Journal Quand la banque populaire force ses clients à manger des cookies

Posté par  . Licence CC By‑SA.
Étiquettes :
14
17
juil.
2020

Cher journal,

Je t'écris pour signaler à qui voudra le lire que la Banque Populaire se moque joyeusement de ses clients en leurs imposant de manger des gros cookies bien gras ! Sinon, elle refuse de les laisser accéder à leurs compte en banque. Rien que ça !

N'est-ce pas une époque formidable ?

Bon, reste à trouver une banque acceptable… Des conseils ?

  • # Kresus GUI / weboob cli

    Posté par  . Évalué à -1.

    Weboob ou Kresus sont peut-être ta planche de salut :)

    (oui bon, tu peux avoir ton solde et tes transactions, pas faire de virement SEPA, mais ça suffit pour une consultation des transactions)

    • [^] # Re: Kresus GUI / weboob cli

      Posté par  . Évalué à 9. Dernière modification le 17 juillet 2020 à 16:20.

      Oui, mais non. Je peux très bien accéder à mon compte avec un navigateur que je « reset » à chaque session. Mais cela n'empêche pas que je ne souhaite plus utiliser les services d'une banque qui bloque ces clients soucieux de leurs vies privées…

    • [^] # Re: Kresus GUI / weboob cli

      Posté par  . Évalué à 2.

      pas faire de virement SEPA

      Si, c'est possible avec la ligne de commande.

  • # but why ?

    Posté par  . Évalué à 3.

    Question aux moisseurs : qu'est-ce qui à motivé votre moissage ? (je ne comprend pas)

    • [^] # Re: but why ?

      Posté par  . Évalué à 4. Dernière modification le 17 juillet 2020 à 19:48.

      les fautes d'ortho ? il poste en négatif :o) et oui ca doit etre possible, hi hi hi

      et les journal bookmark c'est dans la categorie lien, il nous aurait fait une analyse complete genre :

      https://www.pixeldetracking.com/fr/meteo-france-fuite-geolocalisation

      avec du wireshark dedans il risque d'être à +40, on n'est pas chez voici.fr ici ! meme si c'est dans le sujet

      • [^] # Re: but why ?

        Posté par  . Évalué à 7.

        Bah, d'un autre côté, les bronzonizations sont vachement moins intéressantes que ce message, et personne leur dit d'aller coller ça dans les liens.

        Bon, accessoirement, un lien ne permets pas un titre assez long pour dire ce qu'on pense du lien. Et, du coup, perso, j'aime pas les liens. D'ailleurs, y'a rarement des commentaires, et c'est encore pire pour les échanges réels.

        Il n'y est pas non plus possible de demander des alternatives (certes, ça aurait plus ça place dans les forums, mais vu qu'il y a annonce aussi, peut-être pas tant que ça?).

    • [^] # Re: but why ?

      Posté par  . Évalué à 3.

      J'ai moinssé le journal parce que … c'est du FUD.
      Même si ta démarche est très vraisemblablement sincère.

      Du FUD parceque ce journal fait l'impasse sur le contexte bancaire en France :
      - un secteur très régulé avec des acteurs qui craignent les foudres de la Banque de France et font valider chaque évolution de leurs services en ligne par leurs services Conformité et Juridique
      - des services de banque en ligne parfois vieillissants ou s'appuyant sur des socles vieillissants expliquant que chez les banques traditionnelles ont n'est pas au même niveau d'état de l'art que les néobanques; et dans le cas des Banques Populaire / Crédit Coopératif / Caisse d'Epargne, ces services utilisent des composants communs du groupe BPCE : les cookie "tiers" restent peut-être dans cette famille
      - des exigences réglementaires de plus en plus strictes sur la sécurité (authentification, validation des transactions) qui interdit l'usage de champs login/mdp et impose maintenant des authentifications renforcées
      - une culture très ancrée de la confidentialité dans le monde bancaire et une absence de business autour de la data (les banques françaises grand public gagnent leur argent en facturaant des commissions bancaires)
      - des exigences de connaissance presque intime des clients non seulement pour maitriser leurs risques (accorder un crédit ? un découvert ?) mais également réglementaires et légales (lutte anti blanchiement, anti fraude, anti terrorisme)

      En synthèse, dans le cas des Banques Populaires tout particulièrement, ce genre d'irritants est plus fortuit que voulu (et la population génée était très restreinte précédemment; cela change avec la prise de conscience des mauvaises pratiques sur le web).

      Pragmatiquement,

      BeOS le faisait il y a 20 ans !

      • [^] # Re: but why ?

        Posté par  . Évalué à 10.

        J'ai moinssé le journal parce que … c'est du FUD.

        C'est vrai. Un peu.

        Le comportement dénoncé est complètement nouveau. Avant, ça marchait très bien. Et il y a eu un projet de mise à jour, visiblement pour la DSP2, visiblement pour le groupe BPCE en entier. Et ce projet demande quelque chose de complètement fou : désactiver une protection. Car oui, quand je clique sur « valider » pour mon code confidentiel, ça appelle du Javascript de tags.tiqcdn.com. Donc justement, la culture du risque est totalement inexistante, ou tout du moins complètement à côté de sa cible. Une page d'identification ne devrait même pas contenir de Javascript. C'est facile, et on peut même la faire jolie.

  • # Une belle brochette

    Posté par  . Évalué à 10.

