Journal L’authentification molasse

Posté par . Licence CC by-sa.
Tags :
35
22
déc.
2019

Les banques, en retard sur la mise en place de la directive DSP2, semblent presser leurs clients à adopter une authentification à deux facteurs ne passant plus par le SMS.

La solution, notamment chez le carré vert et sa filiale à bas coût, c’est d’utiliser un module d’authentification « forte » dans l’application bancaire dédiée.

Cette solution française pour imposer le second facteur est donc de regrouper le système d’authentification sur le même moyen, et de surcroît dans la même application, qui contient les identifiants d’accès, et permet aussi d’effectuer les opérations sensibles.

Personne ne semble y voir de problème. J’ai donc jeté immédiatement ma YubiKey et stocke désormais mon second facteur dans mon navigateur : non, là, je déconne. :)

D’après la banque :

Une authentification est considérée comme forte lorsqu’elle réunit deux des trois éléments suivants :

  • un élément que vous seul connaissez (un mot de passe, un code secret, etc.) ;
  • un élément que vous seul possédez (votre téléphone mobile via l’application de votre banque, une carte bancaire, etc.) ;
  • une caractéristique biométrique (votre empreinte digitale, la reconnaissance vocale, etc.).

Or, d’après la directive dans sa première partie, définition 30 :

« authentification forte du client », une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît), « possession » (quelque chose que seul l’utilisateur possède) et « inhérence » (quelque chose que l’utilisateur est)

mais aussi, comme logiquement attendu :

et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ;

Or, par souci de simplification, on semble bien se passer de cette condition cruciale qui rend apparemment le procédé moins sécurisé que l’envoi d’un code par SMS sur un téléphone n’étant pas utilisé pour les opérations bancaires.

La banque, questionnée, ne m’a pas répondu sur ce problème.

Avant de poser la question (ou plutôt signaler l’anomalie) à l’autorité bancaire, chères moules, chez vous, dans la pratique, ça donne quoi ?

  • # Hellol banque

    Posté par (page perso) . Évalué à 7 (+13/-9).

    Chez la bnp, ce sera le second facteur sera leur appli mobile, soit le SMS.

    Suis-je le seul à trouver idiot d'utiliser un téléphone mobile comme second facteur? Beaucoup d'utilisateurs consultent leur compte bancaire avec leur idiophone, donc cela revient à du monofacteur…

    On devrait aussi brûler les doigts et arracher les yeux des responsables sécurités qui proposent de la biométrie…

    Incubez l'excellence sur https://linuxfr.org/board/

    • [^] # Re: Hellol banque

      Posté par . Évalué à 10 (+10/-0).

      C'est rien d'autre que ce que je relate ci dessus

    • [^] # Re: Hellol banque

      Posté par (page perso) . Évalué à 4 (+2/-0).

      Je vote pour une solution de compromis : leur voler leurs empreintes, les utiliser pour se servir dans leurs comptes en banque et leur demander leurs solutions pour parer le problème. D'ailleurs, y en a-t-il ? Hormis se faire refaire le portrait et se brûler les bouts des doigts, j'entends.

      C'est moins violent :-) mais tout aussi efficace.

      OS préféré Mageia 6 et Mageia 7, CMS préféré SPIP, suite bureautique préférée LibreOffice, logiciel de dessin préféré Inkscape.

  • # En Suisse

    Posté par (page perso) . Évalué à 8 (+6/-0).

    Alors ici en Suisse:

    Poste finance: login password + une demande de code pin qui apparaît sur le smartphone (la carte sim doit être compatible) sinon une espèce de calculatrice ou il faut insérer la carte de débit.

    Banque cantonale du Jura: login + passaword, après il faut scanner une espèce de qr-code (crontosign) et taper le code que le smartphone donne dans le navigateur.
    Par contre en cas de changement du smartphone, ne pas oublier de déclarer le nouveau avant de supprimer l'ancien.

