Journal Boursorama semble dorénavant imposer l'usage d'un smartphone pour utiliser ses services

Posté par  . Licence CC By‑SA.
Étiquettes :
34
9
fév.
2026

J'ai ouvert un compte Boursorama il y a quelques années, pour éviter d'avoir à utiliser l'app bancaire fournie par mon autre banque. Cela fonctionne pas trop mal, même si c'est un peu lourd d'avoir des codes de validation via sms ET email.

Par contre ce matin, j'ai eu le déplaisir de recevoir ce message de Boursorama :

Bonjour,

Pour continuer à gérer vos comptes simplement et réduire les risques de fraude, l’App devient indispensable.

👉 Concrètement, qu’est-ce qui change pour vous ?
A partir du 06/04/2026, pour toutes vos opérations importantes, vous n’utiliserez plus de code à usage unique par SMS ou email, mais l’App.

👉 Pour le reste, rien ne change.
Vous pourrez toujours utiliser le site BoursoBank pour consulter et gérer vos comptes. Seule l’étape de validation se fera dans l’App.

Pourquoi l’App devient nécessaire ?

Mettez votre Espace Client à l’abri des intrusions
Vous validez vous-même les opérations dans l'App avec la biométrie (selon votre téléphone, par reconnaissance du visage ou empreinte digitale) ou la saisie de votre mot de passe BoursoBank.
‌‌
Simplicité et sérénité
L’App vous guide étape par étape lors de la validation.
Plus de saisie de codes par SMS ou email : validez en quelques secondes, sans stress ni risque d’erreur.

Ne soyez pas le seul à vous en passer
C’est aujourd’hui la solution la plus utilisée au quotidien par nos clients pour sa simplicité et sa fiabilité.

Si vous ne pouvez pas utiliser l’App, une solution reste accessible via le Service Client.

Tout va bien, selon la petite ligne en bas, ils disent avoir une solution de secours.

J'appelle le service client, ils ne sont pas au courant, ils me font patienter 10 minutes pour demander, et reviennent en me disant qu'il faut maintenant impérativement un smartphone.

Et que si je n'en ai pas, ben je n'ai qu'à en acheter un, ils n'ont pas d'autres solutions. Je précise bien que leur email indique avoir d'autres possibilités, mais non, rien à faire, "ils sont obligés maintenant, toutes les banques font ça".

J'explique qu'il y a d'autres moyens de 2FA, comme OTP, mais les banques ne semblent pas prendre ça en compte. Il leur faut une "app". Gageons que cela ne réduira pas forcément de beaucoup les fraudes et autres arnaques.

Je vais rappeler d'ici un mois voir si cela aura évolué d'ici là, sinon je clôturerai mon compte avant la date limite en avril prochain.

Si vous avez des conseils, avis ou autres retours d'expérience, c'est le moment…

  • # Ferme ton compte !

    Posté par  . Évalué à 9 (+8/-0).

    J'ai récemment ouvert un compte en banque dans un pays européen fortement smartphonisé.

    Lors de mon premier rendez-vous avec la conseillère, j'ai poliment indiqué que je n'allais pas utiliser d'application sur mon smartphone, et que si l'application était nécessaire, je lui serais reconnaissant de me conseiller une banque concurrente où ce ne serait pas le cas. La dame était curieuse, mais elle m'a assuré que je pourrais accéder à toutes les fonctionnalités à travers le site web. Ce qui est normal, nous sommes des millions à ne pas vouloir dépendre autant de notre smartphone, il serait bizarre que les banques se privent de toute cette clientèle.

    Ce que je te suggère, c'est de les rappeler dans quelques semaines, et leur indiquer poliment mais clairement que si toutes les fonctionnalités n'étaient plus accessibles sans smartphones, tu devrais, à ton grand regret, fermet ton compte. Si tu dois fermer ton compte, indique clairement (mais toujours poliment) la raison.

    Ce serait bien que tu puisses faire la même chose dans ton autre banque, mais je sais que c'est parfois compliqué de changer de compte.

    • [^] # Re: Ferme ton compte !

      Posté par  (site web personnel) . Évalué à 6 (+4/-0).

      Les conseillers…

      Pour mon (agé) paternel, on a demandé un accès web à son compte Crédit Agricole que nous gérons. À la question que je posais vs le besoin d'une application (pas compatible avec son dumbphone) la commerciale nous a assuré que ça passait par de simples SMS. Ayant suivi l'obligation issue des règles européennes ça m'étonnais un peu…

      Et en effet on a pu s'apercevoir qu'il FAUT une application.

      Peut-être qu'un jour les conseillers seront au courant des bêtes contraintes techniques mises en place par leurs employeurs. Ou mieux que leurs employeurs cesseront d'obliger à utiliser une "app" compatible uniquement avec telle ou telle version des OS de Google ou Apple.

      Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN

      • [^] # Re: Ferme ton compte !

        Posté par  (site web personnel) . Évalué à 2 (+1/-0).

        Il faut insister un peu mais pour le CA, tu peux te passer de leur apps, ils appellent ça Securicode :
        https://www.credit-agricole.fr/particulier/compte/service-bancaire/securicode.html

        en gros, tu as un code (fixe) initialement transmis par courrier papier que tu dois saisir lors des paiements après le code unique reçu par SMS :

        Comment valider un paiement en ligne avec SécuriCode ?