    Tout est bon sur ce site :

    • Ne marche pas sans activer du JS externe
    • Demande de désactiver des protections pour accéder à un site « sécurisé »
    • Affiche des captures d'écrans prises avec un appareil photo
    • Effectue une boucle active pour faire des requêtes POST sans pause entre les requêtes
  • # Site commun BPCE

    Posté par  . Évalué à 6.

    Je me disais bien que ça me disait quelque chose : j'ai le même symptôme au Crédit Coopératif

    C'est le même site pour tous les membres de BPCE : Banque Populaire, Caisse d'Épargne, et donc aussi Crédit Coopératif.

    J'ai écrit un message au service technique. Avec un peu de chance, il ne finira pas à la poubelle.

    • [^] # Re: Site commun BPCE

      Posté par  . Évalué à 10.

      J'avais déjà oublié que j'avais reçu leur réponse. Voici ma requête :

      Bonjour,
      Depuis peu, le clavier virtuel a évolué sur votre site. Cette page semble nécessiter le chargement d'une ressource Javascript tierce depuis https:// tags.tiqcdn.com/utag/caisse-epargne/ccoop/prod/utag.js
      Je tiens à signaler que cette ressource est identifiée comme « gênante » par les bloqueurs de publicité, car elle contient des éléments effectuant du suivi comportemental. Elle n'a donc strictement rien à faire sur la page de saisie du code personnel d'authentification.
      En anticipant votre réponse, je tiens à vous dire que je ne désactiverai pas mon bloqueur de publicité, qui est précisément là pour augmenter la sécurité lors de ma navigation sur Internet en évitant de charger des scripts tiers suspects. tags.tiqcdn.com est régulièrement bloqué sur d'autres sites, sans aucun impact sur la navigation. D'ailleurs, j'utilise également un outil de scraping pour accéder à mes comptes qui fonctionne parfaitement.
      Merci donc de faire le nécessaire afin de ne plus charger cette ressource externe.

      Et donc voici leur réponse. C'est court et pas argumenté.

      Bonjour,
      Nous accusons réception de votre demande d’assistance.
      Nous avons donc contacté notre service sécurité afin qu'il nous apporte une réponse à votre questionnement.
      Voici leur réponse :
      "Les composants tiers appelés sont utilisés pour des besoins d’amélioration continue de notre service. Aucunes données à caractère personnelles ne leurs est transmise »
      Bien cordialement
      L'Equipe d'Assistance Crédit Coopératif

      • [^] # Re: Site commun BPCE

        Posté par  (site web personnel) . Évalué à 10.

        Facebook non plus ne transmet pas d'informations personnelle à des tiers. D'après Facebook bien sûr.

        En fait toutes ces entreprises bossent pour que tu te sentes plus en sécurité dans ce monde hostile qu'est Internet. Et elles le font gratuitement, quel esprit philanthropique.

        Halala, qu'est-ce que l'on est embêtant à les empêcher de travailler à un avenir meilleur; et puis après tout à quoi bon la vie privée, c'est bien que tu as quelque chose à cacher, non ?

    • [^] # Re: Site commun BPCE

      Posté par  . Évalué à 0.

      Ah oui, je n'avais pas mesuré l'ampleur de la bêtise…
      J'ai aussi écris un message.

      Maintenant je rêve d'une banque…

    • [^] # Re: Site commun BPCE

      Posté par  . Évalué à 4.

      Cf. https://linuxfr.org/users/jseb/journaux/dans-son-barillet-l-ecureuil-ne-met-pas-des-noisettes#comment-1818668

      L'identification avec tags.tiqcdn.com bloqué fonctionne à nouveau.

  • # Boursorama banque

    Posté par  (site web personnel) . Évalué à 3.

    Pour le moment, avec le site Boursorama Banque, aucun soucis… c'est simple, ça fonctionne. Pour encore combien de temps?

    Il y a seulement un message pour informer qu'un bloqueur de publicité peut perturber le fonctionnement du site.

    Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

    • [^] # Re: Boursorama banque

      Posté par  . Évalué à 2.

      Apparemment, ça ne va pas durer :

      « Conformément à la Directive (UE) 2015/2366 du 25/11/2015 relative aux services de paiement dans le marché intérieur, la sécurité de l'accès à votre application est renforcée.

      Dans les prochains jours, lorsque vous utiliserez votre application, vous devrez vous authentifier en deux étapes :
      - Nous vous demanderons votre mot de passe, comme d'habitude
      - Vous devrez saisir le code à usage unique qui vous sera envoyé sur votre numéro de téléphone d'authentification »

      • [^] # Re: Boursorama banque

        Posté par  (site web personnel) . Évalué à 4.

        Quand ils parlent d'«accès à votre application», ils parlent de la version web? Ça signifierait qu'ils n'obligent pas les utilisateurs à installer une application sur leur téléphone, c'est plutôt un bon point.

        Un LUG en Lorraine : https://enunclic-cappel.fr

      • [^] # Re: Boursorama banque

        Posté par  (site web personnel) . Évalué à 2.

        J'ai compris que la seule nouveauté est une double authentification une seule fois (tant que tu utilises) sur un numéro de tel (donc SMS sans doute), que du standard.
        Je ne vois pas vraiment le soucis.

        • [^] # Re: Boursorama banque

          Posté par  . Évalué à 5.