    Si la personne n'a pas de smartphone, dans le cas de Poste finance c'est la petite calculatrice et la carte de débit et à la Banque cantonale du Jura on peut acheter un petit scanner.

    Ca fonctionne sans problème avec firefox sous linux

    • [^] # Re: En Suisse

      Posté par . Évalué à 10 (+9/-0).

      une espèce de calculatrice ou il faut insérer la carte de débit.

      Techniquement, c'est ce qui est le plus sécurisé, puisque ça demande 2 facteurs à la fois : la carte physique, et un secret (le code PIN).

      En France, les gens rejettent massivement cela. Comme quoi, c'est pas pratique.

      Moi, j'aimerais bien l'avoir, mais je ne dois pas faire partie de la masse…

      • [^] # Re: En Suisse

        Posté par . Évalué à 10 (+8/-0).

        J’ai des amis (Français) qui utilisent ce système. Ils ont dû insister un peu pour l’avoir. Ils sont au Crédit Mutuel.

        • [^] # Re: En Suisse

          Posté par . Évalué à 1 (+0/-0).

          S'il s'agit de SafeTrans, cela ne fonctionne que sous macOS et MSW.

      • [^] # Re: En Suisse

        Posté par . Évalué à 5 (+8/-3).

        une espèce de calculatrice ou il faut insérer la carte de débit.

        Techniquement, c'est ce qui est le plus sécurisé, puisque ça demande 2 facteurs à la fois : la carte physique, et un secret (le code PIN).

        En France, les gens rejettent massivement cela. Comme quoi, c'est pas pratique.

        J'avais ça (banque populaire) et effectivement ce n'est vraiment pas pratique. Déjà, il faut avoir le lecteur et la carte bleue sur soi. C'est pénible (encore plus que le téléphone, et le téléphone ça m'énerve déjà). Heureusement, il y a le choix vers la méthode code otp sur téléphone. En plus l'utilisation de cette calculette est tellement aisée que j'ai réussi à me bloquer ma CB pour 3 codes faux : sur la page de la banque on demande d'entrer un code sur la calculette, donc j'entre ce code. Sauf que la calculette, elle attend en premier le PIN de la CB, pour débloquer la carte. Soir, fatigué, je n'ai compris qu'au blocage de la carte.

        À un moment j'avais essayé de trouver des specs pour coder la même chose et utiliser le lecteur de carte de mon thinkpad, mais soit j'ai mal cherché, soit ce ne sont pas des choses standard.

        En ce moment la mode c'est de rendre l'authentification difficile pour les gens sans téléphone et sans handicap. Sur mes trois banques (bp, ce, fortuneo), une seule (fortuneo) me permet de choisir/générer un mot de passe compliqué et de le taper (ou le faire entrer par mon gestionnaire de mot de passes). Non. Il faut que je clique (le clavier c'est pour les chiens) sur un minimum de 8 chiffres arrangés aléatoirement et que je n'oublie pas de couper le son ou d'aller très vite, sinon les chiffres de mon "mot de passe" sont hurlés à la ronde en cas que je sois aveugle.

        J'ai 3 banques, je n'ai pas envie d'un système à la con pour chaque. J'ai envie de toucher ma yubikey et voilà. Je ne trouverai pas déconnant que les banques fournissent une clé U2F (ou le nouveau nom pour ça) si leurs clients n'en n'ont pas. Comme la calculette.

        • [^] # Re: En Suisse

          Posté par . Évalué à 7 (+6/-0).

          Oui les mots de passe numériques à 8 chiffres imposés c'est magique… C'est vrai qu'est ce qu'elle peut bien mettre dont elle va se souvenir et qui fait 8 chiffres Mme michu à part la date de naissance du chien…

          • [^] # Re: En Suisse

            Posté par . Évalué à 8 (+6/-0).

            Sans parler du fait qu'avec leurs claviers virtuels qui bougent tout le temps :

            • pas possible de se fier à une quelconque mémoire spatiale, je ne serais pas étonné que des gens choisissent des mots de passes plus simple à cause de ça
            • je ne suis pas fier quand mon écran est potentiellement visible par d'autres personnes…
            • [^] # Re: En Suisse

              Posté par (page perso) . Évalué à 6 (+4/-0).