        Vous êtes sur le point d’effectuer un achat en ligne et arrivez à l’étape du paiement. Quel que soit votre équipement (ordinateur, smartphone ou tablette), voici les étapes de l’authentification forte avec SécuriCode.

        1. Je renseigne les informations de ma carte de paiement
        2. Je reçois un SMS(1) avec un code temporaire
        3. Je saisis en ligne le code temporaire reçu
        4. Je saisis en ligne mon SécuriCode
        5. Après validation de l’authentification, le paiement est confirmé

        • [^] # Re: Ferme ton compte !

          Posté par  . Évalué à 3 (+1/-0). Dernière modification le 09 février 2026 à 16:33.

          oui effectivement. Je trouve qu'avoir un code unique, qui ne change pas, au lieu d'un OTP qui est universel (fonctionne avec freeotp ou depuis un pc avec keepassxc) est une régression, mais au moins c'est associé à un sms, c'est moins pire que de passer par une appli.

          L'autre banque dont il est fait mention dans le journal est bien le CA, j'utilisais l'appli mais comme je suis sur un smartphone avec lineageos, une fois l'appli a refusé de fonctionner. C'est revenu, mais je sais que des banques comme revolut détectent les os alternatifs et bloquent leur appli dessus. Je n'ai pas google play sur mon téléphone, l'appli est téléchargée depuis Aurora store (depuis le play store, en théorie), ce qui limite les risques. J'utilise toujours leur appli, mais j'ai demandé de ne pas en dépendre, aussi maintenant le CA m'envoie un SMS pour chaque transaction, et ça fonctionne comme ça pour le moment.

          Je peux comprendre qu'il y a des risques liés à l'utilisation d'appli vérolées (mais également en utilisant des appli officielles avec des traceurs de partout, les app non open sources sont containerisées sur mon smartphone), on peut rêver et un jour une banque proposera une app open source disponible sur f-droid…

          En tout cas pour boursobank j'ai noté de les rappeler d'ici 3 semaines, si rien n'est fait je ferme le compte.

          Rappel important : vos amis qui se sont retournés contre vous parce que la TV leur a dit de le faire : ils le feront encore.

          • [^] # Re: Ferme ton compte !

            Posté par  (Mastodon) . Évalué à 2 (+1/-0).

            les app non open sources sont containerisées sur mon smartphone

            Comment est-ce que tu fais ça ? Ça m'intéresse…

            • [^] # Re: Ferme ton compte !

              Posté par  . Évalué à 6 (+4/-0).

              j'utilise shelter. Cela utilise le profil "pro" d'Android, et une fois activé ce qui tourne dedans n'a pas accès au reste de ton profil (autres logiciels et fichiers) :

              https://f-droid.org/packages/net.typeblog.shelter/

              Rappel important : vos amis qui se sont retournés contre vous parce que la TV leur a dit de le faire : ils le feront encore.

              • [^] # Re: Ferme ton compte !

                Posté par  (Mastodon) . Évalué à 4 (+3/-0). Dernière modification le 11 février 2026 à 10:49.

                Ah ok, ça je connaissais. Mais du coup ça permet de mettre dans un container toutes les applis crados pour qu'elles ne soient pas capables de parler avec les applis non-crados, mais ça ne permet pas de les isoler entre elles… Je croyais que tu avais trouvé un moyen de faire ça.

                • [^] # Re: Ferme ton compte !

                  Posté par  . Évalué à 3 (+1/-0).

                  non effectivement, peut-être que c'était un abus de langage de parler de "container", mais c'est déjà un premier filtre…

                  Rappel important : vos amis qui se sont retournés contre vous parce que la TV leur a dit de le faire : ils le feront encore.

          • [^] # Re: Ferme ton compte !

            Posté par  . Évalué à 0 (+0/-0).

            Bonjour,

            J'ai le même problème que vous avec cette appli Boursobank. Comme plusieurs personnes indiquent être parvenues à télécharger l'appli depuis Aurora, j'ai voulu tenter ma chance mais j'ai la même réponse qu'avec Google play : "inaccessible - l'appli n'est pas proposée pour votre appareil".

            Est-ce qu'il y a quelque chose que je fais mal ?

            Merci !

            • [^] # Re: Ferme ton compte !

              Posté par  . Évalué à 2 (+0/-0).

              bonsoir, j'ai parfois ce genre de problème avec Aurora store, je ne pense pas que cela soit forcément lié à l'app, mais à la session aurora en cours, le mieux est de se déconnecter, puis de se reconnecter (en anonyme ou autre). En ce moment je n'arrive pas à télécharger aucun programme, malgré plusieurs changement de session. Je peux en revanche mettre à jour ce qui a déjà été installé préalablement…

              Rappel important : vos amis qui se sont retournés contre vous parce que la TV leur a dit de le faire : ils le feront encore.

      • [^] # Re: Ferme ton compte !

        Posté par  . Évalué à 0 (+0/-0).

        Ayant suivi l'obligation issue des règles européennes ça m'étonnais un peu…

        La DSP2 est très mal compris par quasiment tout le monde.
        La voici
        https://eur-lex.europa.eu/eli/dir/2015/2366/oj/fra
        La partie importante pour nous est celle ci:

        Ces mesures comportent généralement des systèmes de cryptage incorporés aux dispositifs personnels du payeur, y compris les lecteurs de carte ou téléphones mobiles, ou fournis au payeur par son prestataire de services de paiement gestionnaire du compte par un autre moyen, tel que par SMS ou courrier électronique

        Donc en gros.
        Ils ont l'obligation légale de faire de l'OTP, même par email.