          C'est effectivement ce que je comprend et je trouve ça particulièrement pénible. Il faut déjà le faire pour ajouter des destinataires de virement, à la rigueur, mais à chaque fois qu'on accède à ses comptes, en plus du code à rentrer à la souris, franchement je m'en serais bien passé.

          Mais comme le mentionne le message précédant, ça n'est pas pire que l'application à installer obligatoirement. HSBC m'avait fait le coup et j'ai fermé mon compte dans la foulée… et bonjour la galère pour changer tous les virements et prélèvements.

          • [^] # Re: Boursorama banque

            Posté par  (site web personnel) . Évalué à 1.

            mais à chaque fois qu'on accède à ses comptes,

            Hein?
            Ils disent une fois, justement.
            Je parie sur si tu utilises pas sous 30 jours (durée cookie si tu utilises pas).

            Perso ça me paraît pas mal, ça évite les connexions sur un vieux pc, d'une machine inconnue etc… sans ton tel.
            Après, si tu as envie d'effacer les cookies (même ceux pas pub) à chaque fois, ben je dirai que tu cherches les emmerdes.

            • [^] # Re: Boursorama banque

              Posté par  . Évalué à 2.

              « Si vous utilisez régulièrement votre application, bonne nouvelle, cette manipulation ne vous sera demandée qu’une seule fois. »

              Si c'est 30 jours, j'achète… mais mon petit doigt me dit le contraire. Enfin, je devrais être bientôt fixé.

            • [^] # Re: Boursorama banque

              Posté par  . Évalué à 4.

              Après, si tu as envie d'effacer les cookies (même ceux pas pub)

              Et comment tu fais le distinguo? Tu va lire chaque foutu cookie de tes sites bancaires et essayer de comprendre ce qui est écrit dedans toi?

  • # Sans vouloir te vexer...

    Posté par  . Évalué à 10.

    je pense qu'en détenant tes comptes ta banque en sait plus sur ta vie privée qu'elle ne le saura jamais avec des cookies.

    • [^] # Re: Sans vouloir te vexer...

      Posté par  . Évalué à 3.

      peut etre qu'il y a une loi qui leur interdisent de le faire ? d'ou les cookies, mais je pense helas qu'un jeune loup sortie de central a pondu un slide pour avoir des traqueurs partout, car les autres le font.

      bientot dans les chaumière : comment hebergé sont argent sur sont rpi pi

      1)avoir une licence financière pour un utilisateur

      • [^] # Re: Sans vouloir te vexer...

        Posté par  . Évalué à 0.

        Je pense surtout qu'ils sont en train de refondre tous leurs sites avec de l'Angular, de l'OAuth bien comme il faut et qu'on ne va pas se mentir, question UX, JS et les cookies c'est un peu incontournable.

        Je pense aussi que si on établit un contrat de confiance avec un acteur privé, la seule base de la confiance est … ce même contrat.

        Sinon oui à un certain niveau de paranoia, autant s'auto-héberger et se faire rémunérer en bitcoin O_o

        • [^] # Re: Sans vouloir te vexer...

          Posté par  (site web personnel) . Évalué à 10.

          question UX, JS et les cookies c'est un peu incontournable

          Un soupçon de js pour aider à la saisie et un cookie pour la session OK.

          Une complète architecture tas de confiture avec 6mo de js, 28 trackers et des publicités vidéos avec lecture automatique, NON.

          Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

          • [^] # Re: Sans vouloir te vexer...

            Posté par  . Évalué à -1. Dernière modification le 17 juillet 2020 à 20:41.

            N'étant pas client de cette banque mais connaissant quelques devs frontend embarqués dans l'aventure tu es sûr de ton affirmation ?
            Pour ce qui de l'archi confiture, je ne voudrais pas m'embarquer dans un troll mais si désignes Angular, va falloir quelques arguments.

            • [^] # Re: Sans vouloir te vexer...

              Posté par  . Évalué à 10.

              J'ai pu tester ou voir les banques suivantes :

              • CIC
              • Boursorama
              • BNP Paribas
              • Crédit Coopératif

              Seul le CIC a une page d'identification qui respecte les standards, avec un champ d'identifiant, et un de mot de passe. Tous les autres ont un clavier virtuel à chiffres aléatoirement disposés, gênant à la fois pour l'accessibilité et rendant toute tentative de sécurisation de mon poste inutile : je ne peux pas utiliser un gestionnaire de mot de passe.

              Concernant l'UX : Bourso et BNP sont partis sur une interface web de type tablette. C'est joli, et ça rend mon écran 1920×1200 aussi utile qu'un écran de résolution VGA. Il a fallu que je me paluche de la CSS pour tout défoncer, et afficher suffisamment d'informations. Bien sûr, il y a une mise en production tous les deux mois, donc ma bidouille n'est pas toujours à jour.

              Crédit Coopératif a fait un truc rigolo : une SPA (Single Page Application), mais sans utilisation de l'API pour l'historique HTML5. Donc quand on navigue dans l'interface, ça charge des pages, mais l'historique n'est pas changé. Un clic sur « Précédent » et paf, tout est perdu. Sans parler des codes d'authentification forte qui sont envoyés. Dans l'absolu, c'est bien, mais ils font 8 chiffres au lieu de 6, c'est long et pénible sans être un plus pour la sécurité.