              La CAF utilise un système similaire, mais il y a une astuce bien pratique : il y a sur le formulaire de connexion un petit lien discret à destination des personnes avec des soucis de vision qui permet d'utiliser un tout bête champ texte.

              Je ne sais pas si ça peut aussi se trouver sur les formulaires des banques, mais ça vaut le coup de fouiller un peu autour du formulaire au cas où une option de ce style serait disponible ;)

              • [^] # Re: En Suisse

                Posté par . Évalué à 5 (+3/-0).

                Ça marchait avec la caisse d'épargne, mais depuis quelques temps la version accessible est juste le clavier virtuel avec prononciation des touches quand elles sont appuyées…

            • [^] # Re: En Suisse

              Posté par . Évalué à 6 (+4/-0).

              Le clavier virtuel de boursorama : https://clients.boursorama.com/connexion/

              Vous remarquerez que chaque bouton activé (au clic) est entouré d'un liseré bleu permanent. C'est récent, moins de un mois, mais c'est bien plus pratique pour les gens qui regardent l'écran. Je l'ai signalé au service client, sans aucun retour pour l'instant.

              J'ai essayé de faire un userscript, mais c'est très compliqué. Il semblerait que ça fasse un canvas dynamique autour de certains éléments enregistrés globalement…

          • [^] # Re: En Suisse

            Posté par (page perso) . Évalué à 9 (+6/-0).

            Ou M. Michu avec la date de décès du chat.

        • [^] # Re: En Suisse

          Posté par (page perso) . Évalué à 10 (+10/-0).

          C'est ce qu'on utilise en Belgique depuis toujours et pour chaque banque

          Pour le boîtier, t'en a tjr un a la maison et certaines collègues ont un 2eme au boulot "au cas où" on se le prête sur demande.

          Oui il faut avoir la carte bleue, mais bon c'est pas compliqué de l'avoir dans son portefeuille…

          Pour le blocage de carte, quand on insère la carte et qu'on demande l'authentification, elle demande "PIN ?", il faut vraiment être bien fatigué pour rater ça :)

          Depuis quelque temps ils ajoutent comme méthode "It's me", une appli pour valider son identités.
          C'est utilisé par des banques, les services de l'état, les mutuelles etc

          • [^] # Re: En Suisse

            Posté par . Évalué à 9 (+7/-0).

            "It's me", une appli pour valider son identités.

            https://reports.exodus-privacy.eu.org/fr/reports/be.bmid.itsme/latest/

            2 pisteurs « seulement », mais quand même, c'est déjà trop. Pourquoi en mettre ?

            C'est quand même difficile à comprendre de devoir expliquer aux gens qu'une application de sécurité ne doit pas contenir de code externe…

          • [^] # Re: En Suisse

            Posté par . Évalué à 2 (+2/-0).

            Pour le blocage de carte, quand on insère la carte et qu'on demande l'authentification, elle demande "PIN ?", il faut vraiment être bien fatigué pour rater ça :)

            De mémoire le lecteur demandait "Code ?" et le site web disait "Entrez ce code sur le lecteur". C'était peut-être "Code CB ?" et j'ai zappé : j'étais effectivement très fatigué ce soir là. C'était aussi une de mes premières utilisations de l'outil, et la mauvaise expérience m'a fait abandonner cette solution immédiatement ;)

            (je me demande ce que comprendrait ma grand mère sur "PIN ?", probablement "Appelez votre petit-fils…").

            Pour le boîtier, t'en a tjr un a la maison et certaines collègues ont un 2eme au boulot "au cas où" on se le prête sur demande.

            Et ce sont les mêmes ? De mémoire sur mon boîtier cyberplus, j'avais 3 types de génération de code différents, et il fallait appuyer sur le bon bouton avec la bonne icône, dépendant de l'opération effectuée sur le site web (la page indiquait quelle icône choisir).

