Bonjour Journal,
ça fait longtemps que je me dis que je vais contribuer à linuxfr.
Je pense avoir trouvé le bon sujet pour me lancer : le renouvellement de mon ordiphone.
Je me suis rabattu sur un Fairphone 3 commandé chez /e/foundation.
C’est à travers toi que je vais partager mon expérience.
Aujourd’hui, c’était l’achat sur le site esolutions : rien de bien extraordinaire, achat en ligne très simple.
Prochaine étape : la livraison.
# A suivre
Posté par Bruno (Mastodon) . Évalué à 4.
Bonjour phraed,
Vu que je vais certainement faire comme toi, j'attends la livraison et la suite pour confirmer ;-)
# GrapheneOS
Posté par mrintrepide . Évalué à 3.
De mon coté, j'ai opté pour GrapheneOS sur mon Pixel 3a XL
# Testé et approuvé
Posté par viking . Évalué à 1.
Cela fait 1 mois que j'ai fait la même démarche. Et j'en suis très content. J'ai pu pratiquement tout installé comme sur mon ancien Fairphone 2. Il n'y a que les applications bancaire et CiviMobile que je n'ai pu installer.
Pour les applications bancaires, ce n'est pas un soucis, pour l'instant, je m'en passe. Si cela devenait trop gênant j'installerai le store Aurora.
Par contre, j'avais envie de tester CiviMobile pour le boulot, mais je ne peux le faire actuellement. Je vais encore attendre quelques jours pour voir si ma demande d'ajout est accepté par le /e/foundation. Sinon là aussi j'installerai le store Aurora.
A part cela, j'en suis pleinement content. Du coup, j'ai flashé le Fairphone 2 de ma femme. Et là aussi aucun problème.
[^] # Re: Testé et approuvé
Posté par gUI (Mastodon) . Évalué à 7.
Oui mais peut-être pas. Le store est une chose, et un store alternatif pourquoi pas. Mais l'application que tu veux (celle de ta banque, ou CiviMobile que tu cites) utilise peut-être des bibliothèques Android propriétaire (les fameux Google Play Services) qui elles sont truffées de trucs que tu veux pas.
L’alternative aux Google Play Services est d'installer MicroG, mais comme toute alternative, la compatibilité n'est pas assurée à 100%.
Bon, j'ai un LG G5 qui glande dans mon tiroir, il est officiellement supporté sous /e/, faut que je me fasse un 2nd téléphone 100% Google Free pour tester à quel point je suis dépendant ou pas.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Testé et approuvé
Posté par gUI (Mastodon) . Évalué à 6.
Bon, bin j'ai joué avec aujourd'hui et c'est plutôt un succès pour ma part :
-
/e/
installé sans trop de difficultés- pas besoin d'installer microG, il vient avec
- ajout des store
f-droid
etAurora
(je ne connaissais pas, merci !)- j'ai pu installer et faire fonctionner les 2 applications propriétaires que j'utilise le plus :
Je ne sais pas si ces 2 dernières applications ont besoin de microG, mais en attendant ça tourne bien.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Testé et approuvé
Posté par CHP . Évalué à 2.
Je juge pas, je compatis :)
[^] # Re: Testé et approuvé
Posté par Paul POULAIN (site web personnel, Mastodon) . Évalué à 3.
les applications bancaires. argh… le truc qu'il faut utiliser pour valider ses achats. Je n'ai pas l'impression d'avoir eu le choix d'activer cette feature (ou alors je ne m'en souviens plus). Comment on peut contourner ça et se passer de l'app ?
[^] # Re: Testé et approuvé
Posté par flagos . Évalué à 4.
L'authentification forte est une obligation maintenant: https://www.latribune.fr/entreprises-finance/banques-finance/paiement-la-directive-dsp2-entre-en-vigueur-c-est-quoi-764449.html
[^] # Re: Testé et approuvé
Posté par Donk . Évalué à 7.
Mais il n'est pas obligé que cette authentification forte se fasse via une application bancaire, non open-source, installée sur un téléphone portable.
[^] # Re: Testé et approuvé
Posté par flagos . Évalué à 5.
Open-source pour une application bancaire, ne rêvons pas :-). Après le téléphone est une formidable machine a capteur biométriques, donc c'est assez logique de l'utiliser en 2eme facteur, ca permet d'économiser les coûts car beaucoup de gens en ont un.
Peut être sa banque peut fournir un device a code pin (les espèces de calculatrice) pour ceux qui n'auraient pas de smartphone.
[^] # Re: Testé et approuvé
Posté par claudex . Évalué à 10.
C'est aussi un formidable capteur à spyware qui vont pouvoir accepter les payements à ta place.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Testé et approuvé
Posté par Mimoza . Évalué à 4.
Un code via SMS … certes ce n'est pas ce qu'il y a de plus sécurisé mais répond a la législation, compatible même avec un téléphone simple (pas ordiphone).
[^] # Re: Testé et approuvé
Posté par Zenitram (site web personnel) . Évalué à 9. Dernière modification le 12 août 2020 à 11:13.
Factuellement faux.
(plus précisément, il y a un délai de tolérance jusqu'à mars 2021 car les banques étaient en retard, mais normal que les banques n'attendent pas la date limite pour passer à autre chose, surtout quand la limite théorique était l'année dernière, les banques ont eu de la chance de ne pas se faire taper sur les doigts, grâce au nombre de pas douées)
[^] # Re: Testé et approuvé
Posté par Psychofox (Mastodon) . Évalué à 3.
C'est ce que fait une de mes banques mais j'aimerai avoir l'option de pouvoir utiliser TOTP pour lequel il existe des outils libres. L'autre c'est pire avec une app proprio.
[^] # Re: Testé et approuvé
Posté par barmic 🦦 . Évalué à 4.
