Oui, tu as raison. Je mélange avec une autre news (j'ai plus la source) qui créait une inquiétude à ce sujet.
Concernant les applis non signées, on en a déjà parlé ici et il se disait à juste titre que même s'il est possible de les faire tourner sur les OS alternatifs, on peut craindre que ce soit trop niche pour que leur développement se poursuive.
Il se trouve qu'on a un environnement, entre l'intégration GitHub, les LLM qui annoncent la lune, etc. qui fait que le premier noob qui passe n'a pas honte d'envoyer 70 PR quitte à ce que seulement 3 soient acceptées. Voire à la fin il va être content parce que 3 PR acceptées, c'est bien, sans réaliser le coût en bruit.
L'analyse statique, le formatage de code, on fait déjà, et sans LLM.
J'aurais même pas d'objection à ce qu'un contributeur fasse tourner un Valgrind ou LLM et nous envoie le rapport, idéalement commenté et priorisé, ou nous donne la config pour le faire nous-même. Je dis bien dans le journal qu'il peut y avoir un apport positif de ces technos.
Mais balancer des PR aveuglément sans chercher à les comprendre, c'est du bruit (avec un peu de signal dedans).
Effectivement, passer sur une plateforme différente pourrait freiner ce bruit. Assez pour le stopper, dans un premier temps. Mais c'est pas super satisfaisant. Éduquer les contributeurs le serait plus, mais c'est un vaste programme.
Peut-être que l'IA fait qu'on décèle plus de faille.
Et une vulnérabilité dans un logiciel codé avec les pieds et l'IA que personne utilise, c'est pas aussi important qu'une vulnérabilité dans OpenSSH par exemple, et j'espère bien que dans les libs critiques (même celles qui dépendent d'un développeur seul dans son coin) on injecte pas bêtement du code de ChatGPT.
Donc chiffre à prendre avec des pincettes, même s'il traduit une vraie tendance de fond.
Dit autrement, on a peut-être toujours autant de code de qualité, mais plus de code de merde autour.
Effectivement, ils auront peut-être leur nom au générique d'une lib connue, mais si on consulte leur historique, on voit bien qu'ils ont mitraillé à l'IA.
Je doute que les recruteurs en question se donnent cette peine, mais je doute aussi qu'ils voient que le postulant est cité dans les auteurs de telle ou telle lib.
Et un technique qui prend la peine de regarder verra rapidement à qui il a affaire.
Donc je pense en effet que c'est vain.
Et oui, c'est pas nouveau, mais l'outil démultiplie l'effet de telle sorte que ça en fait une vraie nuisance là où avant c'était assez marginal.
J'ai ouvert un compte Wise l'autre jour et j'ai dû passer par une procédure similaire.
J'ai commencé sur l'ordi de bureau, puis j'ai été invité à passer sur un téléphone pour le scan du passeport et de ma tête. J'ai tenté sur la webcam de l'ordi portable du boulot, sans succès.
J'ai énormément galéré avec un téléphone. Peut-être que la caméra est pas top. Il y a effectivement le problème des motifs sur la photo qui génèrent des reflets brillants, il faut trouver le bon angle. Et la page qui scanne la photo a des traits pour indiquer où placer le document, mais vu la résolution de la caméra c'était trop petit, donc j'ai débordé allègrement pour utiliser toute la résolution de la page. Et ça restait encore un peu flou.
Comme je galérais avec le passeport, j'ai tenté une vieille carte d'identité mais le logiciel a détecté qu'elle était périmée.
Le passeport a fini par être reconnu et ensuite c'était au scan de mon visage que ça foirait. Je crois que le Firefox du téléphone n'arrivait pas à accéder à la caméra, ou pas en mode selfie, alors qu'il réussissait bien à scanner le doc juste avant. J'ai pourtant tenté de donner toutes les autorisations.
