flagos a écrit 3008 commentaires

De ce que je comprends, c'est encore plus vicieux, Epic ne veut pas forcément faire leur store (ils pourraient déjà montrer qu'ils savent faire sur Android, ils proposent déjà une version Android hors AppStore de Fortnite), ils veulent utiliser le store de Google et Apple (installé par défaut, réputé, etc) gratos (faire payer ailleurs).

Pas tout a fait. C'est bien une histoire de sous, mais ils ne veulent pas que ce soit gratos, ils veulent juste que le prix soit juste.

https://www.igen.fr/app-store/2017/08/tim-sweeney-les-30-des-app-stores-sont-comme-un-parasite-100943?page=1

On a tendance à l'oublier mais :

Tu disposes d'une très bonne visibilité,
C'est installé par défaut,
C'est intégré au système et donc facile à répliquer et mettre à jour,
Tu peux avoir accès au forum et l'aide au développement,
Ton application est hébergée, gérée automatiquement.

Quel est le lien avec la transaction bancaire ? On est pas dans un joli cas de vente liée ?

Quand un boulanger propose un paiement en carte bleue, il paye aussi une commission à chaque transaction, mais c'est le prix à payer pour avoir le matériel et le principe de fonctionnement.

C'est une excellente comparaison. En souhaitant favoriser la carte bancaire, le gouvernement a fait baisser les frais de transaction a 0.3%. Je sais pas si c'est une loi ou un décret ou que-sais-je encore, mais clairement, les frais de transaction de carte bancaire sont un minimum régulés. 30% de frais de transaction pour Google et Apple, c'est clairement du vol, j'ai pas d'autres mots. Et il est manifestement temps que les gouvernements interviennent.

actuellement, ce que fait Apple est légal

On va peut être attendre que l'affaire aboutisse avant de conclure. Je pense, du moins j’espère, que ce coup ci la Commission Européenne a bien réfléchi avant d'attaquer.

Reclame.

Je viens de regarder sur le site de ma banque, ils proposent d'autres solutions: https://www.creditmutuel.fr/fr/assistance/faq/connexion-comptes.html#6

Vous ne possédez ni smartphone ni mobile et ne souhaitez pas en acquérir ?

D'autres solutions d'authentification peuvent être mises à votre disposition, notamment Digipass®, un boîtier-lecteur de code qui vous permet de vous connecter à votre Espace Client du site internet et réaliser des opérations de paiement depuis votre ordinateur. Safetrans est une autre solution possible.
Prenez contact avec votre conseiller.

Pourquoi voler un mobile, alors qu'il suffit d'y mettre une app qui simule un écran de verrouillage ? Bien plus discret et peut se faire sur la durée.

Juste pour clarifier, ma compréhension c'est que la loi demande un check biométrique en 2nd facteur ou via un appareil dédié. Déverrouiller le téléphone avec un code n'est pas suffisant. Donc le cas du téléphone vole dont on connaît le mot de passe ne devrait pas marcher.

Il faut, en plus de voler le téléphone sans se faire pincer, réussir a le déverrouiller et a le hacker de manière a simuler un check biométrique de l'OS valide. Je pense pas que ce soit a la portée du premier voleur de téléphone qui passe.

J'ai eu le soucis (tel qui démarre plus), et j'avoue que je suis resté surpris…

Je l'ai eu aussi, a force de formatter mon téléphone pour installer des roms. Pour ma banque en France, ca a consiste en un check avec une carte de clés, échangée lors de l'ouverture du contrat, je me souviens plus exactement comment.

Une petite recherche sur le sujet m'a donne ca:

https://www.zdnet.com/article/qualcomms-secure-world-virtual-processor-leaks-mobile-payment-data/

Il y a bien quelques CVE qui ont ete fixées, mais pour l'instant, c'est considéré comme sur. Ces TEE marchent assez bien en réalité. On en fait depuis un paquet de temps, et il y a pas eu beaucoup d'exploits pour les bypasser. Un exemple que je connais un peu: les box TV opérateurs marchent toutes avec ca. Et malgré que certaines soient bases sur des processeurs assez vieux, on considère qu'elles sont encore sures.

C'est la biométrie le second facteur, c'est a dire le check effectue par la trust zone du processeur. L'appli mobile n'est la que pour trigger le check mais est essentiellement une boite vide.

Le client copie le jeton, se connecte sur le site de sa banque

Et comment la banque vérifie que l'utilisateur qui s'est connecte est bien le bon ?

Ah je sais, on pourrait du 2FA avec une appli mobile !