            J'imagine qu'avec des boîtiers de marque/source différentes, les icônes ne seraient pas les mêmes… Ça ferait un peu boutons blanc et bleu alors que les fils sont verts et rouges.

            Oui il faut avoir la carte bleue, mais bon c'est pas compliqué de l'avoir dans son portefeuille…

            Je ne nierai pas que je suis très fainéant et que tous mes arguments contre le boîtier+carte ne tiennent pas contre un simple "Tu ne fais vraiment pas d'effort". C'est vrai.

            Quand je ne suis pas chez moi, j'ai la CB sur moi ; quand je suis chez moi, j'ai le lecteur sur le bureau, mais il faut que je me lève pour aller chercher la CB dans une autre pièce. Je suis un peu particulier : étant fainéant mais ayant bonne mémoire, je connais mon numéro de carte bleue par cœur, je n'en ai pas besoin pour payer en ligne. C'est la même chose pour le téléphone : ça me dérange de me lever pour aller le chercher. La différence avec le téléphone c'est qu'une fois récupéré dans une autre pièce, le SMS a déjà été reçu, je n'ai plus qu'à le taper ;)

            Attention, je ne suis pas 100% contre la solution boîtier + carte. Si je trouvais une appli libre qui fasse la même chose que le boîtier en utilisant mon lecteur de carte intégré — ou les moyens d'en coder une — je l'utiliserai probablement en lieu et place de l'OTP via SMS. Rien n'oblige à avoir une CB sur un compte courant, donc ce n'est certainement pas applicable à tout le monde, mais ça l'est à mon cas.

            Il faut noter que la solution boîtier+carte n'est utilisée que pour la validation supplémentaire sur les opérations une fois loggé. Est-ce justement car l'authentification sur le site est foireuse (mots de passe simples ou enregistrés dans le navigateur?). Dans ce cas là puisque le reste du web a l'air de s'orienter vers webauthn pour pallier les problèmes liés aux mots de passe, pourquoi pas les banques ?

            • [^] # Re: En Suisse

              Posté par (page perso) . Évalué à 6 (+4/-0).

              Ta grand-mère n'utiliserait pas le pc banking sans formation je pense.

              En Belgique, on a trois sortes de boîtiers.

              Ceux avec les boutons M1 / Info / M2
              Ceux avec Identify/Sign/Menu
              et les Login/Sign/Buy

              Les 2 premiers sont échangeable d'une banque a l'autre, le 3eme j'ai jamais eut sous la main.

              M1 demande le code de sécurité, affiché par le site web, quand c'est fait on tape notre code pin et ça produit un résultat pour se connecter.
              M2 c'est pour valider des changements (ajout d'un nouveau destinataire de virement, paiement en ligne)
              Info ne sert plus a rien (c'était pour de l'argent prépayé, mais c'est abandonné)

              Le Belfius est aussi utilisable pour se connecter aux sites du officiels (gouv etc) via la carte d’identité electronique

              (ceux en bas sur la photo)
              les 3 boitiers belges

              lien wiki vers l'image

            • [^] # Re: En Suisse

              Posté par (page perso) . Évalué à 2 (+0/-0).

              Et ce sont les mêmes ? De mémoire sur mon boîtier cyberplus, j'avais 3 types de génération de code différents, et il fallait appuyer sur le bon bouton avec la bonne icône, dépendant de l'opération effectuée sur le site web (la page indiquait quelle icône choisir).

              Je crois qu'ils ont un peu laissé tomber le mode "signature" (qui demandait de rentrer un code à 8 chiffres dans la calculatrice pour en récupérer un autre à rentrer sur le site web) et se contentent du mode "authentification" (ou il y a seulement besoin du code PIN de la carte bancaire et on obtient directement un code à 8 chiffres permettant de s'authentifier). Je suppose que tu n'es pas le seul a avoir bloqué ta carte suite à une mauvaise compréhension des instructions? :)

              Le mode restant est suffisament simple et apporte a priori une sécurisation suffisante (moins que le mode signature, mais mieux que le sms).