J'ai essayé de gruger le système avec le PC en simulant une webcam dans laquelle je streamais une photo de moi avec vlc mais ça a pas marché non plus…
J'ai fini par réussir avec la procédure "normale" (smartphone) avec le navigateur par défaut au bout de plusieurs essais.
Grosse galère, en tout cas. Je sais pas si d'autres y arrivent directement. Peut-être que leur caméra est meilleure.
D'autant qu'on apprend que le mec s'est relevé, avait envie de recommencer, a refusé d'aller à l'hosto et est mort plus tard. C'est plus compliqué de dire qu'il a été "laissé pour mort".
Je suis d'accord sur le fait qu'on décrète l'obligation en laissant le privé faire n'importe quoi.
Sur l'implémentation d'une solution "propre", je sais pas si c'est simple. En tout cas, ça fait pas consensus.
J'ai fait une recherche rapide pour mieux comprendre les systèmes à double anonymat et trouvé cette page qui critique deux méthodes de double anonymat. (Je recommande la lecture pour bien comprendre comment ça marche.)
Je ne comprends pas bien l'intérêt du "challenge" émis par le site "Origin" et transmis au tiers de confiance "Issuer".
Dit autrement, je ne vois pas pourquoi on ne pourrait pas se contenter d'un certificat signé électroniquement par une autorité reconnue avec le minimum d'info (ex. âge) et juste une limite de temps de quelques minutes. Est-ce seulement à cause de la possibilité de revente ?
Je pense pas qu'on puisse tuer le fascisme en éliminant physiquement les fascistes. C'est une idéologie qu'il faut démonter. Mais affirmer ça ne répond pas à la question de que faire face à la menace qu'ils représentent concrètement aujourd'hui.
Les collectifs antifas se sont créés en réaction à la menace fasciste (ils étaient pas là avant, ça n'aurait pas de sens, hein) et je n'ai pas de leçon à donner sur comment on lutte contre l'ED, notamment physiquement, dans la rue, quand elle tente d'y occuper l'espace. Ceci dit le rapport à la violence fait débat en interne chez eux aussi. Féminisme vs. postures virilistes, etc.
La mort du militant ED invite les forces de gauches et antifascistes à questionner le rapport à la violence. D'un point de vue moral. Et d'un point de vue efficacité : l'ED a maintenant son martyr et ça pourrait avoir des conséquences politiques graves.
L'ED tue parfois. Trop. C'est minimisé. "Le FN/RN est respectable, pas de problème."
2026, l'ED vient pour tuer mais ça se passe pas comme prévu. Un facho meurt au front. Les politiques et les médias s'emballent, repeignent l'agresseur en enfant de chœur et en profitent pour charger la gauche. "Le danger c'est la gauche. La gauche tue."
Le deux poids / deux mesures est intolérable. Tout comme le récit mensonger.
Et les politiques qui ont constamment minimisé voire encouragé la violence des fachos ont leur part de responsabilité.
certains s'acharnent à vouloir justifier la chose, voire semblent s'en réjouir par que c'est un « nazi » qui a été tué.
Je crois que l'essentiel des déclarations rappellent qu'une telle mort est tragique, facho ou pas.
(Et je ne fais pas partie des agressés, mais je peux comprendre qu'ils se réjouissent que le mort se soit trouvé cette fois-ci du côté des agresseurs.)
Le discours de l'ED passe crême dans les médias en dépit de l'enquête du Canard Enchaîné qui montre qu'on avait affaire à des néo-nazis entraînés et venus pour cogner.
C'est assez bien décrit sur le média en ligne Contre-Attaque.
C'est peut-être pas l'endroit pour poser la question mais je comprends pas.
Je comprends bien la notion de clé privée pour signer un OS ou un .apk, par exemple. Je comprends que l'OS peut réclamer des .apk signées par des clés (ou autorités) que seul lui accepte.
Pour que l'OS signé ne puisse pas être remplacé, il faut la complicité du matériel dans lequel on hardcode la clé publique ou plutôt l'autorité.