              Bref, on demande à une banque en ligne de fournir :

              • Un formulaire d'identification normal. Voir ce site de moules pour un bon exemple.
              • Un tableau des transactions normal. Voir Excel ou Calc pour un bon exemple.

              Rien de tout cela ne semble inclure du contenu externe actif comme sentry.io ou tags.tiqcdn.com. Et pourtant, ils le font, et demandent de désactiver le bloqueur de publicités, tout en demandant par les CGV de s'assurer que son poste est sain. On marche sur la tête.

              • [^] # Re: Sans vouloir te vexer...

                Posté par  . Évalué à 3.

                Seul le CIC a une page d'identification qui respecte les standards

                Merci de l'info, j'ai justement l'intention de changer de banque.

                *splash!*

              • [^] # Re: Sans vouloir te vexer...

                Posté par  . Évalué à 7.

                J'ai pu tester ou voir les banques suivantes :

                • crédit agricole

                Interface de merde. Force l'usage de la souris par clavier stupide. C'est une des raisons pour lesquelles je me ferais un plaisir de les envoyer chier dès que je prévois un gros emprunt (maison). Perso, suis prêt a payer pour ne pas avoir cette merde, mais faudrait une garantie que ça dure…

                Concernant l'UX : Bourso et BNP sont partis sur une interface web de type tablette

                Tiens, ben, le CA aussi dis… et c'est horrible a utiliser sur PC. Je suis pas le seul a m'en plaindre, mes parents aussi (oui, chez nous, on a tendance a ça, suivre ce qu'on nous a définit dans l'enfance tant qu'il n'y a pas d'intérêt manifeste a changer). Compte tenu de ma parenthèse, ça commence a peser sévère sur les raisons de changer!!

                Un tableau des transactions normal. Voir Excel ou Calc pour un bon exemple.

                Merci d'aller voir csv aussi. Et 0 raison de pas le faire, ce dernier est importable et exportable par tous les outils que j'ai pu utiliser jusqu'a présent, ce qui est loin d'être limité à Excel et Calc, mais les inclue!

              • [^] # Re: Sans vouloir te vexer...

                Posté par  . Évalué à 3.

                Seul le CIC a une page d'identification qui respecte les standards, avec un champ d'identifiant, et un de mot de passe.

                Fortuneo fonctionne aussi avec un champ mot de passe (pas un clavier virtuel).

              • [^] # Re: Sans vouloir te vexer...

                Posté par  (site web personnel) . Évalué à 5. Dernière modification le 18 juillet 2020 à 13:54.

                Il a fallu que je me paluche de la CSS pour tout défoncer, et afficher suffisamment d'informations.

                Tu viens de faire un heureux!
                Clair, concis, adapté à un écran de plus de quelques pouces (bref, un ordi), le plus important est le plus visible, on se demande pourquoi les designers payés ne reprenne jute pas la chose. Ha oui, la mode de 3 bout d'info par page… Je dois être juste vieux mais c'est difficile quand même de se dire que les gens adorent qu'on les prenne pour des pas doués incapable d'avoir plus de 4 lignes par page…
                Par contre ça a un petit impact négatif sur la partie bourse (réduction de la largeur de l'affichage sans réduction de la hauteur), mais rien de bien gênant (et je ne suis pas prêt à te laisser mes identifiants pour ce détails :p)

                Bien sûr, il y a une mise en production tous les deux mois, donc ma bidouille n'est pas toujours à jour.

                J'espère que tu continueras la maintenance, je ne suis pas doué en JS/CSS.

                Un tableau des transactions normal. Voir Excel ou Calc pour un bon exemple.

                Pour le taf je suis (encore, je travaille à changer) chez SG et je ne comprend pas ce qui passe par la tête des développeurs : le CSV est "mis en forme", 5 lignes par transaction, le principe du CSV qui a plus que quelque colonnes et surtout l'idée est d'avoir une ligne par transaction n'a pas l'air d'avoir été bien compris… Pas le déclencheur mais une des goûtes qui fait que je pars.

                • [^] # Re: Sans vouloir te vexer...

                  Posté par  . Évalué à 2.

                  Par contre ça a un petit impact négatif sur la partie bourse
                  J'espère que tu continueras la maintenance, je ne suis pas doué en JS/CSS.

                  Bon évidemment, j'accepte les modifications :) Si jamais c'est possible, je peux aussi tester sur des pages « anonymisées ». Mais ça demande un sacré travail d'exporter ça, donc à voir…

                • [^] # Re: Sans vouloir te vexer...

                  Posté par  . Évalué à 5.

                  pour les 4 lignes par pages, un responsable logistique a par chez nous modifier tous les document pour ajouter plein de jolie case en haut et en bas, 3/4 de la page a4 sont rempli comme cela.

                  du coup lorsque j'ai plus de 12 lignes d'info, il me faut 2 pages \o/, et comme il ajoute regulièrement des colonnes car c'est plus clair, je suis obligé d'imprimer en paysage, il ne reste plus de 8 lignes par BL de disponible /o.

                  il devait travailler dans une banque avant.

              • [^] # Re: Sans vouloir te vexer...

                Posté par  . Évalué à 4.

                Tous les autres ont un clavier virtuel à chiffres aléatoirement disposés, gênant à la fois pour l'accessibilité et rendant toute tentative de sécurisation de mon poste inutile : je ne peux pas utiliser un gestionnaire de mot de passe.