Sans parler du fait qu’il suffit d’une brûlure (doigts), d’une opération chirurgicale, voire, d’une méchante piqûre de moustique (visage) pour que cela ne fonctionne plus

Et c'est aussi dépendant du capteur. Donc ce serait non résilient a un changement de téléphone.

va te faire réinitialiser la figure ou les doigts

Je pense que tu as meilleur temps de réinitialiser ton empreinte. Encore une fois, la biométrie ne fait parti du secret, ce serait un choix complètement absurde.

La biométrie ne fait pas parti du secret. L'app fait juste appel a l'OS pour demander une authentification biométrique de l'utilisateur, qui lui retourne essentiellement un booléen.

Les données biométriques n'ont jamais quitte le téléphone, et elles sont meme stockées hors de portée de l'OS dans une enclave securisee du processeur:
https://www.qualcomm.com/media/documents/files/snapdragon-sense-id-fingerprint-technology-fact-sheet.pdf

Je te défie de me montrer des outils libres qui répondent au besoin, perso je n'ai pas trouvé (et ça m’intéresse, rien que pour mon accès à mes serveurs par exemple, ça indiquera l'IP et la localisation par exemple et je taperai sur "ok c'est moi", plus sécurisé et plus simple que TOTP, et oui je sais je pourrai développer moi-même, je le ferai peut-être un jour quand j'aurai marre du compliqué mis en avant par de libristes :) ).

Du coup tu fais comment pour avoir cette double authentification sur tes serveurs ?

Un code via SMS … certes ce n'est pas ce qu'il y a de plus sécurisé mais répond a la législation

Un SMS est aussi sécurise qu'une carte postale. On peut franchement dire que c'est pas sécurise. Et c'est justement pour cela que ca ne répond plus a la législation.

Open-source pour une application bancaire, ne rêvons pas :-). Après le téléphone est une formidable machine a capteur biométriques, donc c'est assez logique de l'utiliser en 2eme facteur, ca permet d'économiser les coûts car beaucoup de gens en ont un.

Peut être sa banque peut fournir un device a code pin (les espèces de calculatrice) pour ceux qui n'auraient pas de smartphone.

L'authentification forte est une obligation maintenant: https://www.latribune.fr/entreprises-finance/banques-finance/paiement-la-directive-dsp2-entre-en-vigueur-c-est-quoi-764449.html

Impression papier du chiffre d'affaires a la fin de la journée. Export papier ou pdf et saisie dans le logiciel de compta chaque semaine pour transmettre au comptable. Et si possible, faire un système de backup, un machin via FTP sur un serveur OVH par exemple.

Avec ça, tu couvres 99% des commerçants indépendants sans se prendre la tête. La plupart vont préférer prendre ces 5 minutes par semaine plutôt de payer pour ceci ou pour cela.

Je sais que ça paraît dingue vu d'un ingénieur informaticien, mais encore une fois, la plupart des commerçants que je connaissais ne pouvait même pas payer leur loyer sans l'aide de quelqu'un. Du coup, en pratique, le fisc a d'autres choses a faire que d'aller chercher des poux a ceux qui vivotent.

C'est l'approche que l'on peut considérer… lorsque l'on ne connait pas la vie d'un commerçant.

La réalité, c'est qu'un commerçant passe les 3/4 du temps a attendre qu'un client arrive. C'est bête, mais lorsqu'il fait -10°C dehors ou lorsqu'il pleut, le commerçant ouvre quand même, mais en général il ramène pas grand chose. Mon conseil a ces commerçants qui ne sont pas submergés de clients mais plutôt de factures, c'est que ça vaut le coup d'investir du temps pour économiser sur ces charges. Apprendre à faire soi même plutôt que de tout externaliser.

Je vais être honnête, j'ai été choqué par le nombre de gens qui essaient des services aux commerçants. L'informatique évidemment, l'infographie aussi, le ménage, la communication, des montages foireux a base de parrainages pour te rabattre des clients. C'est vraiment un univers de requins.

Quand on bricole, on peut toujours faire moins cher :-)

Arrêter, ce n'est pas si simple. Beaucoup ont pas investi des sommes énormes, et en seront redevables de beaucoup s'ils arrêtent.

Pour beaucoup, la seule solution c'est de continuer en attendant des jours meilleurs, s'ils arrivent.

