Bonjour.
Ingénieur informaticien dans le secteur bancaire, retraité, j’observe depuis longtemps les dangereuses dérives informatiques des banques, qui de fait aggravent l’insécurité des données des clients.
Ces 25 dernières années j’ai pu expérimenter plusieurs banques :
Crédit Agricole, Crédit Lyonnais, BNP, Banque Populaire, Caisse d’Epargne, Société Générale, et actuellement Boursobank.
Un constat général : des compétences bancaires et informatiques limitées, une imagination créative très limitée et anarchique, etc..
Les réponses habituelles aux clients :
En cas de « BUG » - Essayez plus tard, redémarrez votre équipement, envoyez une copie écran (page vierge avec 3 points qui clignotent en boucle !).
Ma réponse : consultez vos « logs » d’applications, je peux aussi vous envoyer mon historique de navigation si vous savez le lire !
Disparition de mon smartphone et de ma CB :
Utilisez un autre téléphone (sms de validation envoyé au téléphone disparu), joignez le service dédié à ce genre de signalement (aux heures de disponibilité !).
Je pose les questions qui fâchent : Mon épouse et moi-même étant titulaires d’un compte commun, pourquoi ne pouvons-nous pas valider nos accès avec n’importe lequel de nos équipements qui sont tous communs ?
Vos techniciens connaissent-ils l’existence du « DUAL-SIM » (2 lignes sur le même mobile), et encore plus fort, le «MULTI-SIM» (1 seul numéro sur 2 équipements) ?
Au moins 2 banques que j’ai testées, exigent la configuration 1 identifiant = 1 téléphone
mobile, dans ce cas ils devraient être fournis gratuitement avec leurs abonnements.
Solution « conseillée » : connectez-vous sur le site web avec n’importe lequel de vos appareils, comme avec un PC Windows, et vous pourrez utiliser des identifiants différents !
Cependant, les conseillers continuent à dire vous avez une banque en ligne, vous devez avoir un téléphone mobile, les procédures de sécurité que nous vous faisons appliquer ne sont pas de notre fait, mais répondent aux directives européennes.
Pendant ce temps, les prétendues cyber-attaques qui sont la plupart du temps des cyber-négligences se traduisent par la divulgation de nos données personnelles et très sensibles
telles que dates de naissance, adresses mail, mots de passe, RIB, CB, et même empreintes,
photos, copie de documents d’identité, etc.., facilement utilisables par des escrocs débutants.
Bien sûr la prétendue intelligence artificielle qui n’est qu’une intelligence programmée, à base de tables de décisions va résoudre tous ces problèmes !
# A voir aussi
Posté par Luc-Skywalker . Évalué à 9 (+7/-0). Dernière modification le 02 juin 2026 à 15:35.
noté +45: https://linuxfr.org/news/banques-en-ligne-l-authentification-forte-doit-elle-imposer-android-ou-iphone
noté +35: https://linuxfr.org/users/zurvan-0/journaux/boursorama-semble-dorenavant-imposer-l-usage-d-un-smartphone-pour-utiliser-ses-services
noté +34: https://linuxfr.org/users/hg203/journaux/exigeons-des-banques-une-vraie-mise-en-oeuvre-de-la-dsp2
etc
(je les ai retrouvé avec le tag "banque")
"Si tous les cons volaient, il ferait nuit" F. Dard
# Pas mieux ici
Posté par dr191 . Évalué à 10 (+9/-0).
Pas exactemenent bancaire, un gestionnaire de PEE ( plan épargne entreprise ).
Depuis la mise en place d'un 2FA, le mot de passe complexe a été limité à un code à 6 chiffres.
Jusqu'ici j'arrivais encore a utiliser un mot de passe complexe sur le site web ou l'appli ( malgré le clavier numérique imposé sur l'appli).
Derniérement, besoin de valider une opération, ou après m'etre connecté, on me demande à nouveau le mot de passe pour valider l'opération spécifique. Et là, pas moyen de saisir autre chose que 6 chiffres, le formulaire web ne l'autorise pas.
Je regarde la faq, bonnes pratiques de sécurité: mot de passe complexe 15 caractères, chiffres, lettres, majuscules, minuscules, au moins 1 caractère spécial. Cela fait meme référence à l'ANSSI sur les bonnes pratiques de gestion de mot de passe.
Je fais donc une demande au service support sur ce mot de passe à 6 chiffres imposé, mentionnant la contradiction avec leur FAQ et les bonnes pratiques.