Si j'utilise un OS alternatif (ex. mon LOS sur mon Moto), j'ai un message au démarrage qui dit que l'OS n'est pas "trusted" (de mémoire). (Au passage, les gens que ça intéresse pourront lire ce post intéressant sur Reddit.)
Une fois que je suis dans l'OS alternatif, il me semble que "je fais ce que je veux", je veux dire par là que je peux dialoguer avec un serveur (banque,…) comme si j'étais l'application signée, fût-ce aux prix d'un reverse engineering compliqué sur l'appli en question.
Si la sécurité repose sur la complexité de ce reverse, on est d'accord que c'est de l'obscurité.
Authentifier l'application d'origine avec une clé privée qui serait dans l'appli n'est pas une réponse puisqu'évidemment elle pourrait être extraite pour être utilisée par l'appli "pirate".
Comment le serveur pourrait-il vérifier la signature du matériel ou de l'OS ?
On reste sur un modèle où la sécurité est assurée côté client. Le serveur vérifie que le client a bien la bonne clé (OS non modifié, si je comprends bien).
Et donc si c'est la bonne clé, ça veut dire que l'OS n'est pas modifié, qu'il a bien pris l'appli sur le store, et que c'est donc conforme.
Supposons que ça marche (qu'on peut pas modifier le téléphone et le faire envoyer les mêmes clés, c'est la partie que je comprends pas bien techniquement), on délègue la sécurité à la confiance placée en Android (Google) / iOS (Apple).
C'est intéressant et ça pointe des actions à mener si la banque retire la solution SMS (qui n'est pas une solution pour celleux qui n'ont pas de mobile, mais bon).
Mais on reste sur la défensive et je crains le jour où la méthode SMS va être retirée, par les banques ou le législateur, et je trouverais pertinent qu'on (yakafokon toujours) bataille en amont pour la mise en place d'une solution convenable.
D'autant que le jour où le SMS saute, il y aura pas beaucoup de gens capables de se priver de solution et même les plus réticents risquent d'installer l'appli, de sorte que le problème sera perçu comme résiduel (ça concerne que quelques personnes donc c'est pas un problème).
Et dans mon message au-dessus, j'appelais aussi de mes voeux un Wero ouvert qui est un sujet connexe. D'autant que dans ma banque (Crédit Coop) lorsqu'on ajoute un IBAN via l'interface web pour les virements, on doit attendre 2 ou 3 jours pour faire le virement, alors que si on passe par l'appli je crois que c'est instantané. Encore une pression à utiliser l'appli (ou Wero).
Se rendre sur ton espace client n’est pas une 2FA mais une 1FA.
Il me semble que TOTP est considéré 2FA. En tout cas c'est comme ça que l'appellent tous les sites qui le recommandent en plus du mot de passe (ou du SMS).
Alors on est en plein dans la sécurité par l'obscurité. C'est pas sérieux.
Du point de vue du serveur (site bancaire, site marchand à l'origine de la transaction), il y a un dialogue avec un terminal (le téléphone de l'utilisateur). Ce dialogue répond à une API, documentée ou pas.
Comment le serveur peut-il être sûr de l'appareil qu'il a en face ?
Est-ce juste l'obscurité du protocole ?
Est-ce un certificat / une clé ?
Dans tous les cas on pourrait déjà avoir une appli "pirate" qui s'exécute à la place.
OK, donc le OTP classique n'est pas conforme car pas contextuel.
Pour autant, il doit bien être possible de faire du contextuel avec des API ouvertes et une implémentation libre, non ?
Est-ce que ça pourrait être une extension à OTP ou bien c'est trop différent ? Je sais pas. Mais ça doit bien être possible de faire ça de façon standard.
Aujourd'hui, chaque appli bancaire doit bien utiliser l'API de la banque pour le faire. Et les API des différentes banques doivent être assez similaires pour ça.