De ce qu'on m'a expliqué ce n'est pas légale car il faut que ce soit associé au contexte de la transaction (le montant par exemple).
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Testé et approuvé
Posté par Zenitram (site web personnel) . Évalué à 4. Dernière modification le 12 août 2020 à 11:39.
Et comment avec TOTP tu reçois le nom du vendeur et le montant que tu valides explicitement, données nécessaires pour être dans le cadre du sujet?
Je te défie de me montrer des outils libres qui répondent au besoin, perso je n'ai pas trouvé (et ça m’intéresse, rien que pour mon accès à mes serveurs par exemple, ça indiquera l'IP et la localisation par exemple et je taperai sur "ok c'est moi", plus sécurisé et plus simple que TOTP, et oui je sais je pourrai développer moi-même, je le ferai peut-être un jour quand j'aurai marre du compliqué mis en avant par de libristes :) ).
TOTP était bien en son temps (offline) mais dommage que les gens de standard dans le milieu n'ont pas pris le temps de faire une spec pour le online (unidirectionnel au pire avec un champs texte, et mieux bidirectionnel avec un "oui je suis d'accord" qui remonte, taper le code reçu c'est vieux même si 95% des entités l'utilisent encore, perso je râle à remplir un code avec une app, ils ont le bidirectionel et ne l'utilisent pas… Une des raisons qui m'a fait choisir une entité pour ma carte bancaire), bon l'avantage avec les "apps" c'est que c'est pas si chiant que ça pour 99% des gens d'avoir plein d'apps.
[^] # Re: Testé et approuvé
Posté par flagos . Évalué à 3.
Du coup tu fais comment pour avoir cette double authentification sur tes serveurs ?
[^] # Re: Testé et approuvé
Posté par devnewton 🍺 (site web personnel) . Évalué à 7.
La bonne façon de faire un paiement sécurisé:
Proposition d'implémentation:
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Testé et approuvé
Posté par flagos . Évalué à 3.
Et comment la banque vérifie que l'utilisateur qui s'est connecte est bien le bon ?
Ah je sais, on pourrait du 2FA avec une appli mobile !
[^] # Re: Testé et approuvé
Posté par devnewton 🍺 (site web personnel) . Évalué à 4.
Pourquoi une appli mobile est-elle un second facteur? Beaucoup de gens vont sur le web avec leur mobile. Si on vole le mobile, on a les deux facteurs en un !
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Testé et approuvé
Posté par Zenitram (site web personnel) . Évalué à -4. Dernière modification le 12 août 2020 à 15:19.
T'es-tu renseigné un tout petit peu avant de troller avec ta haine de ce que tu ne comprends pas en tête? c'est lassant ces attaques sans connaître le sujet.
Justement, les apps mobiles "correctes" (j'imagine que les autres se feront rappelées à l'ordre bientôt…) demandent quelque chose que le mobile volé n'a pas (un mot de passe ou une empreinte). Et ce sans parler de la première barrière d'un mobile volé (tel verrouillé et chiffré, aucun accès à l'app configurée, ça fait beaucoup de contraintes pour le voleur et en pratique, tu as des exemples réel de problème de masse? théorie des puristes qui ne comprennent pas pourquoi les gens déteste la solution proposée contre solution utilisée car compromis sécurité et praticité)
Critiquer, ok, mais en parlant de la réalité que vous avez testé et non de son fantasme s'il vous plaît…
[^] # Re: Testé et approuvé
Posté par devnewton 🍺 (site web personnel) . Évalué à 3.
Le 2FA c'est l'exemple parfait de la sécurité pas pratique et pas pragmatique. C'est justement une invention de RSSI puristes et perchés dans leur tour d'ivoire.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Testé et approuvé
Posté par fearan . Évalué à 6.
Pourquoi voler un mobile, alors qu'il suffit d'y mettre une app qui simule un écran de verrouillage ? Bien plus discret et peut se faire sur la durée.
Nombre de téléphones n'ont plus de mise à jour de sécurité depuis plus d'un an voir plus; typiquement le KII-L22 (huawei) ne doit plus avoir de mise à jour depuis 2017, et fait largement ce que l'on attends de lui (dont la b28), et la demande de déblocage pour installer une ROM plus récente s'est soldé par un échec. Bref ce n'est pas un outil de confiance.
Mon mobile n'a pas les informations de mon compte en banque et c'est tant mieux.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Testé et approuvé
Posté par flagos . Évalué à 2.
Juste pour clarifier, ma compréhension c'est que la loi demande un check biométrique en 2nd facteur ou via un appareil dédié. Déverrouiller le téléphone avec un code n'est pas suffisant. Donc le cas du téléphone vole dont on connaît le mot de passe ne devrait pas marcher.
Il faut, en plus de voler le téléphone sans se faire pincer, réussir a le déverrouiller et a le hacker de manière a simuler un check biométrique de l'OS valide. Je pense pas que ce soit a la portée du premier voleur de téléphone qui passe.
[^] # Re: Testé et approuvé
Posté par fearan . Évalué à 2.
d'où l'intérêt de laisser le téléphone à son propriétaire. L'appli vérolée se contentant de valider la transaction en faisant le contrôle avec un faux écran de verrouillage en overlay.
Y'a déjà des applis qui permettent d'avoir juste un écran noir à la place d'une vidéo YT (pour ceux voulant écouter de la musique sans la vidéo); simuler un écran de verrouillage doit pas être particulièrement compliqué.
Voler le téléphone c'est risquer que son proprio le déclare à la banque et le révoque.
Note bien que le sms reçu peut être lu et effacé tout aussi facilement; la grosse différence c'est que comme y a pas l'appli de la banque, le n° de compte il est pas connu. Sauf si tu met l'appli de ta banque sur le téléphone…
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Testé et approuvé
Posté par flagos . Évalué à 1.