        Les gens que tu a dans le banques sont COMPLÈTEMENT illettré numériquement.
        Ils ne font que suivre les directives (pas que ce soit une excuse).
        Il faut leur marteler et harceler collectivement les gars en haut qui force ce genre de décision, car eux aussi ni connaissent rien en matière de sécurité informatique.

        Ont a déjà achever la sécurité informatique il y a 40 ans.
        C'est très simple.
        Ont n’exécute pas de logiciels inconnue.
        Ont filtre sont réseaux (un parfeu)
        Ont utiliser des mot de passe compliquer.
        Et personne et foutue d'appliquer ça mise a part quelque petit groupes comme la FSF.

        Sujet déjà discuter ici:
        https://linuxfr.org/users/hg203/journaux/exigeons-des-banques-une-vraie-mise-en-oeuvre-de-la-dsp2
        https://linuxfr.org/users/elessar/journaux/les-banques-et-l-authentification-a-deux-facteurs

    • [^] # Re: Ferme ton compte !

      Posté par  . Évalué à 4 (+2/-0).

      Pendant que zorvun écrivait ce journal, j'étais en ligne avec un conseiller, pour les mêmes raisons.

      Il m'a dit que la solution était de contacter le service client pour chaque virement.

      Il m'a dit aussi que je pouvais changer de banque. Je précise que je n'ai pas senti d'ironie, de sarcasme, ou quoi que ce soit, il a employé le même ton que pourrait me donner une amie.

      • [^] # Re: Ferme ton compte !

        Posté par  . Évalué à -5 (+0/-7).

        une amie blonde teintée en brune <=> Une intelligence artificielle avec sa voix bizarre.

        ==> []

        "Si tous les cons volaient, il ferait nuit" F. Dard

    • [^] # Re: Ferme ton compte !

      Posté par  (Mastodon) . Évalué à 4 (+2/-0).

      J'ai récemment ouvert un compte en banque dans un pays européen fortement smartphonisé.

      Suède? Pays bas? c'est deux pays qui sont dirigés par des smartphones, qui ont vendu leur âme aux applis?

      En Suède, où « il est presque inconcevable qu’un enfant n’ait pas un téléphone à 6 ou 7 ans »,
      https://www.lemonde.fr/intimites/article/2024/05/23/en-suede-ou-il-est-presque-inconcevable-qu-un-enfant-n-ait-pas-un-telephone-a-6-ou-7-ans-des-parents-s-interrogent-sur-l-omnipresence-des-ecrans_6235067_6190330.html

      .

      En quinze ans, les Pays-Bas ont drastiquement réduit leur réseau bancaire. Les banques privilégient désormais le numérique, à l'image d'ING qui ne compte plus que 30 agences. Ce modèle suscite des inquiétudes pour l'accès des populations vulnérables aux services bancaires essentiels.
      « Nous avons 170 millions de visiteurs hebdomadaires sur notre application », se félicite-t-il, avant de glisser que les agences ne sont plus au coeur de la relation bancaire. Avec cette stratégie quasiment entièrement digitale - ING ne possède par exemple aucune agence en Allemagne alors qu'elle détient 11 % du marché -
      https://www.lesechos.fr/finance-marches/banque-assurances/les-pays-bas-ce-pays-sans-agences-bancaires-2206675

      • [^] # Re: Ferme ton compte !

        Posté par  . Évalué à 7 (+6/-0).

        J'ai récemment ouvert un compte en banque dans un pays européen fortement smartphonisé.

        Suède? Pays bas? c'est deux pays qui sont dirigés par des smartphones, qui ont vendu leur âme aux applis?

        Non, c'est la Pologne. J'aime assez ce qui se passe là-bas, tout est smartphonisé, mais avec les alternatives low-tech qui restent disponibles. Par exemple, la plupart des gens payent leur trajet de bus en scannant un QR code affiché en face de l'entrée, et, en même temps, il y a des distributeurs de tickets en carton ("bilet kartonikowy", tiens, maintenant vous comprenez le Polonais) à chaque arrêt. (Par contre, depuis deux ans environ il n'est plus possible d'acheter des tickets dans les kiosques à journaux.)

    • [^] # Re: Ferme ton compte ! Pas tjs le choix

      Posté par  . Évalué à 4 (+3/-0). Dernière modification le 09 février 2026 à 17:58.

      On peut en effet choisir son prestataire en fonction de son approche outil/vie privée dans cadre perso. Mais difficile de savoir avant d'etre client ( les conseillers sont rarement vraiment au courant, quand ils comprennent meme la question)

      Dans le monde professionnel, ie employé, on n'a pas le choix du prestataire et les décideurs ne prennent pas en compte ce paramètre gafam/smartphone. Une app est souvent vu comme un service ajouté.
      ( Je ne parle pas d'un outil professionnel ou l'employeur doit fournir le moyen: PC, smartphone … )

      Exemples:
      - consultation fiche de paie electronique 2FA. Dans mon cas, on peut faire du TOTP avec une appli autre ( meme si la préco sur le site est du google authentificator )
      - PEE / PER: 2FA uniquement possible avec l'appli ( coucou amundi )
      - ticket resto, consulter son solde avec une app, c'est quand meme pratique. La dernière version de pluxee est devenue une machine à pub, au lieu d'un outil de service associé à la carte.