[^] # Re: Systèmes alternatifs
Posté par jihele . En réponse au lien Pétition contre le verrouillage d'apps Android. Évalué à 5 (+3/-0). Dernière modification le 27 février 2026 à 11:28.
Oui, tu as raison. Je mélange avec une autre news (j'ai plus la source) qui créait une inquiétude à ce sujet.
Concernant les applis non signées, on en a déjà parlé ici et il se disait à juste titre que même s'il est possible de les faire tourner sur les OS alternatifs, on peut craindre que ce soit trop niche pour que leur développement se poursuive.
[^] # Re: Systèmes alternatifs
Posté par jihele . En réponse au lien Pétition contre le verrouillage d'apps Android. Évalué à 2 (+0/-0).
C'est un fork de LineageOS, qui est basé sur Android.
Si demain Android n'est plus libre ou du moins plus utilisable, il n'y a plus d'upstream.
# Bientôt intedit
Posté par jihele . En réponse au lien Démarchage téléphonique : des records d'appels indésirables en 2025, comment s'en prémunir ?. Évalué à 6 (+4/-0).
Les publicitaires ne vont pas en rester là.
Je crains qu'au moindre achat on doive signer des CGV qui autorisent les partenaires, etc.
# Systèmes alternatifs
Posté par jihele . En réponse au lien Pétition contre le verrouillage d'apps Android. Évalué à 2 (+0/-0).
Je m'interroge sur le devenir de LineageOS si ça se ferme upstream.
Existe-t-il des systèmes alternatifs viables qui ne soient pas des Android custom?
Le seul auquel je pense est FirefoxOS, qui a été abandonné il y a longtemps.
Et j'imagine que c'est compliqué d'avoir le support matériel sur un OS minoritaire vu que les fabricants vont pas y mettre du leur.
[^] # Re: OpenClaw
Posté par jihele . En réponse au journal Recrudescence de contributions générées par IA. Évalué à 7 (+5/-0).
Grave.
Je l'utilise que pour gérer les impôts, ProNote et Tinder.
Le code, je le fais moi-même.
[^] # Re: Problème de méthode, pas de fond
Posté par jihele . En réponse au journal Recrudescence de contributions générées par IA. Évalué à 6 (+4/-0).
Je suis assez d'accord.
Il se trouve qu'on a un environnement, entre l'intégration GitHub, les LLM qui annoncent la lune, etc. qui fait que le premier noob qui passe n'a pas honte d'envoyer 70 PR quitte à ce que seulement 3 soient acceptées. Voire à la fin il va être content parce que 3 PR acceptées, c'est bien, sans réaliser le coût en bruit.
L'analyse statique, le formatage de code, on fait déjà, et sans LLM.
J'aurais même pas d'objection à ce qu'un contributeur fasse tourner un Valgrind ou LLM et nous envoie le rapport, idéalement commenté et priorisé, ou nous donne la config pour le faire nous-même. Je dis bien dans le journal qu'il peut y avoir un apport positif de ces technos.
Mais balancer des PR aveuglément sans chercher à les comprendre, c'est du bruit (avec un peu de signal dedans).
Effectivement, passer sur une plateforme différente pourrait freiner ce bruit. Assez pour le stopper, dans un premier temps. Mais c'est pas super satisfaisant. Éduquer les contributeurs le serait plus, mais c'est un vaste programme.
# A pondérer, sans doute
Posté par jihele . En réponse au lien Vulnérabilités open source : +107 % en un an, l’IA de codage en cause selon Black Duck. Évalué à 2 (+0/-0).
Peut-être que l'IA fait qu'on décèle plus de faille.
Et une vulnérabilité dans un logiciel codé avec les pieds et l'IA que personne utilise, c'est pas aussi important qu'une vulnérabilité dans OpenSSH par exemple, et j'espère bien que dans les libs critiques (même celles qui dépendent d'un développeur seul dans son coin) on injecte pas bêtement du code de ChatGPT.