C'est la biométrie le second facteur, c'est a dire le check effectue par la trust zone du processeur. L'appli mobile n'est la que pour trigger le check mais est essentiellement une boite vide.
[^] # Re: Testé et approuvé
Posté par jnanar (site web personnel) . Évalué à 6.
Plus sécurisé, il y a le boîtier que les français rejettent en masse car pas pratique.
https://linuxfr.org/users/fcartegnie/journaux/l-authentification-molasse#comment-1794891
C'est utilisé en Belgique massivement et ça fonctionne. Pas besoin de téléphone, la même procédure dans toutes les banques (seule la forme du boîtier change). Possibilité d'utiliser un autre boîtier que celui fourni.
Sinon, toujours en Belgique ils ont inventé "itsme" qui est utilisé par pas mal de sites de banque et fournisseurs en tout genre. Ça permet de s'authentifier avec le téléphone. Personnellement, je m'en méfie et préfère toujours le boîtier quand c'est possible.
https://www.itsme.be/fr/security
Ça me fait pas rêver mais d'autres pourront peut-être témoigner.
[^] # Re: Testé et approuvé
Posté par devnewton 🍺 (site web personnel) . Évalué à 5.
On ne l'a jamais proposé :(
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Testé et approuvé
Posté par flagos . Évalué à 2.
Reclame.
Je viens de regarder sur le site de ma banque, ils proposent d'autres solutions: https://www.creditmutuel.fr/fr/assistance/faq/connexion-comptes.html#6
[^] # Re: Testé et approuvé
Posté par tisaac (Mastodon) . Évalué à 2.
Je confirme que c'est plutôt simple d'utilisation.
Je pense qu'il y a quand même des variations de procédure selon les banques.
Oui tant que c'est la même banque. Entre banques, cela ne me semble pas être le cas.
Surtout, ne pas tout prendre au sérieux !
[^] # Re: Testé et approuvé
Posté par claudex . Évalué à 4.
Et ça ne marche que pour les banques qui utilisent un boîtier avec carte, ce qui n'est pas le cas de toutes. (pero, j'ai un boîtier avec juste un pin à rentrer, je trouve ça mieux, si on me pique ma carte, je peux toujours faire des virements)
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Testé et approuvé
Posté par jihele . Évalué à 7.
Au Crédit Coop, j'avais le boîtier, mais je crois que c'est en train de changer à cause de la réglementation et il faudra peut-être bientôt un téléphone pour se connecter à l'interface client. Pour payer je sais pas.
C'est un peu contraignant, mais quand on en a un à la maison et au bureau, c'est déjà pas mal.
Je viens de passer à la Banque Postale et pour me connecter à l'interface client on me demande un numéro de mobile. Je n'ai pas de mobile.
J'ai bien conscience de faire partie d'une minorité, mais quand-même…
Je suis en sursis parce que ça passe encore sans, mais ça risque de pas durer. C'est en train de changer pour forcer à utiliser l'appli, pas juste le code SMS, donc c'est plus une petite minorité qui va être emmerdée, c'est tous ceux qui ont un mobile classique (pas smartphone), ce qui n'est pas rien.
Si je comprends bien, la réglementation requiert deux facteurs mais les banques choisissent l'appli par facilité, voire parce que ça les arrange d'en profiter pour refourguer leur appli de merde. La majorité a un téléphone et se complait à installer 50 000 application et les autres, on s'en fout. C'est lamentable.
Pourquoi pas une confirmation par courriel, comme pour le 2FA de Github ?
Vu le nombre de gens concernés, savez-vous s'il y a des mouvements de protestation, par exemple via des assos de consommateurs ?
Savez-vous s'il y a des banques qui échappent à la règle, parce qu'elles proposent une autre auth (ou parce qu'elles traînent des pieds) ?
J'ai lu un article du Monde Diplo qui évoquait des cas de gens qui ne pouvaient plus utiliser leur banque par internet faute d'avoir un smartphone avec l'appli. De mémoire, je crois que c'était LCL.
[^] # Re: Testé et approuvé
Posté par Zenitram (site web personnel) . Évalué à -5.
Je ne vois rien de bloquant au niveau réglementation, juste moins pratique.
tu viens de te contredire ("ça change à cause de la réglementation" puis "la réglementation n'est pas fautive"), difficile de suivre…
Euh… Chacun son truc, pour info la tu viens juste de tirer sur l'idée, avec une contrainte forte sur la chose (en avoir 2, et tu peux que à ces endroits, ne pas oublier quand tu pars en vacances etc) la où on a toujours son smartphone sur soit quand on a le besoin.
Quoi???
Tu devrais apprendre à lire une interface, GitHub a dans la partie "2FA" l'app, clé de sécurité et SMS, pas courriel (un élément de plus de sécurité mais c'est tout). Pour info le mail a le même problème que le SMS (ça peut être en clair) car le chiffrement n'est pas obligatoire (on pourrait tester le serveur de mail et refuser l'envoie si pas chiffré, mais pas choisi pour le moment du moins).
Quand tu commences à insulter, tu perds généralement les gens que tu essayes de convaincre (tu ne convainc que les convaincus) car tu leurs montre ta haine plutôt qu'une réflexion.
Pareil ici, tu insultes les gens pas comme toi, pas de chance ils sont la majorité et peuvent te dire alors "merde, en fait le problème c'est toi" et continueront à "se complaire" comme tu dis. Bref, tu joues la victimisation sans vraiment vouloir que ça change (ça t'empècherait la victimisation…).
Le Monde Diplo est capable de parler de cas de gens qui ne pouvaient plus utiliser leur banque par internet faute d'avoir un accès Internet, et?