      Ca ne me plait pas, mais bon, je fais avec.
      J'ai déjà essayé de parler RGPD à mes RH pour un outil des gestion du temps: mininiser les données visibles au juste nécessaire, le juste nécessaire pour faire la tache, RGPD, toutcatouca …. Ca n'est pas compris.

  • # CIC

    Posté par  . Évalué à 7 (+5/-0).

    Le CIC envoie une petite télécommande qui génère un code unique après flashage d'un QR-code. La banque propose cette possibilité pour les clients et clientes qui ne veulent/peuvent pas utiliser un smartphone. Normalement le service est facturé quelques dizaines d'euros pour l'envoi de la télécommande, mais si on est bon client, la télécommande est « offerte ».

    • [^] # Re: CIC

      Posté par  . Évalué à 4 (+2/-0).

      Et même quand tu es en déplacement et que tu n’as pas le petit boitier sous la main, il y a une solution avec un code envoyé par SMS + code secret connu en amont.

    • [^] # Re: CIC

      Posté par  . Évalué à 4 (+4/-0).

      Je suis au crédit mutuel (même groupe que le CIC) et la télécommande en question m'a couté 30€ (je trouve ça un peu dégueulasse de faire payer ça alors que la banque est sensée trouver un fallback pour celle.eux qui n'ont pas de smartphone)

      Je trouve que c'est un grand pas en arrière au niveau de l'utilisabilité des services en ligne (à moins de se balader en permanence avec ladite télécommande).

      C'est devenu impossible de faire un achat en ligne ou un virement si je ne suis pas chez moi. C'est un truc à se retrouver vraiment en galère si on a pas anticipé.

      • [^] # Re: CIC

        Posté par  . Évalué à 5 (+3/-0).

        C'est devenu impossible de faire un achat en ligne ou un virement si je ne suis pas chez moi.

        Il y a 15 ans, en Belgique, tout le monde avait ce lecteur de carte. Ils sont tous compatibles entre eux. Donc c'est pas compliqué, on t'en prête un, et ça passe.

        Aujourd'hui, je pense que c'est terminé, mais c'est pour dire que ça a été une réalité.

        Notons que la remarque est valide pour : « je n'ai pas mon smartphone, je l'ai oublié ».

        • [^] # Re: CIC

          Posté par  (Mastodon) . Évalué à 4 (+2/-0).

          Aujourd'hui, je pense que c'est terminé, mais c'est pour dire que ça a été une réalité.

          quand la société adore prendre le chemin opposé à celui du bon-sens..

        • [^] # Re: CIC

          Posté par  (Mastodon) . Évalué à 3 (+1/-0).

          Aujourd'hui, je pense que c'est terminé, mais c'est pour dire que ça a été une réalité.

          Bon j'ai déménagé depuis longtemps hors de Belgique, et je trouve le remplacement itsme plus pratique pour mon usage (rare vu que je ne suis plus en Belgique), mais à priori le site de ma banque belge (CBC) propose 3 méthodes de connexion, itsme (via smartphone donc) et deux méthodes basées sur deux générations successives de boîtiers que j'ai eu. Je ne sais pas où se trouve mon boîtier donc je ne peux pas vérifier si ça marche vraiment, mais a priori c'est toujours là.

          Et du coup, comme itsme est utilisable pour les différentes banques, mais aussi pour l'administration, j'ai regardé aussi par là, et j'ai l'impression qu'il y a des alternatives. Par exemple pour consulter tous les actes notariés me concernant via le site des notaires j'ai bien itsme, mais aussi deux autres possibilités, dont une basée sur un lecteur de carte et la carte d'identité électronique (fun fact, pour une raison que j'ignore, mon certificat est révoqué sur ma carte… donc ça ne marche pas. J'essayerais dans un an quand je devrai la renouveler…)

          Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

          • [^] # Re: CIC

            Posté par  . Évalué à 3 (+1/-0).

            Intéressante cette histoire: consulter tous les actes notariés me concernant

            Ce n'est juste pas possible en France à ma connaissance.

            "Si tous les cons volaient, il ferait nuit" F. Dard

      • [^] # Re: CIC

        Posté par  (Mastodon) . Évalué à 4 (+2/-0).

        la télécommande en question m'a couté 30€

        au credit mut, si pas de smartphone, c'ste filé gratos.

        30€ c'est bcp moins cher que l'abonnement matériel du smartphone à changer tous les cinq ans.

        • [^] # Re: CIC

          Posté par  (Mastodon) . Évalué à 5 (+2/-0).

          Je ne dis pas que c'est forcément mieux mais tu peux aussi avoir un smartphone d'occasion à 30 euros sans carte sim qui traine dans un tiroir.

          La contrainte d'en avoir un n'est plus si grande maintenant qu'il y a tant d'appareils dans la nature. Rien n'oblige à l'utiliser pour autre chose.

          Le seul bémol c'est que tu dois le charger une fois toutes les une ou deux semaines au lieu d'avoir une pile qui dure 2-3 ans comme sur les boitiers.

          • [^] # Re: CIC

            Posté par  (Mastodon) . Évalué à 6 (+4/-0).

            tu peux aussi avoir un smartphone d'occasion à 30 euros sans carte sim qui traine dans un tiroir.