Donc chiffre à prendre avec des pincettes, même s'il traduit une vraie tendance de fond.
Dit autrement, on a peut-être toujours autant de code de qualité, mais plus de code de merde autour.
[^] # Re: vieux problème amplifié
Posté par jihele . En réponse au journal Recrudescence de contributions générées par IA. Évalué à 5 (+3/-0).
Je suis d'accord.
Effectivement, ils auront peut-être leur nom au générique d'une lib connue, mais si on consulte leur historique, on voit bien qu'ils ont mitraillé à l'IA.
Je doute que les recruteurs en question se donnent cette peine, mais je doute aussi qu'ils voient que le postulant est cité dans les auteurs de telle ou telle lib.
Et un technique qui prend la peine de regarder verra rapidement à qui il a affaire.
Donc je pense en effet que c'est vain.
Et oui, c'est pas nouveau, mais l'outil démultiplie l'effet de telle sorte que ça en fait une vraie nuisance là où avant c'était assez marginal.
# OpenClaw
Posté par jihele . En réponse au journal Recrudescence de contributions générées par IA. Évalué à 5 (+3/-0).
Un co-mainteneur me souffle qu'il s'agirait d'OpenClaw.
# Même expérience de la vérification d'identité
Posté par jihele . En réponse au journal Transactions financières, secteur associatif, et vie privée. Évalué à 3 (+1/-0).
J'ai ouvert un compte Wise l'autre jour et j'ai dû passer par une procédure similaire.
J'ai commencé sur l'ordi de bureau, puis j'ai été invité à passer sur un téléphone pour le scan du passeport et de ma tête. J'ai tenté sur la webcam de l'ordi portable du boulot, sans succès.
J'ai énormément galéré avec un téléphone. Peut-être que la caméra est pas top. Il y a effectivement le problème des motifs sur la photo qui génèrent des reflets brillants, il faut trouver le bon angle. Et la page qui scanne la photo a des traits pour indiquer où placer le document, mais vu la résolution de la caméra c'était trop petit, donc j'ai débordé allègrement pour utiliser toute la résolution de la page. Et ça restait encore un peu flou.
Comme je galérais avec le passeport, j'ai tenté une vieille carte d'identité mais le logiciel a détecté qu'elle était périmée.
Le passeport a fini par être reconnu et ensuite c'était au scan de mon visage que ça foirait. Je crois que le Firefox du téléphone n'arrivait pas à accéder à la caméra, ou pas en mode selfie, alors qu'il réussissait bien à scanner le doc juste avant. J'ai pourtant tenté de donner toutes les autorisations.
J'ai essayé de gruger le système avec le PC en simulant une webcam dans laquelle je streamais une photo de moi avec vlc mais ça a pas marché non plus…
J'ai fini par réussir avec la procédure "normale" (smartphone) avec le navigateur par défaut au bout de plusieurs essais.
Grosse galère, en tout cas. Je sais pas si d'autres y arrivent directement. Peut-être que leur caméra est meilleure.
[^] # Re: Biais médiatique
Posté par jihele . En réponse au lien Mort de Quentin Deranque : un deuxième collaborateur du député LFI Raphaël Arnault fait partie des onze personnes en garde à vue. Évalué à 5 (+4/-1).
D'autant qu'on apprend que le mec s'est relevé, avait envie de recommencer, a refusé d'aller à l'hosto et est mort plus tard. C'est plus compliqué de dire qu'il a été "laissé pour mort".
[^] # Re: Traduction approximative de la conclusion
Posté par jihele . En réponse au lien Le piège de la vérification d'âge. Évalué à 4 (+2/-0).
Je suis d'accord sur le fait qu'on décrète l'obligation en laissant le privé faire n'importe quoi.
Sur l'implémentation d'une solution "propre", je sais pas si c'est simple. En tout cas, ça fait pas consensus.