Monter son affaire demande des efforts. Si ça paie cash des le premier mois, tout le monde le ferait. Le problème, c'est que cette période temporaire dure longtemps. De plus, tu es sensible au moindre truc d'actualité. Lorsque tu te tapes les grèves, les gilets jaunes et le covid, ben c'est autant de salaires que tu ne te paies pas

Et comme souligné avant moi, ça te permet aussi de te faire ton expérience professionnelle a un poste que tu ne pourrais pas avoir en tant que salarié.

Le souci, c'est que c'est pas facile d'arrêter ce genre d'entreprise.

Désolé mais bon, 2000 balles c'est pas rien.

Je sais que pour un ingénieur informaticien, c'est l'argent de poche qu'il va dépenser dans un joujou (ok j'exagère), mais non clairement, pour bon nombre de commerçants, 2000 balles par an ce n'est pas acceptable quand bon nombre n'arrive pas a se servir ne serait que 500 par mois.

Quand ma femme était commerçante a son compte, je lui avait bricolé une solution a base de openbravoPOS. Elle avait également un site web a base de prestashop. J'avais fait un script perl (a l'époque perl était old school, mais pas encore dinosaure ;-) ) pour synchroniser la DB openbravoPOS avec celle de prestashop. Ça peut servir a d'autres, donc je le file, mais faite gaffe ça a plus de 5 ans maintenant : https://github.com/flagos/Sync-DB

La compta était faite par son associée, avec Ciel. Ça coûtait pas si cher, j'ai pas chercher a m'embêter avec ça.

Par contre il me semble que depuis il y a eu des changements de loi pour éviter la fraude a la TVA, donc mon petit setup n'est peut être plus valide.

Non, tu poses juste des questions, c'est tout.

https://m.youtube.com/watch?v=elRxbGJuCw8

Le Facteur de reproduction du virus (évolution du R0) : nombre de personnes contaminées par chaque malade. On ne sait pas comment il est calculé mais il augmente. Faut faire confiance

Je m'étais pose la même question. C'est clairement pas simple mais c'est la métrique clé pour un gouvernement pour comprendre l'épidémie.

De base, c'est censé être la dérivée du nombre de cas, mais compte tenu des temps d'incubation et des périodes ou les malades sont contagieux, ça complique un poil les choses. J'avais trouve cette ressource qui en dis un peu plus et donne quelques liens :

http://covid-ete.ouvaton.org/Rapport1_R0_France.html

Je la cite, parce que bon quand même:

« Vous savez quoi ? Je ne sais pas utiliser un masque. Je pourrais dire : ‘Je suis une ministre, je me mets un masque’, mais en fait, je ne sais pas l’utiliser », a-t-elle expliqué, tentant de justifier pourquoi « les masques ne sont pas nécessaires pour tout le monde ».

En fait, elle disait juste qu'elle est importante et qu'elle croise des personnes importantes, c'est tout. Mais bon une femme black qui vient pas du serail habituel, ça dérangeait pas mal de monde en fait.

Rappelons, par exemple, que le gouvernement tchèque a recommandé le port du masque très vite […]. Ils s’en sont plutôt bien sortis.

Contestable. Vraiment. Si tu prends les donnes mis en forme sur lemonde (https://www.lemonde.fr/les-decodeurs/article/2020/03/27/coronavirus-visualisez-les-pays-qui-ont-aplati-la-courbe-de-l-infection-et-ceux-qui-n-y-sont-pas-encore-parvenus_6034627_4355770.html), on peut voir que la courbe etait autant exponentielle qu'en France. La courbe est très similaire en fait, je vois pas une différence de pente sur la courbe par rapport a un pays qui encourageait moins le masque.

Je pense qu'ils ont juste eu de la chance que l'epidemie soit arrive plus tard chez eux, peut être aussi parce que c'est un pays moins riche, donc moins de déplacements de la population.

Je vais être honnête, je trouve que les gens placent une confiance excessive dans le masque, comme si cela allait suffire a arrêter la maladie et a les protéger complètement. Ca me fait même un peu peur pour l'hiver prochain, parce que j'imagine très bien des gens refusant d'aller se faire dépister, car "ils portaient tout le temps le masque, donc ils peuvent pas être malade".

Alors la j'avoue que j'ai pas compris pourquoi autant de bruit la dessus. Pourquoi sa phrase est stupide ? Pourquoi c'est condescendant ?

Parce qu'elle a ose dire qu'elle était ministre ?

OK.

Imaginons que le gouvernement aurait encourage le port du masque des le premier jour de l’épidémie mais que, comme pour la grippe, cela c’était révélé contre productif car source de mauvaises manipulations. Qu'en pense tu ? Le gouvernement n'aurait pas fait une faute ?