  • # Re:

    Posté par . Évalué à 7 (+6/-0).

    Du côté de la banque postale pareil : application mobile avec identifiant + mot de passe.
    Crédit agricole : pareil, sauf qu'un identifiant "application" à 5 chiffres est rajouté.

    Ouais enfin si tu veux rigoler regarde aussi du côté des mots de passes et identifiants de quasiment toutes les banques : identifiants à 11 chiffres, pass à 6 chiffres sans possibilités de changer quoi que ce soit. Cela ne fait clairement pas beaucoup d'entropie. Limite tu peux le brute-forcer à la main :D

    • [^] # Re:

      Posté par (page perso) . Évalué à 3 (+1/-0).

      J'ai moi aussi une carte de paiement où il faut un pass à 6 chiffres pour accéder au compte en ligne. J'ai donc mis un pass que j'ai oublié… Résultat, le nouveau pass que j'ai mis est vraiment faible, pour que je m'en souvienne.

      Un LUG en Lorraine : https://enunclic-cappel.fr

    • [^] # Re:

      Posté par . Évalué à 7 (+5/-0). Dernière modification le 22/12/19 à 20:30.

      À la banque postale, si tu as activé certicode, l'authentification forte va continuer à se faire avec un sms :

      Cas N°2 - Vous bénéficiez du service Certicode et recevez habituellement un code par SMS pour vos opérations engageantes (ex : ajout de bénéficiaire, paiement par carte bancaire)

      Lors de l'accès à votre Espace Client uniquement, il vous sera demandé tous les 90 jours de saisir en plus de vos identifiants et mots de passes habituels, le code que vous recevrez par SMS.

      Donc pour l'instant (mais jusqu'à quand ?) pas besoin d'installer l'appli de la banque, qui pour moi reste une faille de sécurité béante, tant que je n'aurai pas autant confiance dans mon téléphone sous Android que dans mon PC sous Ubuntu.

      • [^] # Re:

        Posté par . Évalué à 2 (+6/-4).

        Et si l'on n'a pas de téléphone portable ou ne souhaite pas communiquer un téléphone portable ?

        Plus de 70€/an de frais de tenue de compte et être emmerdé…

  • # La totale

    Posté par (page perso) . Évalué à 8 (+7/-1).

    Si la banque peut t'imposer son spyware sur ton téléphone et te proposer un téléphone + abonnement si ton idiophone n'est pas compatible, pourquoi s'en priverait-elle?

    C'est ce que ma banque à qui je dois parler me pousse à faire. En cas d'impossibilité, je dois en parler à mon conseiller pour voir les éventuelles alternatives possibles (on va ma me donner une solution comme ça, ce serait trop simple).

    Un LUG en Lorraine : https://enunclic-cappel.fr

  • # le petit boiter mais pas tout le temps

    Posté par . Évalué à 2 (+1/-0).

    Au crédit Coopératif, j'ai un boîtier d'authentification avec la carte bleue, mais il n'est nécessaire que pour rajouter des bénéficiaires de virements, et environ 2 fois sur 3 lors d'un achat en ligne.
    D'ailleurs si quelqu'un sait pourquoi ce n'est utilisé que 2/3 du temps, je suis preneur. Peut-être parce que certains sites d'achats sont considérés comme plus sécurisés que d'autres ?
    Sinon, il faut faire attention à ne pas l'oublier quand on part en voyage, car l'achat en ligne est parfois la seule solution de paiement… ça peut être handicapant !

    • [^] # Re: le petit boiter mais pas tout le temps

      Posté par (page perso) . Évalué à 5 (+3/-0).

      Ça dépend du marchand en fait. S'il utilise 3DS alors il te faut le boîtier et sinon non.

    • [^] # Re: le petit boiter mais pas tout le temps

      Posté par . Évalué à 5 (+3/-0).