J'ai fait une recherche rapide pour mieux comprendre les systèmes à double anonymat et trouvé cette page qui critique deux méthodes de double anonymat. (Je recommande la lecture pour bien comprendre comment ça marche.)
Je ne comprends pas bien l'intérêt du "challenge" émis par le site "Origin" et transmis au tiers de confiance "Issuer".
Dit autrement, je ne vois pas pourquoi on ne pourrait pas se contenter d'un certificat signé électroniquement par une autorité reconnue avec le minimum d'info (ex. âge) et juste une limite de temps de quelques minutes. Est-ce seulement à cause de la possibilité de revente ?
[^] # Re: Biais médiatique
Posté par jihele . En réponse au lien Mort de Quentin Deranque : un deuxième collaborateur du député LFI Raphaël Arnault fait partie des onze personnes en garde à vue. Évalué à 7 (+7/-2).
Je pense pas qu'on puisse tuer le fascisme en éliminant physiquement les fascistes. C'est une idéologie qu'il faut démonter. Mais affirmer ça ne répond pas à la question de que faire face à la menace qu'ils représentent concrètement aujourd'hui.
Les collectifs antifas se sont créés en réaction à la menace fasciste (ils étaient pas là avant, ça n'aurait pas de sens, hein) et je n'ai pas de leçon à donner sur comment on lutte contre l'ED, notamment physiquement, dans la rue, quand elle tente d'y occuper l'espace. Ceci dit le rapport à la violence fait débat en interne chez eux aussi. Féminisme vs. postures virilistes, etc.
La mort du militant ED invite les forces de gauches et antifascistes à questionner le rapport à la violence. D'un point de vue moral. Et d'un point de vue efficacité : l'ED a maintenant son martyr et ça pourrait avoir des conséquences politiques graves.
[^] # Re: Biais médiatique
Posté par jihele . En réponse au lien Mort de Quentin Deranque : un deuxième collaborateur du député LFI Raphaël Arnault fait partie des onze personnes en garde à vue. Évalué à 10 (+16/-5).
L'ED tue parfois. Trop. C'est minimisé. "Le FN/RN est respectable, pas de problème."
2026, l'ED vient pour tuer mais ça se passe pas comme prévu. Un facho meurt au front. Les politiques et les médias s'emballent, repeignent l'agresseur en enfant de chœur et en profitent pour charger la gauche. "Le danger c'est la gauche. La gauche tue."
Le parallèle avec l'histoire de Horst Wessel en 1930 est intéressant. Et surtout inquiétant.
Le deux poids / deux mesures est intolérable. Tout comme le récit mensonger.
Et les politiques qui ont constamment minimisé voire encouragé la violence des fachos ont leur part de responsabilité.
Je crois que l'essentiel des déclarations rappellent qu'une telle mort est tragique, facho ou pas.
(Et je ne fais pas partie des agressés, mais je peux comprendre qu'ils se réjouissent que le mort se soit trouvé cette fois-ci du côté des agresseurs.)
# Biais médiatique
Posté par jihele . En réponse au lien Mort de Quentin Deranque : un deuxième collaborateur du député LFI Raphaël Arnault fait partie des onze personnes en garde à vue. Évalué à 10 (+17/-9).
Le discours de l'ED passe crême dans les médias en dépit de l'enquête du Canard Enchaîné qui montre qu'on avait affaire à des néo-nazis entraînés et venus pour cogner.