                Si vous utilisez weboob, il est possible de s'en servir comme d'un "gestionnaire d'authentification" plus que d'un "gestionnaire de mots de passe" : weboob s'identifie sur le site, et vous pouvez reprendre la session ouverte par weboob dans votre navigateur, grâce à une webextension.
                Elle n'est pas encore très facile à utiliser, mais quelques développement pourraient rendre le parcours plus aisé.

            • [^] # Re: Sans vouloir te vexer...

              Posté par  (site web personnel) . Évalué à 5.

              L'architecture tas de confiture est assez bien décrite sur https://jamstack.org/

              Elle a ses avantages (déploiement peu coûteux, scalabilité simple, sécurité facile) et ses défauts (tout ce qui est UX / UI / accessibilité / compatibilité est plus difficile à faire).

              C'est comme l'andouillette ou la sodomie, pour que ce soit bon, il faut que ce soit bien fait.

              Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

        • [^] # Re: Sans vouloir te vexer...

          Posté par  . Évalué à 2.

          Ce qui serait pour le coup l'argument le plus convainquant que j'ai vu en faveur des cryptomonnaies…

          • [^] # Re: Sans vouloir te vexer...

            Posté par  . Évalué à 9.

            Et le seul, qui compense mal la gabegie écologique du minage. La monnaie libre paraissait séduisante si la théorie économique sur laquelle elle repose (indexation sur l'espérance de vie) ne s'était pas faite démonter ici. Comme je n'ai plus le bagage mathématique pour l'évaluer je m'abstiens.

            • [^] # Re: Sans vouloir te vexer...

              Posté par  . Évalué à -7.

              après imprimer des millions de billets securisé, avec des encre qui pollue à la fabrication et pendant la production puis en fin de vie pour leur destruction, couper des arbre pour faire le papier et cela depuis …. l'assignat (1789 de memoire) et tous cela au niveau mondial, sans parler des billet en plastique au bresil (petrole etc … rejet polluant dans l'amazonie)

              je suis certain que le bitcoin defonce tout coté ecologique au niveau mondial, surtout que la plupart des très gros mineure se retrouve en islande où c'est la geothermie qui produit l'electricité, ou au canada avec les barrages.

        • [^] # Re: Sans vouloir te vexer...

          Posté par  . Évalué à 3.

          on ne va pas se mentir, question UX, JS et les cookies c'est un peu incontournable.

          Oui, mais non, le site à refondu sont UX il y a plus d'un an sans que cela ne gène en rien la navigation avec un bloqueur. Je ne suis pas dans la philosophie no-script-at-all. De même, je ne bloque que les cookies tiers.

  • # ING

    Posté par  . Évalué à 1. Dernière modification le 18 juillet 2020 à 10:57.

    Je suis client à la Banque Postale depuis plus de 30 ans. Mais les frais ont explosés (près de 800 € en 10 ans), le service est de moins en moins bon, les conseillers ne sont là que pour vendre des produits et pas pour aider, il y a pleins de choses qu'on ne peut pas faire via le web. Bref, j'ai décidé d'aller voir ailleurs. Depuis 2 mois, je teste ING. C'est la banque en ligne la moins chère que j'ai trouvée et avec le moins de contraintes à l'ouverture : avoir seulement au moins 1200 € / mois virés sur le compte ou sinon, une somme permanente de je ne sais plus combien sur le compte + livrets.
    L'ouverture a été un peu chaotique et longue, j'ai dû appeler plusieurs fois. Il n'y a pas de salariés, ce sont des indépendants qui répondent à chaque fois (Ubérisation), ils sont plus ou moins compétents. D'où le nombre incalculable de coups de gueule sur leur forum. Donc quand ils n'arrivent pas à débloquer une situation ou si ça traîne, il ne faut pas stresser et ne pas hésiter à appeler autant de fois que nécessaire, on finit par avoir quelqu'un qui résout le problème.
    Dans l'ensemble, j'en suis très content, j'ai eu une prime de parrainage (en retard) avec un ami (et lui aussi). On peut quasiment tout faire en ligne, par exemple bloquer temporairement une carte, demander un chéquier, faire gratuitement un virement SEPA, gérer ses autorisations de prélèvements. On peut manuellement exporter ses comptes au format CSV (je ne sais pas si c'est automatisable). Bref, c'est comme une banque traditionnelle mais moins chère et avec beaucoup plus de services en ligne. Plus besoin de prendre RDV avec un conseiller pour un simple virement SEPA comme à la Banque Postale.

    Si vous ouvrez un compte, attention à bien comprendre le système d'authentification la première fois, on n'a droit qu'à 3 essais et c'est assez original (on ne tape pas les mêmes numéros manquants à chaque fois, je n'ai pas trop compris l'utilité d'un point de vue sécurité).

    Et si vous voulez être parrainé(e), je suis partant. Sinon, faites-vous parrainer par une personne que vous connaissez, les offres de parrainage sur le web me paraissent trop belles pour être honnêtes.

    • [^] # Re: ING

      Posté par  . Évalué à 1.

      Merci pour se retour. Saurais-tu si ING autorise les découverts conséquent (c-à-d au moins une fois le salaire mensuel) ?

      • [^] # Re: ING

        Posté par  . Évalué à 1. Dernière modification le 18 juillet 2020 à 11:26.