      Crédit Coop aussi et depuis peu je ne peux plus mettre de plafond aux bénéficiaires que j'ajoute et je dois utiliser le boîtier à chaque virement.

      Et toujours depuis peu j'ai un message à la connexion qui me dit que bientôt je risque de ne plus pouvoir me connecter parce que mon profil n'est pas rempli en entier. Il manque un numéro de mobile. Je n'ai pas de mobile.

      Je crains de ne plus pouvoir me connecter le jour où ils imposeront une authentification à deux facteurs avec SMS. Mon conseiller n'y connaît rien et me renvoie au support du site (partagé avec BPCE) qui me dit que non normalement c'est bon mais n'a pas l'air d'en savoir des masses plus.

      Et bien sûr, j'ai un identifiant à la con impossible à mémoriser et un mot de passe à 8 chiffres que je dois entrer dans un clavier virtuel que je dois utiliser avec la souris, avec les chiffres jamais au même endroit. C'est nul.

  • # Ma banque au Japon

    Posté par . Évalué à 5 (+4/-0).

    Ma banque du Japon a un système assez rigolo.

    Il faut entrer son numéro de compte (figurant sur la carte de retrait du compte) puis le code PIN (de la même carte), puis un code secret (6-12 caractères) que l'on mémorise.

    Mais ce n'est pas fini ! On a une carte physique (qui doit être maintenue secrète) contenant une grille de correspondance (la "Security Card") où chaque case fait figurer un caractère. Pendant le login, le système génère aléatoirement une série de cases unique, et l'on doit, à l'aide de la carte, décoder et insérer le résultat pour finaliser la connexion.

    Et voilà !

    Si vous avez rien compris, voici l'image qui illustre ce qu'est la Security Card : https://www.shinseibank.com/english/guide/imgs/index/step3.gif

    • [^] # Re: Ma banque au Japon

      Posté par (page perso) . Évalué à 4 (+2/-0).

      La banque que j'avais quant j'étais étudiant en Corée utilisait le même système. Et à l'époque (2008), leur site ne fonctionnait que sous IE sous Windows (comme en réalité l'immense majorité des sites coréens de l'époque).

      La connaissance libre : https://zestedesavoir.com

      • [^] # Re: Ma banque au Japon

        Posté par . Évalué à 1 (+0/-0). Dernière modification le 23/12/19 à 10:26.

        Heureusement, et malgré une interface rappelant le début du Web, le site fonctionne très bien sous Firefox sur Linux !

        Il me semble que les Coréens préféreraient à une époque utiliser autre chose que de l'UTF-8 pour représenter leurs caractères (j'ai plus le nom en tête). Peut-être que c'était à cause de ça que le site marchait que sous Windows et IE ? (genre un jeu d'encodage foireux sous Linux et OS X mais okay sur Windows)

        • [^] # Re: Ma banque au Japon

          Posté par (page perso) . Évalué à 2 (+0/-0).

          C'était plus une question de sites développés pour (= utilise des fonctionnalités spécifiques à) IE, voire parfois avec une détection d'user-agent.

          La connaissance libre : https://zestedesavoir.com

          • [^] # Re: Ma banque au Japon

            Posté par (page perso) . Évalué à 5 (+3/-0).

            ActiveX. La technologie qui était déjà presque plus utilisée par Microsoft elle-même, depuis des années (donc c'est dire si ces banques étaient à la ramasse; surtout quand on parle de sécurité avec l'utilisation d'une technologie plus ou moins morte et plus développée même chez l'éditeur). Il était donc impossible d'accéder à son compte hormis via Windows/IE (et je parle de genre 2012/2014 voire après, pas y a 10 ans). Pour les Linuxiens, ça voulait dire VM Windows obligatoire rien que pour accéder à son compte bancaire.