            Objection votre honneur : vous n'avez pas lu le mémo de 2024, de google imposant presque aux banques d'obliger la dernière version de l'appli pour accéder aux services bancaires, donc tel de moins de quatre ans indispensable, vu que le modèle sera supporté six ans maxi en màj majeures d'android?

            c'est écrit ici : abonnement au matériel o-bli-ga-toire :
            https://www.clubic.com/actualite-545951-apps-bancaires-les-mises-a-jour-android-bientot-obligatoires.html

            • [^] # Re: CIC

              Posté par  (Mastodon) . Évalué à 4 (+1/-0). Dernière modification le 09 février 2026 à 16:34.

              Les développeurs pourront

              Pouvoir != faire

              Je ne suis pas sûr que les banques ont envie de traiter 1000x appels de clients mécontent par jour parce que l'appli de leur banque ne fonctionne plus.

              • [^] # Re: CIC

                Posté par  (site web personnel, Mastodon) . Évalué à 7 (+4/-0).

                Les deux banques pour lesquelles j'ai l'application installée sur mon Android 8 affichent à chaque démarrage desdites applications un avertissement comme quoi cette version du système n'est plus supportée.

                Il y a plusieurs fois eu des mises à jour qui font planter l'application. Pour l'instant il y a encore assez de gens pour se plaindre et les faire réparer le problème, mais ça ne va probablement pas durer très longtemps.

                Cela dit, on est bien au-delà des 3 à 5 ans. Mais je n'ai aucune autre raison de changer mon téléphone. Quand ça deviendra vraiment compliqué pour ces applications ou d'autres, je pourrai encore prolonger en passant sous Lineage OS.

                • [^] # Re: CIC

                  Posté par  (site web personnel) . Évalué à 7 (+4/-0).

                  Cela dit, on est bien au-delà des 3 à 5 ans. Mais je n'ai aucune autre raison de changer mon téléphone. Quand ça deviendra vraiment compliqué pour ces applications ou d'autres, je pourrai encore prolonger en passant sous Lineage OS.

                  Vivement que tu découvres à quel point les concepteurs de ces logiciels peuvent être inventifs en matière de restriction d'exécution. Certains détectent que tu n'es pas sous Android à la vanille, et refusent de s'exécuter. On arrive souvent à s'en sortir, en rootant le système notamment, puis en cachant le fait qu'il est rooté (oui, c'est un comble, mais on ne fait pas de la sécurité, là, on cherche juste à contenter des logiciels).

                  • [^] # Re: CIC

                    Posté par  (site web personnel, Mastodon) . Évalué à 3 (+0/-0).

                    Oui je sais, c'est pour ça que je retarde ça autant que possible…

                    Avec un peu de chance mon téléphone sera cassé pour une raison matérielle avant d'en arriver là, en j'en rachèterai un moins dépassé.

                  • [^] # Re: CIC

                    Posté par  . Évalué à 2 (+0/-0).

                    Tu arrives à dépasser le niveau "basic" du Play Integrity avec ça ? (Magisk et son module "play integrity" j'imagine ?

                    J'ai justement essayé d'installer l'application Boursorama sous LineageOs (étant dans le même cas) et apparemment il faut plus que le niveau "basic".

                    Si tu as des conseils je suis preneur. :)

                    • [^] # Re: CIC

                      Posté par  . Évalué à 2 (+0/-0).

                      par curiosité j'ai installé l'app boursorama depuis aurora, j'ai lineageOS avec microG (mode par défaut, pas rooté donc).

                      Elle s'installe et démarre correctement. Je n'ai pas essayé de connecter mon compte cela dit (puisque je ne veux pas l'utiliser, je présume qu'ils peuvent en plus logger ce genre de chose et arguer ensuite "vous vous êtes connecté tel jour à telle heure, donc vous avez un smartphone blabla").

                      Rappel important : vos amis qui se sont retournés contre vous parce que la TV leur a dit de le faire : ils le feront encore.

                      • [^] # Re: CIC

                        Posté par  . Évalué à 4 (+2/-0).

                        Piur moi le message apparaît juste après une tentative de logging justement.

                        • [^] # Re: CIC

                          Posté par  . Évalué à 2 (+0/-0).

                          merci de l'info alors, dans ce cas je vais directement la mettre à la poubelle :)

                          Rappel important : vos amis qui se sont retournés contre vous parce que la TV leur a dit de le faire : ils le feront encore.

                    • [^] # Re: CIC

                      Posté par  (site web personnel) . Évalué à 6 (+4/-0).

                      L'application bourso a un comportement très chelou. Je suis sur un Android sans Google, avec MicroG, rooté salement (il essaie pas de se cacher, mais il est pas non plus accessible aux applis, il n'est accessible que par adb).

                      Déjà, je peux donner ma pièce d'identité et mes informations biométriques (visages) sans aucune restriction, et ça finit par "votre téléphone renconrte un problème pour activer des éléments nécessaires pour garantir l'accès sécurisé à votre application", avec comme seule possibilité "Aller sur le site web" (marrant votre mail dit que ça suffira pas) ou "Se déconnecter". C'est vraiment super sympa de prendre mes informations sensibles et seulement après de me dire que c'est pas assez sécurisé hein.