On pourrait dire aussi que c'est dommage que les banques n'acceptent plus SSL3, c'est vrai quoi ça enlève les vieux OS etc. Ce n'est pas un argument, car le monde va vers l'idée que le smartphone est nécessaire dans la vie comme l'accès Internet (de plus en plus obligatoire, même pour payer ses impôts).
Toute la question est de savoir si il y a tant de gens concernés…
Pour info, les banques ont été très calmées par une précédente réticence des clients, qui ne voulaient pas payer par CB par Internet par peur de "méchants pirates", elles ont alors développé les CB à numéro unique, et ensuite… Plouf, quand les clients réticents ont eu ce qu'ils demandaient, en fait ils n'en voulaient plus. Ca refroidit quand même pas mal les banques de développer pour cet "Vu le nombre de gens concernés" qui n'est pas forcément si nombreux… Surtout quand une solution peut être un smartphone à 50 € au pire dédié avec un numéro sans abo le moins cher.
A noter que je ne suis pas contre obliger les banques à vendre (ben oui, ça coûte et tu ne veux pas aider la banque à faire moins cher, faut accepter de payer ou alors c'est juste de la mauvaise foi) le "petit boîtier", voire faire signer au client qu'il n'a pas de smartphone et accepter le SMS (ça limite le risque à une faible partie de la population, mais pas sûr que la réglementation accepte la chose), mais franchement ce discours victimisant et insultant donne envie de dire juste : rien à foutre. Si tu souhaites qu'on t'écoute (pas ici, ici c'est pour troller, mais les banques) je te conseille de changer ta méthode (il faut se plaindre, mais ça passe mieux quand c'est objectif).
[^] # Re: Testé et approuvé
Posté par devnewton 🍺 (site web personnel) . Évalué à 10.
"le monde va vers" c'est pas un argument non plus.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Testé et approuvé
Posté par Zenitram (site web personnel) . Évalué à -2.
super idée! On pourrait l’appeler, allez… "virement bancaire avec identifiant de la facture dans son objet"? Tiens, ça existe déjà, on est même passé en instantané (10 secondes dans ce cas), libre à tout le monde d'implémenter, si rentable (de clients vraiment prêt à payer plus pour ça par exemple) par rapport à ça.
(en réalité de plus en plus d'entreprises acceptent le virement, qui a l'avantage de leur coûter moins cher en frais de transaction; bon, en réalité ils préfèrent encore plus le prélévement bancaire, moins sujet à oublis qui coûtent cher en relance)
Ouais, faudrait s'assurer de ça, et… Ben tiens, on revient au même problème envoyer nom du commerçant et montant pour faire confirmer en double authentification, tu n'as rien résolu du tout, juste déplacé le problème qui est toujours la dans la chaîne en pratique, saloperie de pratique.
Bordel on ne peut pas avoir une contre-argumentation correcte, on doit se taper des trolls qui ne comprennent rien au sujet…
[^] # Re: Testé et approuvé
Posté par devnewton 🍺 (site web personnel) . Évalué à 6.
Oui, mais il manque des vérifications pour éviter les erreurs de saisie. Aujourd'hui si tu te goures dans la saisie du numéro de facture, le commerçant va galérer à faire le lien entre ton virement et ton achat.
Ça résous les problèmes de l'authentification du commerçant et du système de paiement. Il faut ensuite toujours que client et banque communiquent. Là je suis très sceptique sur l'apport du 2FA par mobile. Ce n'est pas pratique et même problématique (si je perds mon mobile, je perds tout).
Ce n'est pas parce que tu ne cherches pas à comprendre ou que tu as des problèmes à comprendre les autres que c'est un troll. Respire un bon coup et relis calmement :)
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Testé et approuvé
Posté par fearan . Évalué à 2.
ça pourrait être réglé par un qrcode pour la saisie automatique :P
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Testé et approuvé
Posté par devnewton 🍺 (site web personnel) . Évalué à 3.
Ou un redirect avec le token / numéro de facture dans l'URL (c'est ce que font d'ailleurs la plupart des paypals like).
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Testé et approuvé
Posté par CHP . Évalué à 2.
Très bon !
[^] # Re: Testé et approuvé
Posté par kna . Évalué à 9.
Personnellement, ce n'est pas d'installer une app qui me dérange. Ce qui me pose problème c'est que :
ce ne soit pas une app dédiée au 2FA, mais l'app bancaire. Du coup, c'est pas vraiment une authentification à 2 facteurs puisque l'accès à cette app donne tous les accès. Même si je comprends le besoin de répondre aux personnes qui utilisent exclusivement un smartphone.
en cas de panne/perte de mon tél, je ne peux pas commander un nouvel téléphone, vu qu'il faudra valider le paiement. Avec TOTP, j'ai une sauvegarde de ma base que je peux récupérer.
[^] # Re: Testé et approuvé
Posté par Zenitram (site web personnel) . Évalué à 1.
Merci de soulever un vrai problème, pas un imaginaire.
J'ai eu le soucis (tel qui démarre plus), et j'avoue que je suis resté surpris… j'avais encore la carte SIM, changé de tel, allé sur le site web de la banque, indiqué que tel cassé, et ils m'ont redonné accès su le nouveau tel… avec confirmation par SMS :). A revoir…
Pour les autres trucs (accès VPN etc), j'ai contacté le support et ils ont viré l'ancien tel et j'ai pu mettre le nouveau.
le cas de panne/perte est clairement un problème car avec un peu d’ingénierie sociale (pas forcément des plus automatisable, faut une cible "qui rapporte") on a un accès pendant quelques minutes/heures (le temps que la victime réagisse à la notification sur le tel qui est "déconnecté")
en attendant, c'est mieux que ce qu'on avait avant (surtout pour moi, je suis parfois en zone blanche sans accès au SMS mais à Internet, j'apprécie ne plus avoir les SMS :) ).