            De nos jours, les banques coréennes semblent avoir évolué mais pas forcément pour le meilleur. Elles vous demandent toujours d'installer des applications sur votre appareil pour l'accès web, la seule différence étant que ce n'est plus forcément en ActiveX. Alors certes ça veut dire qu'y a même parfois une prise en charge officielle de Linux (pour certaines banques), mais en vous demandant donc d'installer un paquet RPM/DEB opaque sur votre machine (ne pas espérer si vous avez une distrib qui utilise un système de paquet moins commun, bien entendu). Vous devez donc installer un logiciel propriétaire, vous savez pas ce qu'il fait, et en plus avec les droits root sur le système, tout ça juste pour pouvoir accéder à votre compte bancaire dans votre navigateur.

            Pas sûr que ce soit vraiment une avancée la "prise en charge de Linux". Et encore, c'est quand ça marche, parce que de ce que j'ai vu, des fois, on se fait chier à tout installer (donc à compromettre sa machine avec ces logiciels) et au final, on arrive même pas à accéder au compte. :-/

            Le manque de compatibilité des banques coréennes est un sujet très récurrent sur les forums linuxiens, genre reddit. Tiens le premier lien quand je cherche "korean bank linux" est un post reddit intéressant qui liste la compatibilité de diverses banques (bon le test date d'un peu plus d'un an, mais je crois pas que ça ait tant évolué que ça, malheureusement).

            Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]

    • [^] # Re: Ma banque au Japon

      Posté par . Évalué à 2 (+0/-0).

      J'ai eu la même au CIC en 2013.

      Ça me paraissait également pas trop mal comme sécurité. J'avais mis le scan sur mon cloud personnel, pour l'avoir un peu plus à disposition.

      • [^] # Re: Ma banque au Japon

        Posté par . Évalué à 1 (+0/-0).

        Pour la sécurité, j'ai quelques doutes. Le principe en soi me paraît pas mal, et ça a le mérite d'être low-tech.

        Mais la carte n'a que 50 combinaisons possibles. À chaque fois que l'une d'entre elle est utilisée, elle se retrouve aussitôt « corrompue ». Au bout d'un certain nombre de connexions, les 50 combinaisons s'en retrouvent ainsi « épuisées ». Il faudrait carrément un livret avec une centaine de grilles, chacun d'entre elles encodant des milliers de combinaisons possibles, je pense. Ou bien, il faudrait changer de carte dès qu'on a atteint par exemple X connexions sur le portail en ligne.

      • [^] # Re: Ma banque au Japon

        Posté par . Évalué à 1 (+0/-0).

        Il y a peu, ce système me servait au CIC uniquement pour valider l'ajout de nouveaux "RIB" pour les virements… Pour le paiement carte, c'était le SMS.

  • # freeOTP

    Posté par . Évalué à 5 (+2/-0).

    J'utilise FreeOTP qui est une sorte de standard (pas lié à une application particulière) et ne dépend pas du SMS.
    https://freeotp.github.io/

    "La première sécurité est la liberté"

    • [^] # Re: freeOTP

      Posté par . Évalué à 7 (+6/-0).

      Oui c'est très bien mais c'est au bon vouloir du site, aucune banque française ne semble intéressée par ce standard. Pour l'instant je ne connais que paypal qui le supporte.

      • [^] # Re: freeOTP

        Posté par . Évalué à 2 (+0/-0).

        et les sites liés aux crytomonaies:-)

      • [^] # Re: freeOTP

        Posté par . Évalué à 1 (+0/-0).

        Paypal accepte l'OTP!? Depuis quand ? L'option est-elle "cachee" ? Je n'avais pas reussi a la trouver la derniere fois que j'avais cherche.

        • [^] # Re: freeOTP

          Posté par (page perso) . Évalué à 3 (+0/-0).

          Paramètres → Sécurité → Vérification en 2 étapes → Utiliser une application d'authentification.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # En Suède

    Posté par (page perso) . Évalué à 2 (+2/-0).

    En suède, tout le monde a sur son téléphone une application nommée BankID. Elle permet de se connecter sur tous les sites de l'administration (impôts, sécu…) et sur le site de sa banque.