                      Mais si je fais back, je peux réessayer de me logger (sans l'étape d'identité), alors ça fait une erreur générique. Puis si je réessaie pareil, puis je réessaie… et ça marche. Là actuellement l'appli est fonctionnelle (j'ai pas encore essayé de faire de paiement avec). Je sais bien que tout leur Gloubi-boulga de sécurité n'est qu'un théâtre, mais ça inspire vraiment pas confiance…

                      Bref, je peux vraiment pas recommander de faire ça, tellement on a l'impression que ça marche par accident, mais bon, ça marche pour moi pour l'instant… (et j'espère qu'ils font des stats sur les gens rooté, et que je rentre dans ces stats, et qu'on est suffisamment nombreux pour qu'ils nous fassent pas chier)

          • [^] # Re: CIC

            Posté par  (Mastodon) . Évalué à 2 (+0/-0).

            Le seul bémol c'est que tu dois le charger une fois toutes les une ou deux semaines au lieu d'avoir une pile qui dure 2-3 ans comme sur les boitiers.

            le petit appareil du crédit mut? je m'en sers une ou deux fois par mois, à raison d'une ouo deux minutes à chaque fois. Ca fait un an et demi que je l'ai, la pile bouton est loin d'être vide

            • [^] # Re: CIC

              Posté par  . Évalué à 3 (+1/-0).

              C'est ce qu'il dit. C'est l'option smartphone de merde dédié qui nécessite un chargement régulier.

            • [^] # Re: CIC

              Posté par  . Évalué à 4 (+2/-0).

              Bon à savoir :

              Une copine avait la calculette qui génère un code quand on introduit la CB et son pwd bancaire. La pile était morte (après quelques années, quand même), et les quelques agences où elle en a demandé une neuve prétendaient que ça n'existait plus.

              Ni une ni deux, j'ai pris un tournevis et après une petite manip pour dégager la pile, une pile bouton standard, j'en ai mis une neuve.

              Elle est repartie pour quelques années. :p

  • # question plus loin

    Posté par  . Évalué à 5 (+4/-0).

    au delà de ton pb, je me demande en 2026 avec l'ia et pas mal de connaissance comment une banque qui a un service ssi plutôt correcte vu que c'est son métier les données, peut proposer ENCORE une application sur un system android ou apple, au lieu de OTP et 2FA

    j'imagine qu'il y aura la localisation pour voir si tu n'es pas soudainement au Nigeria, et plein de tracker pour une meilleur expérience utilisateur

    • [^] # Re: question plus loin

      Posté par  . Évalué à 2 (+0/-0).

      DSP2.

      Cette directive impose que l'authentification multiple inclue un contexte, genre « Voici le code pour votre paiement de 19 € auprès de Boulangerie ». Ce n'est pas possible avec du T-OTP.

      • [^] # Re: question plus loin

        Posté par  (site web personnel) . Évalué à 2 (+0/-0).

        ça fonctionne très bien avec le SMS.

        • [^] # Re: question plus loin

          Posté par  . Évalué à 3 (+2/-1).

          Le SMS n'est plus considéré comme suffisamment sécurisé. Mais il faudrait que je trouve la source, parce que mon argument se base actuellement sur « Croyez-moi », et c'est pas une bonne manière de faire :)

          • [^] # Re: question plus loin

            Posté par  (site web personnel) . Évalué à 10 (+20/-2). Dernière modification le 12 février 2026 à 09:37.

            Il va falloir arrêter avec l'excuse de la "sécurité". Les smartphones sont entièrement sous le contrôle de deux sociétés connues pour le viol massif de la vie privée et la collaboration enthousiaste avec un régime fascisant qui déclare vouloir en finir avec notre civilisation.

            Imposer l'usage d'un smartphone, ce n'est pas de la sécurité, c'est de la haute trahison.

            Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

            • [^] # Re: question plus loin

              Posté par  . Évalué à 3 (+1/-0).

              Les cartes SIM non, et faire du SIM swap ca devient courant. Par contre y a d'autres solutions que les smartphones, comme l'U2F.

              Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.

              • [^] # Re: question plus loin

                Posté par  (site web personnel) . Évalué à 2 (+0/-0). Dernière modification le 09 février 2026 à 19:42.

                bwalors, SIM, SMS ça va, j'ai fait 5 ans de TelCo…

                SIM swapping c'est https://www.cmb.fr/reseau-bancaire-cooperatif/web/securite-bancaire/fraudes-appats/autres-fraudes/securite-bancaire-simswap
                (j'ai pris un lien d'explication du Crédit Mutuel de Bretagne, j'adore le gros logo de leur enseigne CMB :D)

                mais U2F heureusement que ça ne renvoie que sur la page Universal Second Factor ;-) ça prend en compte les Yubikey ? comme d'hab' comme cela requière de l'USB c'est pas forcément activé par défaut dans Firefox  ? :/

                • [^] # Re: question plus loin

                  Posté par  . Évalué à 4 (+2/-0).

                  ça prend en compte les Yubikey ?

                  Yubikey s'en est mais y en a d'autres (par contre un flipper zero, peu de chance que ca passe, ils ont un certificat autosigné). U2F et FIDO c'est plus ou moins la même chose, l'un inclu l'autre mais je sais plus lequel :D

                  comme d'hab' comme cela requière de l'USB c'est pas forcément activé par défaut dans Firefox  ?

                  Un Firefox moderne devrait le gérer, t'as le même genre de permissions (et d'accès au hardware) qu'avec un Chrome-like. Généralement les entreprises sérieuses qui fabriquent ce genre de clef USB supportent bien Linux.

                  Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.

                • [^] # Re: question plus loin

                  Posté par  . Évalué à 2 (+0/-0).