Vous vous doutez de la réponse, allez vous faire …
Il y'a vraiement des claques qui se perdent !
[^] # Re: Pas mieux ici
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 9 (+6/-0). Dernière modification le 02 juin 2026 à 16:56.
Oh, c'est pareil partout. Perso, j'ai trois séries de mots de passes :
Mais bon, il faut dire que les banques n'en ont rien à faire de la sécurité, elles sont là pour obéir à des règles. Pour cocher des cases, si vous préférez. Des cases qui parlent de sécurité, mais le but en tant que tel n'est pas la sécurité, seulement la conformité. La sécurité, c'est plutôt un élément de culture d'entreprise, visiblement absent chez ce genre d'acteur.
[^] # Re: Pas mieux ici
Posté par gUI (Mastodon) . Évalué à 5 (+2/-0).
Tout dépend des mesures complémentaires : 4 chiffres c'est suffisant pour le PIN de ta CB (brute force impossible), par contre c'est insuffisant pour un antivol de vélo (brute force possible).
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Pas mieux ici
Posté par Liorel . Évalué à 6 (+4/-0).
Il y a un adage qui dit que la sécurité d'un système est égale à celle de l'élément le plus fragile.
Appliqué à un antivol de vélo, ça donne : la force brute, ça marche encore mieux avec une pince monseigneur.
Ça, ce sont les sources. Le mouton que tu veux est dedans.
[^] # Re: Pas mieux ici
Posté par potate . Évalué à 3 (+2/-0).
On vend de très pratiques meuleuse portatives sur batterie maintenant. C'est moins encombrant, et même pas besoin de forcer. 😏
[^] # Re: Pas mieux ici
Posté par Ysabeau 🧶 (courriel, site web personnel, Mastodon) . Évalué à 5 (+2/-0).
Et c'est plus rapide dans le genre d'opération où la vitesse compte énormément.
Je n’ai aucun avis sur systemd
[^] # Re: Pas mieux ici
Posté par Luc-Skywalker . Évalué à 5 (+3/-0). Dernière modification le 02 juin 2026 à 20:37.
A noter que ça marche aussi pour ça:
image qui vient d'ici: https://www.laprovence.com/article/societe/6534311636931514/operation-anti-boites-a-cles-a-marseille-airbnb-toujours-dans-le-viseur-de-la-ville-en-2026
"Si tous les cons volaient, il ferait nuit" F. Dard
[^] # Re: Pas mieux ici
Posté par Luc-Skywalker . Évalué à 3 (+1/-0).
Extrapolation d'un adage bulgare: "Ce que tu ne peux pas avoir (d'un douanier bulgare) avec de l'argent, tu peux l'avoir avec beaucoup d'argent"
C'est promis après je sort, donc voilà:
"Le cadenas (la garantie de la chaste intégrité) que tu ne peux pas défoncer avec un monseigneur, tu y arriveras avec un cardinal"
"Si tous les cons volaient, il ferait nuit" F. Dard
[^] # Re: Pas mieux ici
Posté par saltimbanque (site web personnel) . Évalué à 5 (+3/-0).
on ne peut pas défoncer 1000 fois 1000 codes
[^] # Re: Pas mieux ici
Posté par gUI (Mastodon) . Évalué à 9 (+6/-0).
C'est vrai qu'avec un simple couteau tu peux avoir le vélo et la CB.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Pas mieux ici
Posté par TuxMips . Évalué à 8 (+6/-0). Dernière modification le 02 juin 2026 à 20:58.
Faut voir !
Sauf à ce qu'aucune déclaration n'ai été faite à la CNIL quand je regarde "C'est qui qui a fuité aujourd'hui", nos grandes banques (privées) semblent plutôt bien résister ! Hormis la Banque de France et la Banque Alimentaire, je ne vois pas grand monde. Des mutuelles et des assurances oui…mais pour le reste, non.
Bon certes l'historique n'est pas très ancien ….
# Know your moules
Posté par devnewton 🍺 (site web personnel) . Évalué à 3 (+5/-5). Dernière modification le 02 juin 2026 à 22:15.
Bonjour Kirioroshi,
Afin de vous apporter une réponse adéquate, nous avons besoin que vous nous prouviez votre humanité.
Veuillez effectuer le parcours KYM classique avant de poster des journaux qui semblent rédigé par un LLM:
kym@linuxfr.orgavec un mail chiffré et signé.Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board
[^] # Re: Know your moules
Posté par saltimbanque (site web personnel) . Évalué à 4 (+2/-0).