    Pour me connecter, je rentre mon numéro unique sur le site de ma banque (équivalent d'un numéro de sécu français) et je lance l'application. Un formulaire s'ouvre avec le nom du site demandant l'autorisation et me demande d'entrer un PIN code pour confirmer. Je crois qu'il est aussi possible de valider ce formulaire par biométrie.

    Pour l'anecdote, ma banquière a fait une drôle de tête quand je lui ai demandé si je pouvais utiliser un code plus long que les 6 caractères qu'elle m'avait demander d'entrer :D

    Big Brother is watching us

    • [^] # Re: En Suède

      Posté par . Évalué à 6 (+5/-0). Dernière modification le 24/12/19 à 06:42.

      En suède, tout le monde a sur son téléphone une application nommée BankID.

      Et si tu n'as pas de téléphone ?

      • [^] # Re: En Suède

        Posté par . Évalué à -1 (+0/-3).

        Et si tu n'as pas de téléphone ?

        Peut-être que cette éventualité n'existe plus non plus.

      • [^] # Re: En Suède

        Posté par (page perso) . Évalué à 0 (+0/-0).

        L'option "calculatrice" existe aussi, mais il me semble ne pas l'avoir vu sur tous les sites utilisant ce mode d'authentification.

        Big Brother is watching us

  • # Téléphone & connexion à internet

    Posté par . Évalué à 3 (+1/-0).

    Je partage les remarques de l'auteur du journal.

    J'ajouterais un gros désagrément supplémentaire : si ça vous arrive de commander sur internet dans un endroit où le téléphone ne capte pas bien du tout les données (parce que vous utilisez un PC avec connexion filaire), vous ne pourrez pas avoir une connexion assez fiable, sur votre téléphone, pour envoyer et émettre les données nécessaires à l'authentification.
    Expérience vécue plusieurs fois.

    Alors qu'un simple SMS passe beaucoup mieux, et qu'une calculatrice + carte bancaire fonctionne même en mode déconnecté.

    • [^] # Re: Téléphone & connexion à internet

      Posté par (page perso) . Évalué à 4 (+1/-0).

      (parce que vous utilisez un PC avec connexion filaire)

      Du coup, tu peux partager la connexion du PC en USB ou en WiFi pour avoir une connexion correcte sur le smartphone.

      Alors qu'un simple SMS passe beaucoup mieux

      Le SMS c’est complètement troué pour l’authentification. Il y a eu le cas en Allemagne où des pirates ont détourné les SMS d’authentification via un détournement SS7.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Je remonte car ecla peut potentiellement intéresser du monde

    Posté par . Évalué à 2 (+1/-0).

    Le Crédit Mutuel précise dans sa FAQ qu'un téléphone rooté/jailbreaké est incompatible avec son application mobile et qu'il faut retourner aux réglages usine du téléphone. La banque ne fait pas son boulot et impose des choix sur les téléphones de ses clients.
    Vous y avez déjà entendu un truc du genre ?

    • [^] # Re: Je remonte car ecla peut potentiellement intéresser du monde

      Posté par . Évalué à 3 (+3/-0).

      Je suis au Crédit Mutuel également, j'ai découvert ça en installant l'application sur mon téléphone sous lineageos.
      L'alternative proposée est d'utiliser un boîtier-lecteur (DigiPass).
      Je suis plutôt pour, mais c'est payant ! C'est ça qui me scie personnellement. Pourquoi je devrais payer parce que je n'ai pas un téléphone "comme les autres", qui eux n'ont rien à payer… Dans mon contrat l'accès à mes comptes n'est pas conditionné par mes choix d'OS sur mon téléphone.
      Je me demande ce qui arrive si je refuse jusqu'au moment fatidique de la fin des SMS comme mesure transitoire : impossibilité d'accéder à mes comptes (qui est pourtant dans mon contrat).

      Quelqu'un d'entre-vous a réussi à obtenir ce boîtier sans frais ?

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.