                  Oui avec une Yubikey tu peux faire de l'U2F/FIDO2/WebAuthn sans problème dans Firefox, c'est actif par défaut depuis quelques années. Si tu as une Yubikey NFC, tu peux même t'en servir avec un smartphone pas trop vieux.

                  • [^] # Re: question plus loin

                    Posté par  . Évalué à 1 (+0/-0).

                    Donc, si je comprends bien je peux me connecter à un compte Google avec une passkey (Yubikey, Nitrokey..etc), m'en servir pour m'identifier en SSO sur plein d'autres sites, mais pas à ma banque??

                    Y'a pas un (gros) pb?

                    • [^] # Re: question plus loin

                      Posté par  . Évalué à 4 (+2/-0).

                      Donc, si je comprends bien je peux me connecter à un compte Google avec une passkey (Yubikey, Nitrokey..etc), m'en servir pour m'identifier en SSO sur plein d'autres sites […]

                      Un peu hors-sujet mais j'en profite : s'identifier en SSO "Google" sur plein de sites, c'est pas une pratique dangereuse ? Que se passe t-il si on perd l'accès à son compte Google ? Ou même si on décide de le fermer en oubliant qu'on a des sites sur lesquels on se connecte via Google ?

                      Personnellement, dans le doute, j'ai toujours préféré jusqu'à présent une connexion via le classique login-password spécifique au site.

                    • [^] # Re: question plus loin

                      Posté par  . Évalué à 3 (+1/-0).

                      Les banques sont un monde à part je crois :).

                      Je ne peux pas choisir un mot de passe fort pour mon accès en ligne (par exemple ziz$uqq1V1x3RK@gcCUw^0gk62wIY6XC que Bitwarden vient de générer). C'est forcément 6 chiffres que je peux choisir, avec 3 essais avant de bloquer. Est-ce que ce truc ou j'ai 0,0003% de chance de tomber sur le bon, c'est plus sûr qu'un mot de passe avec 150 à 200 bits d'entropie avec disons 10 ou même 30 essais ? C'est moins sûr, mais le faible nombre d'essais, comme la MFA qui est obligatoire (confirmation par mail, SMS ou appli) font que le risque est très limité.

                      Ce qui est drôle c'est que mon login de banque est plus complexe que mon mot de passe, du coup :-/.

                      Après, que Google ou n'importe quel truc en OAuth2 ou OpenID soit séparé de ma banque et des services publics, c'est une feature, pas un bug, je trouve :).

          • [^] # Re: question plus loin

            Posté par  . Évalué à 10 (+10/-1). Dernière modification le 10 février 2026 à 07:19.

            Le SMS combiné avec un autre facteur est parfaitement conforme à la DSP2 pour les paiements en ligne.

            Concrètement, au moment de payer son achat sur internet, le client doit fournir deux des trois éléments d’identification suivants :

            • un mot de passe ou code numérique (dit élément de connaissance)
            • son portable ou sa ligne téléphonique (dit élément de possession)
            • son empreinte digitale ou faciale ou le son de sa voix (dit élément d’inhérence)

            Concrètement un achat peut être validé par l'envoi d'un code SMS temporaire plus un code/mot de passe spécifique au compte en banque (souvent le d code de connexion).

            Et la banque ne peut obliger ses clients à utiliser un smartphone et une application :

            Si le client ne possède pas de téléphone intelligent ou ne souhaite pas utiliser l’application mise à disposition par sa banque, l’Observatoire de la sécurité des moyens de paiement (pdf) rappelle que "les utilisateurs doivent disposer de la liberté de choix de leur solution d’authentification" et que "les prestataires de services de paiement sont donc invités à offrir au moins une méthode alternative et gratuite à l’application mobile sécurisée".

            EDIT : pas vu les commentaires suivants de Misc et Ysabeau. Désolé pour le doublon.

      • [^] # Re: question plus loin

        Posté par  . Évalué à 4 (+2/-0).

        Oui, alors en terme de contexte, le fait que la page d'authentification de la banque puisse être dans une frame est vraiment, mais alors vraiment, super étrange :-/.

  • # Vérification d’identité par smartphone

    Posté par  . Évalué à 7 (+5/-0).

    Je suis exactement dans le même cas que toi. Cette obligation me révulse au plus haut point.

    Un autre soucis actuellement est que beaucoup de banque utilise une application pour vérifier l’identité du souscripteur. Application pas fait en interne, souvent hébergé sur un cloud pas vraiment européen … bref, tout a fait détestable.

    Je me dit que c’est une bonne occaz pour migrer vers une banque plus éthique, genre GreenGot, mais ils ont le même défaut du 100% mobile, idem pour MaFrenchBank (LaPoste), …

    Donc je suis preneur d’une solution plus respectueux des ses utilisateurs.

    PS : J’ai cloturé un compte pro chez Qonto exactement pour les même raisons. Ils assumaient complètement le fait de se fermer une (très faible) partie du marché des récalcitrants au smartphone.

  • # compte Google

    Posté par  (site web personnel, Mastodon) . Évalué à 10 (+15/-0).

    Ce qui est effrayant c’est que non seulement il faut un smartphone mais, dans l’immense majorité des cas, il faut en plus un compte Google.

    Un truc à essayer c’est de dire:

    "Je n’ai ni compte Google, ni compte Apple. Pouvez-vous me confirmer par écrit qu’être client chez Boursorama nécessite obligatoirement un compte chez l’une de ces deux entreprises américaines ?

