par Aeris (site web personnel) . Évalué à  3. Dernière modification le 15 juin 2023 à 22:50.
En fait c’est très souvent refusé par le marchand et pour une bonne/mauvaise raison : ça casse complètement son tunnel de paiement (« mes stats d’audience !!!! ») et ça conduit à une très mauvaise intégration sur le site web.
Tu passes successivement sur 3 sites avec des rendus différents, site marchand, site psp pour les données bancaires, site banque porteur pour le 3DS et re site marchand à la fin, avec 3 expériences utilisateurs difféntes et 3 thèmes différents.
C’est refusé par la très très très très grande majorité des sites marchands pour tout un tas de raisons bonnes ou mauvaises. Au moindre problème tu ne reviens pas facilement sur le site marchand par exemple, tu ne peux plus facilement modifier ton panier au tout dernier moment, c’est difficile de te placer des produits « supplémentaires » en cours de funnel, etc.
À #taff, on ne propose principalement que de l’intégration par redirection, et on se fait taper dessus en permanence par les marchands qui veulent de l’intégration iframe voire carrément des frameworks JS d’intégration (« seamless UX », avec juste des champs de formulaires iframisés pour une intégration parfaite avec l’écosystème du marchand)
[^] # Re: Le pourquoi du comment
Posté par Glandos . Évalué à  5.
En tant qu'utilisateur de uMatrix, cette version est la pire de toutes. C'est l'enfer sur Terre. Que ces clients soient damnés pour l'éternité. C'est une blague, évidemment, mais niveau contrôle des ressources exécutées sur le client, c'est « Ferme les yeux et fais-moi confiance ».
[^] # Re: Le pourquoi du comment
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  5.
Aucune importance, ce genre de cas, c'est super facile à gérer par les acteurs en position de force (les banques, les intermédiaires de paiement et les législateurs) : il suffit d'imposer la bonne solution. Les marchands peuvent s'adapter, et s'ils râlent il suffit de les laisser râler, le monde continuera à tourner.
Je trouve ahurissant que les banques acceptent l'intégration de leurs systèmes de paiement par iframe, et le fait que les marchands le demandent n'explique rien du tout. En matière de paiement en ligne, les demandes de la sécurité informatique devraient être considérées comme des ordres non négociables, prioritaires sur tout le reste.
[^] # Re: Le pourquoi du comment
Posté par mahikeulbody . Évalué à  3.
Il faudrait pour ça que les banques se mettent d'accord entre elles. Faute de quoi, comme on est dans un système concurrentiel, chaque banque essaie d'avoir le maximum de marchands chez elle pour leurs paiements et accepte leurs demandes tant que le risque leur paraît acceptable. Du coup, la seule solution, c'est au niveau du législateur.
[^] # Re: Le pourquoi du comment
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  3.
Pas forcément, on a un précédent avec 3-D Secure.
[^] # Re: Le pourquoi du comment
Posté par mahikeulbody . Évalué à  3. Dernière modification le 19 juin 2023 à 10:48.
J'ai dit "tant que le risque leur paraît acceptable". La situation avant 3D Secure n'était probablement pas acceptable pour eux en termes de coût de la fraude. Là , on parle d'un risque beaucoup plus faible (il faut que le site "marchand" soit véreux ou ait été compromis) et qu'en plus il trouve par un autre moyen le login correspondant au mot de passe saisi. Bref, ça reste inacceptable de notre point de vue mais peut-être pas assez pour leur faire prendre le risque de voir des marchands passer à la concurrence ou les motiver pour se mettre d'accord entre eux sur la définition d'une solution commune.
[^] # Re: Le pourquoi du comment
Posté par Glandos . Évalué à  3.
Il me semble que 3D-Secure a été forcé par Visa/Mastercard, et non pas par les banques.
[^] # Re: Le pourquoi du comment
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  3.
Certes, n'empêche que le changement peut être imposé par d'autres acteurs que le parlement européen.
