• # TOTP

    Posté par  (site Web personnel) . Évalué à 2 (+0/-0). Dernière modification le 22/06/21 à 18:02.

    Dans le wiki ils parlent de TOTP comme solution alternative interropérable. Ça me semble aussi la solution la plus adapté pour du MFA, mais le problème c’est que le paragraphe 2 de l’article 97 de la DSP 2 dit ceci (emphase de moi) :

    1. En ce qui concerne l’initiation des opérations de paiement électronique visée au paragraphe 1, point b), les États membres veillent à ce que, pour les opérations de paiement électronique à distance, les prestataires de services de paiement appliquent l’authentification forte du client comprenant des éléments qui établissent un lien dynamique entre l’opération, le montant et le bénéficiaire donnés.

    Et je crois que c’est interprété comme « il faut afficher le montant de la transaction avec le code MFA », ce qui met de côté toutes les solutions de MFA existante.

    Après, je pense que pour avoir une solution « DSP 2 ready » et interopérable, ça serait assez simple (comme ça a chaud) :

    1. la page de payement affiche un QR Code ;
    2. l’utilisateur scan le QR code avec son application TOTP libre « DSP 2 ready » ;
    3. l’application récupère une URL qui renvoie un JSON avec les informations de payement (un truc standardisé en amont) ;
    4. l’application affiche le TOTP et les informations de payement ;
    5. l’utilisateur rentre le TOTP dans la page de payement.

    Passer par une étape intermédiaire plutôt que d’envoyer des infos de payement dans le QR code permet d’éviter un éventuel MITM (on peut pas te donner un QR code bidon).

    Ça nécessiterait très peu de modifications dans les applications existantes et (point le plus important) les banques n’auraient pas grand chose à faire (simplement fournir une API pour récupérer les informations).

    Le problème c’est que ça nécessiterait une décision politique.

    • [^] # Re: TOTP

      Posté par  (site Web personnel) . Évalué à 2 (+0/-0).

      Ah aussi, si quelqu’un peut modifier « Hello banque » (qui apparait 2 fois) en « Hello bank » (voir « Hello bank! » si on veut respecter le nom commercial), en tant qu’anonyme j’ai pas les droit pour éditer.

    • [^] # Re: TOTP

      Posté par  (site Web personnel) . Évalué à 4 (+3/-1).

      1.la page de payement affiche un QR Code ;

      et moi je fais comment avec mon dumb phone ? C'est une vraie question. Je n'ai pas et n'ai pas envie d'avoir un truc qui fait autre chose que téléphoner et envoyer/recevoir des SMS.

      « Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. »

      • [^] # Re: TOTP

        Posté par  . Évalué à 1 (+0/-0).

        Une alternative bureau est peut-être envisageable ?

      • [^] # Re: TOTP

        Posté par  (site Web personnel) . Évalué à 2 (+0/-0). Dernière modification le 22/06/21 à 21:10.

        Oui, mais là on parle d’utiliser TOTP pour faire ça. Dans le cas où tu n’as pas (ou ne veut pas) de smartphons, tu n’as probablement pas non plus d’application de TOTP.

        Ce que je veux dire c’est que si tu n’as pas de smartphone, toute la seconde partie de mon message (la description du fonctionnement d’une application de TOTP « DSP 2 ready ») ne te concerne pas.

        • [^] # Re: TOTP

          Posté par  (site Web personnel) . Évalué à 1 (+0/-1).

          Merci pour cette précision.

          « Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. »

  • # Conclusion provisoire

    Posté par  . Évalué à 2 (+0/-0).

    (Initialement posté ici par erreur)

    Conclusion provisoire – 22/06/2021
    Si tous les établissements bancaires respectent leur engagement d'alternative et rendent rapidement utilisable le SMS renforcé, alors l'obligation d'utiliser une application mobile disparait.
    Et le problème n'est plus (ce qui n'empêche pas qu'il y en ait d'autres).

    Reste que ça repose sur un SMS donc une ligne mobile, pour une consultation de comptes ou un achat qui ne nécessite qu'internet. (Avec alternative potentielle à base de dispositif physique unique type lecteur de carte CB générateur de code.)

    La solution mise en place par PayPal décrite dans mon commentaire ici me paraitrait utile comme troisième possibilité.

    A noter qu'une appli OTP ça peut tourner sur un ordi, une tablette, un vieux smartphone récupéré qu'on n'utilise qu'en WIFI, donc ça n'impose pas un smartphone + un abonnement.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.