        Le montant du découvert temporaire est fonction des montants que tu as/verses sur tes comptes (on ne prête qu'aux riches). Le taux est plus bas qu'à la Banque Postale mais le montant est nul ou faible à l'ouverture. Il faut le faire rectifier ensuite suivant tes versements. Je n'ai pas testé, je ne sais pas si ça marche bien (dans le forum, il y a des personnes qui se plaignent de blocages des comptes etc.).

    • [^] # Re: ING

      Posté par  . Évalué à 8. Dernière modification le 19 juillet 2020 à 20:32.

      L'ouverture a été un peu chaotique et longue, j'ai dû appeler plusieurs fois. Il n'y a pas de salariés, ce sont des indépendants qui répondent à chaque fois (Ubérisation), ils sont plus ou moins compétents. D'où le nombre incalculable de coups de gueule sur leur forum. Donc quand ils n'arrivent pas à débloquer une situation ou si ça traîne, il ne faut pas stresser et ne pas hésiter à appeler autant de fois que nécessaire, on finit par avoir quelqu'un qui résout le problème.
      Dans l'ensemble, j'en suis très content (…)

      Mince, à titre perso je refuserais de dépendre d’une banque correspondant au fonctionnement bordélique que tu décris, ça n’inspire vraiment pas la confiance  ;)

      Mais j’imagine qu’on peut y trouver son compte (ah ah), sinon on n’entendrait pas autant parler de ces nouvelles banques.

  • # RGPD

    Posté par  . Évalué à 5. Dernière modification le 18 juillet 2020 à 11:01.

    Au fait, ils n'ont pas le droit d'imposer les cookies avec la nouvelle réglementation. Ils devraient permettre de les désactiver. Si ce n'est pas le cas, il faut déposer une plainte en ligne sur le site web de la CNIL. Le temps de réponse est long mais ils suivent toujours la plainte.

    • [^] # Re: RGPD

      Posté par  . Évalué à 5.

      Je n'y avais même pas pensé ! Merci, je vais de ce pas effectuer un signalement. Ça ne mange pas de pain.

      • [^] # Re: RGPD

        Posté par  . Évalué à 2.

        Mais avant de déposer la plainte, il faut d'abord écrire à la banque. Sinon, la CNIL va perdre du temps pour rien si la banque corrige entre-temps et elle ne sera pas contente.

        • [^] # Re: RGPD

          Posté par  . Évalué à 1.

          Yep, déjà fait, même réponse que ci-dessus… :'(

    • [^] # Re: RGPD

      Posté par  (site web personnel) . Évalué à 7.

      Les cookies strictement nécessaires à la fourniture d'un service demandé par l'utilisateur peuvent être imposés.

      Bref si tu te logges sur ton espace client, la banque peut poser un cookie pour gérer ta session.

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

      • [^] # Re: RGPD

        Posté par  . Évalué à 1.

        Les cookies de session n'ont jamais été un problème pour la vie privée de toute façon, si ?

        • [^] # Re: RGPD

          Posté par  (site web personnel, Mastodon) . Évalué à 5.

          Avec les téléphones et ordinateurs modernes qui restent tout le temps allumés et se mettent en veille plutôt que de s'éteindre complètement, un cookie de session expire… jamais en fait.

          Il vaut mieux un cookie avec une date (ou heure, même) d'expiration proche.

          De plus, que le cookie soit de session ou avec une date d'expiration, peu importe, s'il est déposé par un tracker externe comme c'est le cas ici, il peut être utilisé par ce tracker, sur tous les autres sites ou il est utilisé.

  • # Mais pourquoi donc ?

    Posté par  (site web personnel) . Évalué à 2.

    Un certain nombre de banque (peut être même toutes) sont là pour gagner de l'argent grâce à toi visiteur.

    Des personnes sont là pour analyser ton comportement sur leur site web et peut être même sur d'autres sites partenaires .

    Le service commercial recherche des prospects , pas de problèmes, le siège de ta banque à une base de données bien grasse alimentée par ta situation financière, tes antécédents, tes demandes bancaires passées et ton comportement sur leur site (ou le web ?).

    En plus de pouvoir connaître l’intérêt général auquel tu mérite, ils aimeraient peut être savoir, qui recherche une maison, une voiture ou un voyage afin de pouvoir d'offrir l'expérience premium auquel tu as droit.

    Le crédit mutuel et fortunéo (qui fait partie du crédit mutuel) permettent effectivement de s'authentifier facilement. Mais mon choix à surtout été déterminé grâce à un/une conseiller/lière qui écoute et comprend ce qu'on lui dit/demande. Le tout pour pas trop cher. Ce qu'il peut découvrir par les cookies, ce n'est qu'un peu plus que ce qu'il peut savoir grâce aux transactions bancaires que je ne pourraient jamais lui cachées.

  • # Que des cookies ??

    Posté par  . Évalué à 2.

    La poste fait mieux

    T'as Goo-merde ou I-pomme sinon c'est fini ..

    La Directive Européenne relative aux Services de Paiements (DSP2) impose une validation par authentification forte pour renforcer la sécurité de vos paiements en ligne par carte bancaire.

    Pour plus de simplicité, La Banque Postale harmonise ses services en choisissant Certicode Plus comme service unique d’authentification forte pour la validation de vos opérations sensibles en ligne.