[^] # Re: Le pourquoi du comment
Posté par Aeris (site web personnel) . Évalué à  1.
Justement. L’iframe est là pour ça.
Il ne faut SURTOUT PAS que ton n° de CB se retrouve sur une page sous le contrôle du marchand à un moment donné, parce que le marchand n’est pas certifié ACPR ni audité PCI/DSS.
Sans iframe, le marchand aurait accès à ton n° de CB puisque le formulaire serait de son côté et qu’il devrait a minima le transmettre ensuite au PSP.
L’iframe te permet de saisir l’information sur un domaine contrôlé par le PSP et non par le marchand, et donc te garantie un environnement certifié PCI/DSS (le PSP dispose d’un agrément ACPR et est audité PCI/DSS chaque année).
[^] # Re: Le pourquoi du comment
Posté par flavien75 . Évalué à  4.
Pas besoin d'une iframe pour ça, il suffit d'ouvrir directement la page de la banque (et de lui fournir dans les données POST un lien pour revenir à la boutique).
Par contre avec une iframe, le client n'a pas de moyen simple de vérifier chez qui il saisi ses informations. La page pourrait être une copie du site d'une grande banque que personne ne s'en rendrait compte.
Les vrais naviguent en -42
[^] # Re: Le pourquoi du comment
Posté par Aeris (site web personnel) . Évalué à  3.
Les commerçants ne veulent pas de cette solution parce qu’à la moindre erreur sur le parcours côté banque, ils ont perdu le client (pas de moyen de garantir que tu reviens sur la page du marchand à un moment). L’iframe te permet dans tous les cas de revenir chez le marchand (généralement un bouton quelque part pour relancer une tentative de paiement) vu que tu ne le quittes jamais.
# Variante : carte à code de sécurité dynamique
Posté par ianux (site web personnel, Mastodon) . Évalué à  3.
Je m'interroge sur la pertinence d'une telle solution. Ne neutralise-t-elle pas l'aspect 2 facteurs qui est ici réduit à un seul, la carte ?
C'est pour cette raison que, par exemple et si je me souviens bien, le dev de gopass avait un temps envisagé de retirer le support de TOTP de son gestionnaire de mot de passe (mais il n'en a rien fait in fine).
[^] # Re: Variante : carte à code de sécurité dynamique
Posté par Glandos . Évalué à  2.
Ça résiste quand même à la photographie / copie manuelle.
Ça ne résiste pas au vol.
Disons que c'est un peu mieux.
[^] # Re: Variante : carte à code de sécurité dynamique
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à  4.
Disons que c'est un facteur de possession. Il en faut toujours un autre, par exemple un code secret ou une empreinte digitale.
[^] # Re: Variante : carte à code de sécurité dynamique
Posté par Donk . Évalué à  2. Dernière modification le 17 juin 2023 à 15:10.
Il existe des cartes bancaires biométrique qui incluent un lecteur d'empreinte digitale.
# Et quand on veut automatiser ?
Posté par Vincent Danjean . Évalué à  2.
Ça fait des années que j'utilise woob pour récupérer mes opérations bancaires journalières avec quelques scripts pour 1) sauver les transactions en CSV, 2) me faire des alertes (min/max/mouvement/…) suivant mes comptes.
Ça a marché très bien longtemps. Puis il a fallu s'authentifier sur le site web / en ligne avec un truc en plus (téléphone, etc.) donc la crontab s'arrêtait de fonctionner tous les mois. Puis, depuis quelques mois, c'est systématique. Mes scripts cron échouent systématiquement. Je dois les lancer manuellement en réalisant systématiquement une double authentification manuelle.
Bon, ben en pratique, je surveille beaucoup moins mes comptes depuis ces changements :-(
Est-ce que vous connaissez des banques permettant de récupérer automatiquement l'état des comptes et les transactions (je conçois que l'authentification puisse être plus importante quand on veut faire des mouvements d'argent).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.