C'est assez bien décrit sur le média en ligne Contre-Attaque.
https://contre-attaque.net/2026/02/18/lyon-plusieurs-auteurs-du-guet-apens-tendu-aux-antifascistes-sont-identifies-par-nos-sources/
https://contre-attaque.net/2026/02/17/le-canard-enchaine-confirme-notre-enquete-avec-une-autre-video-les-fascistes-ont-bien-organise-un-guet-apens-arme/
https://contre-attaque.net/2026/02/17/lassemblee-nationale-rend-hommage-a-un-neo-nazi/
https://contre-attaque.net/2026/02/16/revelations-de-nouvelles-images-et-un-temoignage-revelent-quune-embuscade-a-bien-ete-tendue-le-12-fevrier-par-des-fascistes-lyonnais/
[^] # Re: Résumé des arguments à utiliser (quelle que soit la banque d'ailleurs) et des solutions possibles
Posté par jihele . En réponse au journal Boursorama semble dorénavant imposer l'usage d'un smartphone pour utiliser ses services. Évalué à 2 (+0/-0).
C'est peut-être pas l'endroit pour poser la question mais je comprends pas.
Je comprends bien la notion de clé privée pour signer un OS ou un .apk, par exemple. Je comprends que l'OS peut réclamer des .apk signées par des clés (ou autorités) que seul lui accepte.
Pour que l'OS signé ne puisse pas être remplacé, il faut la complicité du matériel dans lequel on hardcode la clé publique ou plutôt l'autorité.
Si j'utilise un OS alternatif (ex. mon LOS sur mon Moto), j'ai un message au démarrage qui dit que l'OS n'est pas "trusted" (de mémoire). (Au passage, les gens que ça intéresse pourront lire ce post intéressant sur Reddit.)
Une fois que je suis dans l'OS alternatif, il me semble que "je fais ce que je veux", je veux dire par là que je peux dialoguer avec un serveur (banque,…) comme si j'étais l'application signée, fût-ce aux prix d'un reverse engineering compliqué sur l'appli en question.
Si la sécurité repose sur la complexité de ce reverse, on est d'accord que c'est de l'obscurité.
Authentifier l'application d'origine avec une clé privée qui serait dans l'appli n'est pas une réponse puisqu'évidemment elle pourrait être extraite pour être utilisée par l'appli "pirate".
Comment le serveur pourrait-il vérifier la signature du matériel ou de l'OS ?
[^] # Re: Résumé des arguments à utiliser (quelle que soit la banque d'ailleurs) et des solutions possibles
Posté par jihele . En réponse au journal Boursorama semble dorénavant imposer l'usage d'un smartphone pour utiliser ses services. Évalué à 4 (+2/-0).
Quelque-chose m'échappe.
On reste sur un modèle où la sécurité est assurée côté client. Le serveur vérifie que le client a bien la bonne clé (OS non modifié, si je comprends bien).
Et donc si c'est la bonne clé, ça veut dire que l'OS n'est pas modifié, qu'il a bien pris l'appli sur le store, et que c'est donc conforme.
Supposons que ça marche (qu'on peut pas modifier le téléphone et le faire envoyer les mêmes clés, c'est la partie que je comprends pas bien techniquement), on délègue la sécurité à la confiance placée en Android (Google) / iOS (Apple).
C'est pas un peu moisi comme modèle ?
[^] # Re: Action politique
Posté par jihele . En réponse au journal Boursorama semble dorénavant imposer l'usage d'un smartphone pour utiliser ses services. Évalué à 3 (+1/-0).
Merci pour le lien vers la page de wiki.
C'est intéressant et ça pointe des actions à mener si la banque retire la solution SMS (qui n'est pas une solution pour celleux qui n'ont pas de mobile, mais bon).
Mais on reste sur la défensive et je crains le jour où la méthode SMS va être retirée, par les banques ou le législateur, et je trouverais pertinent qu'on (yakafokon toujours) bataille en amont pour la mise en place d'une solution convenable.
D'autant que le jour où le SMS saute, il y aura pas beaucoup de gens capables de se priver de solution et même les plus réticents risquent d'installer l'appli, de sorte que le problème sera perçu comme résiduel (ça concerne que quelques personnes donc c'est pas un problème).