[^] # Re: Testé et approuvé
Posté par flagos . Évalué à 2.
Je l'ai eu aussi, a force de formatter mon téléphone pour installer des roms. Pour ma banque en France, ca a consiste en un check avec une carte de clés, échangée lors de l'ouverture du contrat, je me souviens plus exactement comment.
[^] # Re: Testé et approuvé
Posté par gUI (Mastodon) . Évalué à 5.
Yep, c'est pour ça qu'il faut absolument "sécuriser" son téléphone :
- verrouillage rapide
- code PIN ou schéma au déverrouillage
- chiffrement des données (en standard depuis Android N ou O je crois)
- chaîne de trust du bootloader (la clé de chiffrement étant sur le support de stockage)
Avec un Android relativement récent dont les recommandations Google ont été entièrement implémentées (ce qui n'est pas le cas de tous les téléphones, surtout quand un téléphone a été conçu avant une version et reçoit la mise à jour), le vol ne sert quasiment à rien, les données ne sont pas accessibles du tout (même avec un dump via fastboot par exemple).
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Testé et approuvé
Posté par Xebrok . Évalué à 4.
C'est ce que je pensais.
Avec une ingénierie sociale un peu plus directe, genre tu te fais agresser et te retrouves par la contrainte obligé de donner tes codes de déverrouillage y compris celui de l'appli de la banque, cela ne fonctionne plus.
Avec de plus en plus de personnes se baladant avec les codes de leur banque sur le mobile, je ne serais pas étonné que cela arrive, de plus en plus souvent.
Personnellement, je ne suis pas très chaud d'installer une appli bancaire sur mon mobile.
[^] # Re: Testé et approuvé
Posté par passant·e . Évalué à 6.
Ce n'est plus du SE, c'est une question de vie ou de mort. Dans ce cas, je ne vois pas l'intérêt d'ergoter avec l'agresseur. Il ne s'agit que d'argent.
Du coup pas de carte de paiement sur toi non plus, ni de clé, de badge ou …
Je trolle dès quand ça parle business, sécurité et sciences sociales
[^] # Re: Testé et approuvé
Posté par gUI (Mastodon) . Évalué à 4.
Mis à part ma femme et mes enfants je donne tout. Smartphone ou pas.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Testé et approuvé
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 1.
Tu sais comment chiffrer ses données sous Lineage ?
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Testé et approuvé
Posté par kna . Évalué à 3.
Basiquement, comme sur un autre Android. Sur Lineageos 16 : Paramètres > Sécurité et localisation > Chiffrement et identifiants > Chiffrer le téléphone.
[^] # Re: Testé et approuvé
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 2.
Merci. J'ai (re)trouvé, et aussi la raison pour laquelle je ne l'avais pas fait (durée). Bon téléphone en charge, on verra demain.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Testé et approuvé
Posté par kna . Évalué à 5.
Tu avais donc déjà un autre téléphone, ou tu as fait un achat physique. Parce que sinon, sans téléphone, tu ne peux pas acheter un nouveau téléphone en ligne.
Idem pour commander une nouvelle carte SIM si tu la perds.
Après, c'est effectivement un problème rare, et je suis un cas marginal (ne change pas de tél tous les 2 ans, cherche un tél avec Lineageos maintenu).
[^] # Re: Testé et approuvé
Posté par devnewton 🍺 (site web personnel) . Évalué à 7.
C'est un problème rare, tout comme se faire piquer son portefeuille ou un incendie.
Comme beaucoup de cas rares quand ça arrive, on est content que ce soit bien géré.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Testé et approuvé
Posté par devnewton 🍺 (site web personnel) . Évalué à 5.
Donc tu n'as pas eu le problème du vol :-)
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Testé et approuvé
Posté par flagos . Évalué à 3.
Un SMS est aussi sécurise qu'une carte postale. On peut franchement dire que c'est pas sécurise. Et c'est justement pour cela que ca ne répond plus a la législation.
[^] # Re: Testé et approuvé
Posté par devnewton 🍺 (site web personnel) . Évalué à 10.
La biométrie ne DOIT pas être utilisé pour de la sécurité ! C'est un secret qui s'il est compromis est trop difficile à changer.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Testé et approuvé
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 2. Dernière modification le 12 août 2020 à 14:43.
Sans parler du fait qu’il suffit d’une brûlure (doigts), d’une opération chirurgicale, voire, d’une méchante piqûre de moustique (visage) pour que cela ne fonctionne plus, et va te faire réinitialiser la figure ou les doigts…
Pour les yeux, je reconnais, cela pose moins de problèmes.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Testé et approuvé
Posté par flagos . Évalué à 2.
Et c'est aussi dépendant du capteur. Donc ce serait non résilient a un changement de téléphone.
Je pense que tu as meilleur temps de réinitialiser ton empreinte. Encore une fois, la biométrie ne fait parti du secret, ce serait un choix complètement absurde.
[^] # Re: Testé et approuvé
Posté par flagos . Évalué à 2.
La biométrie ne fait pas parti du secret. L'app fait juste appel a l'OS pour demander une authentification biométrique de l'utilisateur, qui lui retourne essentiellement un booléen.
Les données biométriques n'ont jamais quitte le téléphone, et elles sont meme stockées hors de portée de l'OS dans une enclave securisee du processeur:
https://www.qualcomm.com/media/documents/files/snapdragon-sense-id-fingerprint-technology-fact-sheet.pdf
[^] # Re: Testé et approuvé
Posté par mahikeulbody . Évalué à 3.
Hors d'atteinte des failles récemment révélées sur ces processeurs ?