    Cette harmonisation implique l’arrêt prochain de la validation de vos paiements en ligne 3D-Secure dans votre application Mes Paiements.

    Concrètement, qu’est-ce que cela va changer pour vous ?

    À partir de fin septembre 2020

    Pendant une période transitoire, vous devrez valider vos paiements en ligne, avec un code de sécurité à usage unique que vous recevrez par SMS, sur votre numéro de téléphone mobile sécurisé Certicode.

    Pensez à vérifier l’exactitude de votre numéro Certicode dans la rubrique dédiée de votre espace en ligne, afin d’être sûr de recevoir ces SMS.

    À partir de novembre 2020

    Vous devrez valider vos paiements en ligne avec le service d’authentification forte Certicode Plus, depuis votre application mobile La Banque Postale.

    Tout le monde a un cerveau. Mais peu de gens le savent.

    • [^] # Applications mobiles

      Posté par  . Évalué à 5.

      Vous devrez valider vos paiements en ligne avec le service d’authentification forte Certicode Plus, depuis votre application mobile La Banque Postale.

      Ce ne serait pas catastrophique pour moi de devoir installer une application… si elle n’imposait pas un accès plus large que juste aux codes de validation. Parce que l’accès total à mes comptes et la possibilité de faire des transactions sur d’un mobile troué…

      Je sais que la technologie du SMS n’est pas sécurisée, mais pour l’instant, un pirate devrait compromettre mon ordinateur avec une distribution Linux remise à jour assez régulièrement et avoir mon numéro de téléphone portable pour vider mon compte.

      Mais je n’ai pas l’impression qu’une seule banque propose une application qui puisse ne servir que pour les codes de validation.
      Si quelqu’un en connaît, ça m’intéresse.

      Sinon, s’il faut que j’achète un Android de marque tous les deux ans ou un iPhone rien que pour pouvoir faire des transactions financières de base, ça va bien m’énerver !

      « Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone

      • [^] # Re: Applications mobiles

        Posté par  . Évalué à 6.

        Il existe pourtant TOTP qui est un standard bien défini pour l'authentification à 2 facteurs, fonctionne hors-ligne, fonctionne avec de très nombreuses applications tous supports confondus et ne nécessitant pas de permissions extraordinaires.
        Cependant, aucune banque n'implémente ça, car elles préfèrent garder la mainmise.

        • [^] # Re: Applications mobiles

          Posté par  . Évalué à 2.

          Au crédit coopératif les opérations importantes nécessitent d'utiliser le lecteur de carte fourni pour générer un code à usage unique.
          Je ne sais pas si c'est du TOTP mais ça y ressemble pas mal.

        • [^] # Re: Applications mobiles

          Posté par  (site web personnel) . Évalué à 1.

          Il existe pourtant TOTP qui est un standard bien défini pour l'authentification à 2 facteurs

          Est-ce que TOTP permet d'envoyer un message au terminal avec l'action demandée (connexion, paiement de montant X à entité Y, ajout de RIB de entité Z etc) et que si on clique "oui je veux ça" ça valide la transaction sans se farcir à rentrer un code?
          C'est ce que font certaines banques (pas toutes encore sur la partie aceptation, qui restent à l'ancienne malgré l'app qui permet l'échange d'info).

          Perso, ayant goûté à l'interaction sans prie de tête (ne rien avoir à rentrer comme "code"), j'aurai du mal à retourner à un style TOTP et même SMS (je fais en râlant quand pas le choix car "vieillot".


          TOTP était super à une époque, depuis la technologie a évolué et les usages aussi, et à ma connaissance TOTP n'a pas su évoluer, du coup les banques n'ont pas eu la possibilité de prendre pour moins cher une technologie libre adaptée, et ont donc développé dans leur coin car standardiser leur revient plus cher et trop long sans réel avantage pour elles.

      • [^] # Re: Applications mobiles

        Posté par  . Évalué à 5.

        Je te rejoins là dessus, mes comptes bancaires sont sur une autre adresse mail que celle du téléphone, et je n'ai pas l'accès à mes comptes en banque sur ce dernier; mon téléphone je l'ai sur moi, je peux le perdre, me le faire voler, le casser, il peut se briquer, prendre feu, ou juste plus pouvoir se charger…
        Je peut aussi le bloquer avec 3 codes pins faux…

        Bref le téléphone portable est volatile et temporaire, et peu sécurisé.

        Il ne faut pas décorner les boeufs avant d'avoir semé le vent

        • [^] # Re: Applications mobiles

          Posté par  (site web personnel, Mastodon) . Évalué à 4.

          C'est ce que j'ai essayé d'expliquer à ma banque ! C'est moins sécurisé que, par exemple, une adresse électronique uniquement dédiée à la banque et des achats via un ordinateur qui ne passe par la wifi (ce que je fais). Chacun ses usages, je sais. Mais bon.

          « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

          • [^] # Re: Applications mobiles

            Posté par  . Évalué à 4.

            Quel que soit l'usage, on nous force à avoir tout sur le téléphone, c'est une perte de sécurité vu que le 'secret' se retrouvent sur la clé. Qui met son adresse et digicode sur son porte clé ?

            Il ne faut pas décorner les boeufs avant d'avoir semé le vent

    • [^] # Re: Que des cookies ??

      Posté par  (site web personnel) . Évalué à 6.