Et dans mon message au-dessus, j'appelais aussi de mes voeux un Wero ouvert qui est un sujet connexe. D'autant que dans ma banque (Crédit Coop) lorsqu'on ajoute un IBAN via l'interface web pour les virements, on doit attendre 2 ou 3 jours pour faire le virement, alors que si on passe par l'appli je crois que c'est instantané. Encore une pression à utiliser l'appli (ou Wero).
[^] # Re: Résumé des arguments à utiliser (quelle que soit la banque d'ailleurs) et des solutions possibles
Posté par jihele . En réponse au journal Boursorama semble dorénavant imposer l'usage d'un smartphone pour utiliser ses services. Évalué à 2 (+0/-0). Dernière modification le 10 février 2026 à 16:11.
Lire un QR code ça peut se faire avec avec un tél ou une extension libre de navigateur.
Qu'y a-t-il dans le boîtier fermé qui ne soit pas faisable dans un truc (matériel, logiciel) ouvert ?
[^] # Re: Résumé des arguments à utiliser (quelle que soit la banque d'ailleurs) et des solutions possibles
Posté par jihele . En réponse au journal Boursorama semble dorénavant imposer l'usage d'un smartphone pour utiliser ses services. Évalué à 4 (+2/-0).
Il me semble que TOTP est considéré 2FA. En tout cas c'est comme ça que l'appellent tous les sites qui le recommandent en plus du mot de passe (ou du SMS).
[^] # Re: Résumé des arguments à utiliser (quelle que soit la banque d'ailleurs) et des solutions possibles
Posté par jihele . En réponse au journal Boursorama semble dorénavant imposer l'usage d'un smartphone pour utiliser ses services. Évalué à 9 (+7/-0).
Alors on est en plein dans la sécurité par l'obscurité. C'est pas sérieux.
Du point de vue du serveur (site bancaire, site marchand à l'origine de la transaction), il y a un dialogue avec un terminal (le téléphone de l'utilisateur). Ce dialogue répond à une API, documentée ou pas.
Comment le serveur peut-il être sûr de l'appareil qu'il a en face ?
Est-ce juste l'obscurité du protocole ?
Est-ce un certificat / une clé ?
Dans tous les cas on pourrait déjà avoir une appli "pirate" qui s'exécute à la place.
[^] # Re: Résumé des arguments à utiliser (quelle que soit la banque d'ailleurs) et des solutions possibles
Posté par jihele . En réponse au journal Boursorama semble dorénavant imposer l'usage d'un smartphone pour utiliser ses services. Évalué à 3 (+1/-0).
OK, donc le OTP classique n'est pas conforme car pas contextuel.
Pour autant, il doit bien être possible de faire du contextuel avec des API ouvertes et une implémentation libre, non ?
Est-ce que ça pourrait être une extension à OTP ou bien c'est trop différent ? Je sais pas. Mais ça doit bien être possible de faire ça de façon standard.
Aujourd'hui, chaque appli bancaire doit bien utiliser l'API de la banque pour le faire. Et les API des différentes banques doivent être assez similaires pour ça.
[^] # Re: Action politique
Posté par jihele . En réponse au journal Boursorama semble dorénavant imposer l'usage d'un smartphone pour utiliser ses services. Évalué à 2 (+0/-0).
Action qui n'empêche pas en parallèle de s'adresser aux banques en tant que client, voire sociétaire (Crédit Coopératif, par exemple).
[^] # Re: CIC
Posté par jihele . En réponse au journal Boursorama semble dorénavant imposer l'usage d'un smartphone pour utiliser ses services. Évalué à 3 (+1/-0).
C'est ce qu'il dit. C'est l'option smartphone de merde dédié qui nécessite un chargement régulier.
[^] # Re: Action politique
Posté par jihele . En réponse au journal Boursorama semble dorénavant imposer l'usage d'un smartphone pour utiliser ses services. Évalué à 4 (+2/-0).
J'ai écrit appli mais on pourrait souhaiter plus largement des alternatives sans ordiphone qui ne soient pas un déplacement en agence.
À creuser…