[^] # Re: Testé et approuvé
Posté par barmic 🦦 . Évalué à 2.
Je n'ai pas entendu parler de failles sur ces processeurs, mais là on parle de données qui ne sont jamais manipulées par le CPU. Ce n'est pas juste un changement de contexte. Une faille est toujours possible, mais c'est plus global au niveau du SoC qu'il faut regarder.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Testé et approuvé
Posté par mahikeulbody . Évalué à 4.
Ça a pourtant fait l'objet de pas mal d'articles y compris dans la presse généraliste :
https://www.lebigdata.fr/smartphones-android-failles-snapdragon
[^] # Re: Testé et approuvé
Posté par flagos . Évalué à 3.
Une petite recherche sur le sujet m'a donne ca:
https://www.zdnet.com/article/qualcomms-secure-world-virtual-processor-leaks-mobile-payment-data/
Il y a bien quelques CVE qui ont ete fixées, mais pour l'instant, c'est considéré comme sur. Ces TEE marchent assez bien en réalité. On en fait depuis un paquet de temps, et il y a pas eu beaucoup d'exploits pour les bypasser. Un exemple que je connais un peu: les box TV opérateurs marchent toutes avec ca. Et malgré que certaines soient bases sur des processeurs assez vieux, on considère qu'elles sont encore sures.
[^] # Re: Testé et approuvé
Posté par Zenitram (site web personnel) . Évalué à 1.
Question pour les connaisseurs (j'avoue ne pas avoir trop cherché) : déjà des cas réels d'un tel volé non verrouillé (déjà, on commence la théorie ici :) ) et dont des crackers peuvent faire croire à l'app que l'utilisateur a mis son empreinte, ou toute autre méthode pour pouvoir valider la transaction? Bref, qu'on puisse arriver au but malgré les protections mises en place (cloisonnement des applis quand en "live", si on veut rooter il faut rebooter donc le code pour déchiffrer le contenu chiffré donc mort, etc)?
Je cherche à savoir si un tel volé non verrouillé donne accès à la partie bancaire (en imaginant qu'on ne récupère pas l'empreinte ailleurs, un autre problème et si on a peur de ça on désactive l'empreinte et met un code).
[^] # Re: Testé et approuvé
Posté par devnewton 🍺 (site web personnel) . Évalué à 5.
Security by what could go wrong?
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Testé et approuvé
Posté par gUI (Mastodon) . Évalué à 6.
J'adore :)
Je mets juste à côté du "Fail by design"
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Testé et approuvé
Posté par fearan . Évalué à 2.
un tel non verrouillé permet d'installer des apllications; activer le mode debuggage usb, le non verrouillage automatique, laissant le temps à l'utilisateur averti de bypasser pas mal de sécurité et, en cas de faille, passer root.
Pour aujourd'hui, ça demande une certaine technicité, et nécessite de trouver un téléphone non verrouillé; il y a peu de chance que ça se développe.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Testé et approuvé
Posté par ekyo . Évalué à 0.
Ah mince, je lis peu les actualités, tu me l'apprends. Incroyable… J'effectue peu d'achats sur internet, mais bientôt apparemment je n'aurai plus le choix, je n'en effectuerai plus du tout : je n'ai aucune intention d'avoir un smartphone sous android ou ios…
[^] # Re: Testé et approuvé
Posté par tisaac (Mastodon) . Évalué à 3.
Aurora est vraiment un store ou juste un client FOSS pour accéder au PlayStore ?
Je pense que ce n'est qu'un client.
Dans ce cas, à part un peu de cosmétique, est-ce que cela change vraiment grand chose ?
Surtout, ne pas tout prendre au sérieux !
[^] # Re: Testé et approuvé
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 5.
Tu n'as pas besoin de compte Google et tu peux télécharger les applis anonymement. C'est pas mal. Mais tu n'as pas tout dessus, ai-je constaté.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Testé et approuvé
Posté par gUI (Mastodon) . Évalué à 3.
Comme dit Ysabeau tu n'as pas besoin de compte Google. C'est une étape nécessaire pour une utilisation Android sans Google.
Je suis en train d'expérimenter un téléphone sous /e/ et j'ai pu mettre l'appli de ma banque sans soucis grâce à Aurora (il existe bcp d'autre sites qui te permettent directement de télécharger les APK du store, Aurora n'est donc pas la seule solution).
Ma banque me connaît déjà, mais Google ne voit plus passer mes actions, c'est ce qui change (alors que dans mon smartphone 100% Google, il a vite deviné quelle était ma banque, il pourrait me faire des pubs pour la concurrence à vil prix).
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Testé et approuvé
Posté par devnewton 🍺 (site web personnel) . Évalué à 5. Dernière modification le 13 août 2020 à 08:50.
Tiens ça pourrait faire un belle nouvelle d'anticipation:
En 2042, le gouvernement américain décide de punir la France pour son refus d'appeler "camembert" du fromage au lait pasteurisé. Il impose alors à Google de fermer son magasin d'application provoquant une crise économique majeure, car les français se retrouvent sans moyen de paiement.
(Légèrement inspiré de http://www.thierry-guinhut-litteratures.com/article-carlos-fuentes-le-siege-de-l-aigle-67820293.html)
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Testé et approuvé
Posté par gUI (Mastodon) . Évalué à 3. Dernière modification le 13 août 2020 à 09:00.
Faut reconnaître que niveau moyens de paiement électronique, on est assez dépendant des Ricains :
Mis à part le virement (et heureusement qu'on a un standard Européen avec le SEPA), j'en vois pas bcp dont la France a son mot à dire :(
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Testé et approuvé
Posté par Zenitram (site web personnel) . Évalué à 3. Dernière modification le 13 août 2020 à 09:26.