Ok noté Devnewton. Mais dis moi, comment réussir sa recette de Brownies?
[^] # Re: Know your moules
Posté par aiolos . Évalué à 9 (+7/-0).
Pour le coup, ce journal me semble tellement mal écrit qu’il ne proviendrait pas, pour moi, d’un LLM. Non pas que ces derniers écrivent bien, mais ils écrivent mal différement…
Bref, ce serait un peu la différence entre un mauvais chasseur et un mauvais chasseur….
[^] # Re: Know your moules
Posté par Kirioroshi . Évalué à 5 (+5/-0).
Pourquoi pas mes codes CB , mes RIb, etc ?
S'il peut y avoir des doutes sur le fait que je sois un humain, c'est probablement
parce que je prépare toujours mes messages et commentaires d'abord dans un fichier
dont je recopie ensuite le contenu !
Je suis ainsi à l'abri des déconnexions réseau, d'un "forced logoff" sur "timeout", etc..
Egalement j'ai ainsi une archive indépendante possiblement re copiable et un éventuel modèle.
Bonne journée.
# Retour d'expérience
Posté par pulkomandy (site web personnel, Mastodon) . Évalué à 9 (+6/-0).
Je viens de changer de téléphone, j'en ai profité pour virer tous les services Google.
L'application de la Caisse d'épargne s'installe sans aucun problème, le "sécuripass" s'active (par code de confirmation SMS + délai d'attente d'une semaine + envoi d'une alerte par mail), l'application se déverrouille (si on veut faire comme ça) avec le scanner d'empreinte digitale, pas de code à rentrer, aucun problème. Merci la Caisse d'épargne! L'identification repose sur l'accès à l'appli plus un code à 6 chiffres (là, j'aurai préféré pouvoir mettre un mot de passe fort).
L'application du Crédit Mutuel refuse complètement de se lancer. Le support technique me dit que toutes les versions d'Android modifiées sont considérées comme "rootées" et donc l'application est volontairement incompatible et que je dois contacter mon conseiller pour avoir une solution alternative. Contacté par mail, mon conseiller me demande de prendre rendez-vous via le site de banque en ligne, auquel je n'ai pas accès puisque je n'ai plus mon ancien téléphone avec l'application permettant d'y accéder. J'ai accès à un mode "de secours" ou on peut uniquement consulter le solde des comptes, ce mode est activé pour seulement une semaine et pour y accéder il faut une carte en carton avec une grille de numéros à rentrer (en plus d'un mot de passe fort). Si j'arrive à prendre rendez-vous, je pourrai recevoir un "digipass" qui fonctionne apparemment par lecture de QR Codes affichés par le site internet. Je vous raconterai ça…
À la banque populaire, le système proposé est un boîtier "sécuriplus" dans lequel il faut insérer sa carte bancaire et taper des chiffres. Je ne suis plus dans cette banque, mais ce système fonctionnait assez bien, avec un mode simple (validation du code secret par génération d'une signature à 8 chiffres) et un mode signature (par exemple pour ajouter un bénéficiaire: signature sur 8 chiffres du numéro de compte à ajouter, qu'il faut rentrer dans le boîtier puis recopier la réponse). C'est un boîtier très simple avec un écran affichant une ligne de texte, mais les opérations à faire sont assez bien expliquées par le site quand on fait la manipulation.
Donc j'ai plutôt l'impression que l'imagination de manque pas? Toutes les banques ont des solutions différentes!
[^] # Re: Retour d'expérience
Posté par Pol' uX (site web personnel) . Évalué à 4 (+2/-0).
Ça fonctionne très bien.
Adhérer à l'April, ça vous tente ?
[^] # Re: Retour d'expérience
Posté par TuxMips . Évalué à 2 (+0/-0).
Pour une idée plus précise, il est possible de consulter ce fil dans le forum de Sailfish OS. Sauf erreur, il y a un fil équivalent dans le forum d'e/os.
De mon point de vue, il y a des banques qui font mieux les choses que d'autres, même sans microG !
[^] # Re: Retour d'expérience
Posté par Astaoth . Évalué à 2 (+0/-0).
Au crédit mutuel de Bretagne (la fameuse CMB), rien de tout ca, on a un SMS et un code perso pour valider ses opérations via le site de la banque. Quand j'avais parlé de Yubikey et de boitier de code, le conseillé a botté en touche, disant ne pas connaitre ces solutions là.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.