      Vous devrez valider vos paiements en ligne avec le service d’authentification forte Certicode Plus, depuis votre application mobile La Banque Postale.

      Et on fait comment pour racheter un téléphone quand on a cassé ou égaré le sien ? Il faut garder des billets sous le matelas au cas où?

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

      • [^] # Re: Que des cookies ??

        Posté par  (site web personnel, Mastodon) . Évalué à 7.

        J'ai posé la question à ma banque. J'attends une réponse depuis mars ! Visiblement les conseillers n'ont pas de biscuits pour conseiller les gens.

        J'ai essayé d'installer l'appli de ma banque sur ma tablette… quand j'ai vu tout ce à quoi Google pouvait accéder de ce fait, je ne suis pas allée jusqu'au bout. Et, de toute façon, l'appli de ma banque n'existe pas dans F-droid.

        « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

      • [^] # Re: Que des cookies ??

        Posté par  . Évalué à 7.

        Quand j'ai demandé à mon pseudo conseillé bancaire s'il m'offrait un smartphone avec un accès réseau gratuit.
        Réponse (j'ai gardé mon calme): Il faut savoir vivre avec son temps.

        Tout le monde a un cerveau. Mais peu de gens le savent.

        • [^] # Re: Que des cookies ??

          Posté par  . Évalué à 4.

          Il est bien ton conseiller ;)

          J’ai posé la même question au mien il y a bien un an, j’attends toujours sa réponse…

        • [^] # Re: Que des cookies ??

          Posté par  . Évalué à 8.

          C'est bien rigolo comme réponse de la part d'un banquier. Ils utilisent toujours du COBOL, non ? Les virements SEPA non-instantanés ne sont pas possibles le week-end parce que les bases de données (AS/400 ?) sont en maintenance ?

          Il faut savoir vivre avec son temps, en effet.

          • [^] # Re: Que des cookies ??

            Posté par  (site web personnel, Mastodon) . Évalué à 8.

            En effet, c'est assez paille/poutre.

            Les virements instantanés notamment, j'étais super content quand il fut annoncé que ça allait devenir obligatoire en Europe. Mais j'ai déchanté quand j'ai vu que c'est une option payante et impossible à faire dans énormément de cas (paliers parfois ridicule).

            Pour avoir vécu en Corée, là-bas payer sur internet en virement, c'est la norme. On achète un truc sur internet et à la fin de la vente, la boutique en ligne demande le paiement par virement. On peut alors virer (sans jamais avoir à donner le moindre numéro de carte ou code de sécurité à la boutique) sur le site web de la banque ou son téléphone, et 5 secondes après, la boutique reçoit l'argent et nous dit en gros "c'est bon, achat validé".

            En gros, du vrai paiement instantané, sans avoir à faire du joli nommage marketing comme si c'était trop miraculeux/high-tech (en fait là-bas, c'est juste le virement normal, rien de spécial) ni te faire payer pour faire ce qu'on devrait pouvoir faire depuis 15 ans. Ah oui parce qu'au passage, ce dont je parle, c'était y a presque 10 ans et c'était déjà pas nouveau à l'époque.

            P.S.: je dis pas que l'informatique bancaire en Corée est dans un état formidable non plus. Je me rappelle avoir déjà fait d'autres commentaires sur linuxfr quant à leur retard sur l'utilisation de technos propriétaires (à l'époque, encore de l'activeX/IE, etc. alors que c'était déjà obsolète à ce moment là; et on parle même pas de l'impossibilité d'aller sur le site bancaire avec Linux). Mais pour la partie virement en tous cas, c'est nous qui avons une génération de retard!

            Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]

            • [^] # Re: Que des cookies ??

              Posté par  (site web personnel) . Évalué à 3.

              Mais j'ai déchanté quand j'ai vu que c'est une option payante

              Les banques semblent essayer de récupérer de la thune sur tout et n'importe quoi, ça en devient ridicule surtout niveau prix (j'ai vu entre 0.10 €, à la limite, et 1 €, du n'importe quoi), mais à mon avis c'est comme les abo pour l'interface web, à force des disrupteurs le feront au même prix que virement normal et les autres suivront, il faut attendre que les dinosaures réagissent… Perso, je vois que Transferwise est plutôt à la pointe sur le sujet, et ils s'emmerdent même pas à proposer le choix, ils annoncent juste que c'est fait si le récipendiaire supporte la chose, et même prix (pas gratuit car ils se financent sur ça, mais ça me va car ils n'essayent pas de me forcer à payer pour rien genre un abo mensuel), ce qui est logique quand on sait que ça leur coûte 0.02 € de leur côté une fois les investissements (qui devraient faire partie des truc de base, pas à "rentabiliser en faisant payer") soit pas grand chose de plus que virements à l'ancienne.

              Ca viendra…

    • [^] # Re: Que des cookies ??

      Posté par  . Évalué à 1. Dernière modification le 19 juillet 2020 à 15:27.

      Oui, j'ai eu le même message. Et c'est ce qui me conforte de finir de basculer chez ING (ils envoient simplement un SMS avec un code à taper pour la double authentification), en plus du ras-le-bol des RDV malsains chez les conseillers de La Poste.

  • # Commentaire supprimé

    Posté par  . Évalué à 2.

    Ce commentaire a été supprimé par l’équipe de modération.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.