Ca commence à prendre conscience de la dépendance, et il y a une n-ième tentative de CB européenne, mais ça reste tendu faute de tout le monde qui ne voit pas le danger (voir le lien) et les européens sont capables des plus grosses conneries (coucou PayLib dont j'ai jamais réussi à comprendre le fonctionnement tandis que Google Pay c'est trop facile).
En attendant il faut déjà pas mal militer sur le virement (de plus en plus instantané au même prix que virement 1 jour) et le prélévement SEPA (malgré les hurlements "c'est horrible les prélèvements" vu même ici…), perso je passe tout ce que je peux en prélévement SEPA et j'incite les autres à faire la même chose pour justement inciter à une alternative (viable, utilisable, hein, pas des pseudo alternative masochistes des "puristes") européenne sans passer par les USA.
Reste l'énorme problème de la dépendance à l'OS, peut-être que le coup de semonce (Android plus dispo pour Huawei sur décision unilatérale des USA) fera bouger les choses, mais c'est aussi loin d'être gagné tellement c'est confortable pour les gens et les politiques de laisser les USA être gendarme du monde (jusqu'à ce que le gendarme nous sanctionne pour ne pas être assez gentils avec lui…) et la à tous les coups on aura un OS chinois comme alternative, ça fait bizarre cette difficulté à innover en Europe.
[^] # Re: Testé et approuvé
Posté par gUI (Mastodon) . Évalué à 4.
Dans mon entourage en tous cas (et je parle pas du tout de geeks ou de militants de quoi que ce soit) je trouve que le virement entre particuliers est très utilisé, je parle pour particuliers qui se connaissent dans la vraie vie. Pendant le confinement, on était 4 ou 5 maisons où tout le monde avait le RIB de tout le monde, et quand qqu'un partait faire les courses, il faisait pour d'autres, et on se remboursait par virement.
Autre exemple, un copain qui achète du vin directement au producteur. Dans l'email où il demande à chacun de la bande de copains de dire ce qu'il veut, il joint directement le RIB.
Pour les pros (artisans qui bossent à la maison par exemple), à chaque fois que je demande à payer par RIB ça se passe nickel, même si par défaut ils attendent un chèque.
Par contre sur Internet je fais très peu, c'est quasi 100% CB, le reste c'est PayPal. Faudrait voir si le virement instantané change les choses (j'avoue j'ai jamais utilisé), mais jusqu'à présent c'était 2 ou 3j avant d'avoir la confirmation que la commande est bien effectuée, contre qques secondes via CB.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Testé et approuvé
Posté par fearan . Évalué à 3.
Avec ma banque faut attendre 48H avant que le compte soit accepté; puis ensuite on peut faire la demande de virement qui se fera dans les 24H… On est très loin de l'instantané.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Testé et approuvé
Posté par Zenitram (site web personnel) . Évalué à -2.
Après on y peut pas grand chose si cette connerie de 48 heures ne te fait pas fuir ta banque, tu est la personne qui a choisi et qui décide de rester malgré cette connerie.
Bref, tu fais le choix de rajouter artificiellement et inutilement 48 heures, personne d'autre, chacun son masochisme mais pas la peine de te plaindre de ton choix.
(perso la limitation de Boursorama à 500 € pour l'instantané est déjà une petite alerte pour moi pour mon compte courant, mais je leur laisse quelques mois pour le bénéfice du doute, imaginant que c'est leur "version beta" et qu'ils enlèveront cette limite arbitraire dans quelques mois pour monter jusqu'à la limitation réglementaire de 15 k€ à un moment, bon sachant que pour le moment il n'y a pas foule encore en bonne concurrence, c'est "nouveau" ici au contraire de l'Asie).
[^] # Re: Testé et approuvé
Posté par fearan . Évalué à 2.
Ouais techniquement à 16 ans j'ai choisi ma banque pour la carte de retrait gratuit et le livret d'épargne (à moins que ce soit plus tôt), ils étaient pas chiants et pas cher, j'y ai ouvert mon pel, c'était les mieux disant lorsque j'ai voulu faire un prêt, j'y ai ouvert d'autres comptes, et oui j'ai la flemme de changer pour un truc aussi anecdotique.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Testé et approuvé
Posté par gUI (Mastodon) . Évalué à 2.
donc au final pour un paiement électronique rapide, tu passes par les Ricains ?
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Testé et approuvé
Posté par fearan . Évalué à 3.
Si tu veux parler de paypal, c'est fini depuis qu'ils se permettent de déterminer qui peut utiliser leur service et résilier leur contrat https://www.wired.com/2010/12/paypal-wikileaks/
Généralement j'utilise ma visa;
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Testé et approuvé
Posté par gUI (Mastodon) . Évalué à 3.
Donc Ricain (oui en fait c'était facile).
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Testé et approuvé
Posté par fearan . Évalué à 2.
La dépendance outre atlantique est un problème, et il serait bon d'avoir une véritable indépendance de ce point de vue là; mais la dépendance n'est pas que vis à vis des moyens de paiements; l'immense majorité du parc informatique tourne sous windows; notamment au niveau des administrations; et maintenant on passe aux offres cloud (Azur entre autre).
Trump ne fera probablement qu'un mandat, mais d'autre de la même trempe suivront, utilisant la puissance américaine pour racketter ses vassaux au nom de règles commerciales qu'il bafoue amplement, déchirer les accords internationaux, ou démarrer des guerres idiotes.
Mais quand je dit qu'il faudrait s'écarter de l'hégémonie américaine, y'a toujours une personne pour dire qu'on a pas le choix, que sinon c'est les russes (ou la chine).
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Testé et approuvé
Posté par gUI (Mastodon) . Évalué à 2.
Franchement j'ai pas compris cette phrase. En Europe on peut mettre en place une CB Européenne non ? Pas besoin de ressources rares (tu choisis pas où forer le pétrole), on sait tout faire de A à Z non ?
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Testé et approuvé
Posté par flavien75 . Évalué à 2.
D'autant plus que c'est pas comme si la carte bancaire à puce n'avait pas été inventée en France…
Les vrais naviguent en -42
[^] # Re: Testé et approuvé
Posté par legranblon (site web personnel) . Évalué à 5.
Tu parles de masochisme … Mon dernier changement de banque a duré lonnnnnnngtemps ! Faire arrêter un prélèvement auto (dans les faits, hein pas sur le papier) parmi bien d'autres peut s'avérer assez ardu. Donc, perso je peux comprendre qu'on puisse choisir de rester (temporairement faut pas pousser non plus) chez des incompétents même si le virement prend 48h …
[^] # Re: Testé et approuvé
Posté par ʭ ☯ . Évalué à 2.
Pour ma banque, je peux bloquer un prélèvement automatique dans le site, jusqu'à 5 semaines en arrière, sans frais.
Moi aussi j'ai choisi la même banque pour la carte de retrait gratuite à 16 ans ;-)
⚓ À g'Auch TOUTE! http://afdgauch.online.fr
[^] # Re: Testé et approuvé
Posté par gUI (Mastodon) . Évalué à 4.
il me semble que les choses ont changé, la nouvelle banque s'occupe de transférer les prélèvements. un peu comme le changement de forfait portable ou FAI, c'est bcp bcp bcp plus facile maintenant.
c'était quand ton changement ?
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Testé et approuvé
Posté par legranblon (site web personnel) . Évalué à 1.
C'était il n'y a pas si longtemps (2016 peut-être), et c'était effectivement sensé se passer sans douleur de la manière que tu décris, comme d'hab quoi … _^
Les demandes ont été faites dans les règles, mais des toute façon quand ça part en suçette … Je crois bien que ça s'est étalé sur 1 an 1/2. Faut être zen.
[^] # Re: Testé et approuvé
Posté par kna . Évalué à 4.
En 2016 c'était encore compliqué. La mobilité bancaire de la loi Macron a été mise en place en février 2017 : https://www.lesechos.fr/2016/10/la-loi-macron-devrait-renforcer-la-mobilite-bancaire-en-france-232859
[^] # Re: Testé et approuvé
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 4.
+1 à mon voisin du dessus.
Pour être plus précis : il y a 3 ans, j’ai changé de banque. Le changement du compte courant s’est fait pratiquement tout seul, c’est la banque qui se charge de tout (modulo les liasses de paperasse à signer et la vérification que tout est OK).
Par contre, les comptes d’épargne, livrets, etc… tout ça est encore à gérer à la main (en général ça impose de fermer les comptes de l’ancienne banque et d’en ouvrir des nouveaux dans la nouvelle – ça n’est pas des transferts à l’identique, donc on perds les éventuels dépassements de plafond, l’historique, les taux associés s’ils ne sont plus d’actualité…).
La connaissance libre : https://zestedesavoir.com
[^] # Re: Testé et approuvé
Posté par Donk . Évalué à 4.
Il y a eu du changement récemment pour le virement instantané.
Extrait de l'aide de Boursorama :
« Vous pouvez effectuer 4 virements instantanés par jour, pour un montant cumulé maximum de 2 000 euros. »
[^] # Re: Testé et approuvé
Posté par devnewton 🍺 (site web personnel) . Évalué à -3.
Heureusement il reste le meilleur moyen de paiement de l’univers: le chèque !
Pratique, simple, interopérable, proposé par toutes les bonnes banques…
Et son avantage majeur: il fait râler Zenitram !
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Testé et approuvé
Posté par tisaac (Mastodon) . Évalué à 8.
Euh ???
toutes les
bonnesbanques en FranceOui mais non, c'est aussi emmerdant pour les belges et j'imagine d'autres quand il faut expliquer à un français que non, on n'a pas envie de payer par chèque, qu'en fait, on n'est même pas sûr que cela soit encore possible et que si cela l'est, cela va nous coûter bonbon.
Je ne comprends pas que vous puissiez encore tellement utiliser ce paiement archaïque (si ce n'est pour pouvoir troller sur le sujet) même si j'ai l'impression que cela s'améliore.
Surtout, ne pas tout prendre au sérieux !
[^] # Re: Testé et approuvé
Posté par devnewton 🍺 (site web personnel) . Évalué à 3.
Tant que l'archaïsme sera plus pratique dans certains cas, voire le seul moyen accepté parfois…
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Testé et approuvé
Posté par Marco . Évalué à 3.
Je te rassure je n'aime pas du tout ce moyen de paiements, seulement c'est parfois compliqué avec certains organismes de ne pas faire de chèque (les agences immobilières notamment)
Mais ca s'améliore, la dernière loc de vélo que j'ai faites, le dépôt de garantie s'est faite par empreinte bancaire.
Perso je déteste émettre un chèque, je sais pas qd cela va être débité du compte (bon après je provisionne de façon à ce que ca aille bien, et j'ai peu de chèque pour être surpris.), pis les pros les encaissent rapidement.
Je suis à moins d'un chèque par an, et ca me fait ch*** d'avoir un chéquier, qui en cas de vol peut bien me foutre dans la merde.
[^] # Re: Testé et approuvé
Posté par Tjiho . Évalué à 1.
J'ai mis /e/os sur mon samsung A3, et ca tourne à merveille aussi. J'utilise l'appli du CIC, trouvé sur aurora, et il n'y a pas de soucis. Heureusement car je valide mes achats en ligne avec.
J'ai eu un problème avec lyfPay que j'ai réglé en téléchargeant Magisk Manager qui permet de faire croire aux appli qu'on est sur une rom officielle.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.