    Si oui, pouvez-vous me préciser où c’est écrit dans vos conditions générales et le nom de la personne qui a pris cette décision.

    Si non, pouvez-vous me donner les instructions pour continuer à utiliser votre service ?"

    Ça peut parfois faire bouger les choses parce que personne ne veut prendre la responsabilité de dire "oui" et ça va donc remonter, parfois très haut. Et, très haut, ils ne se sont juste pas rendu compte (parce que au plus on monte dans la hiérarchie, au plus le QI descend, c’est le manque d’oxygène en altitude). Et, parfois, ça panique tout en haut et ça dit "démerdez-vous pour qu’on puisse accéder sans compte Google.

    Mes livres CC By-SA : https://ploum.net/livres.html

  • # pas de smartphone, non négociable

    Posté par  (Mastodon) . Évalué à 1 (+1/-2).

    hello

    rien reçu de tel ici

    Si vous ne pouvez pas utiliser l’App, une solution reste accessible via le Service Client.

    ce sera solution de repli, ou fermeture du compte (gros encours ici)

    appli & service google absolument interdits (de meme qu'andriood) dans la vie quotidienne ici (tel classique non smartphone)

  • # Appeler le service client

    Posté par  . Évalué à 10 (+10/-0). Dernière modification le 09 février 2026 à 15:25.

    Je me suis dit que si je résiliait sans leur dire la raison, ça ne servirais pas à grand chose.
    Le coup de fil a été assez agréable. Bon il faut passer par le site pour se faire appeler, pas de numéro direct, mais c’est pas dramatique.
    Après les question de sécurités, je pose les questions dans l’ordre :

    • L’application devient elle vraiment obligatoire
    • Oui, monsieur [blablabla]
    • Dans le bas du mail il y a la phrase «Si vous ne pouvez pas utiliser d’App, une solution reste accessible via le service client», quel est cette solution ?
    • Ha, je vais me renseigner (attente d’environ 1 min)
    • On en sais rien, on fait remonter l’info, on vous recontacte

    et c’est là ou ça devient intéressante

    • Merci, sans ça, j’allais fermer mon compte
    • Je vous comprend, moi aussi je suis client sans utiliser l’appli et ça allait m’embêter. Et il semble qu’un certain nombre de client aussi

    Comme quoi on est pas seul avec cet avis :)

    • [^] # Re: Appeler le service client

      Posté par  (Mastodon) . Évalué à 5 (+3/-0).

      Comme quoi on est pas seul avec cet avis :)

      Ils n'auront aucun scrupule à croire le contraire, ou à faire payer le sans smartphone, comme pas mal de srevices qui s'affranchissent d'une interface web, ou la mettent en surplus payant.

      et nous n'aurons aucun scrupule à faire fermer le compte, en guise de légitimes représailles de ce totalitarisme.

    • [^] # Re: Appeler le service client

      Posté par  (site web personnel, Mastodon) . Évalué à 9 (+6/-0). Dernière modification le 09 février 2026 à 16:25.

      Alors je suis en train de (là c'est fini).

      Pour commencer la personne a (tenté) parlé de phishing. Tenté parce que je lui ai coupé la parole en lui précisant qu'il s'agissait du récent courriel de la banque. Elle est allée pêcher les infos auprès des collègues.

      Après un certain temps : elle est revenue, en effet pour me balancer le baratin sur la sécurité. Pas de solution, apparemment la Yubikey ça ne lui disait rien.

      J'ai donc déposé, par son biais…, une réclamation (pas moyen de faire autrement) dont j'ai reçu l'accusé de réception de la demande, mais pas la copie ce qui m'agace un brin.

      Je lui ai également rappelé qu'il n'y avait aucune obligation légale à avoir un compte sur Google ou Apple, condition nécessaire pour télécharger une appli sur leurs stores, et que cette obligation ne figurait pas non plus dans leurs CGV.

      Appeler (enfin se faire appeler) par la banque me semble une action importante.

      J'ai même précisé qu'on était un certain nombre que ce changement agaçait.

      Apparemment l'info ne circule pas et les conseillers et conseillères clientèle ne sont vraiment pas les personnes les plus aptes à appréhender ce genre de question.

      Je n’ai aucun avis sur systemd

    • [^] # Re: Appeler le service client (suite)

      Posté par  (site web personnel, Mastodon) . Évalué à 7 (+4/-0).

      Et donc la conseillère (la même que j'avais eu au téléphone, ça craint vu que le problème la dépassait visiblement complètement et je ne sais pas en quoi consistait ce qu'elle avait écrit pour la réclamation) vient d'envoyer une réponse à ma réclamation (je graisse la partie importante) :

      Nous faisons suite à votre réclamation n°XXXX du 09/02/2026, concernant le mail reçu à ce jour au sujet de la validation de certaines opérations sensibles par application.

      Nous sommes dans le regret de vous annoncer que nous ne pouvons pas répondre favorablement à votre demande, et que par mesure de sécurité à partir du 6/04/2026, il vous sera obligatoire de valider certaines opérations sur l'application sans celle-ci, les opérations ne seront pas prises en compte par BoursoBank.

      Vos remarques sont essentielles et nous permettent d’assurer une amélioration continue de notre service. Nous vous remercions pour le temps que vous nous consacrez à ce sujet et transmettons votre retour au service concerné.

      En cas de désaccord avec la réponse apportée et si cette dernière est intervenue dans un délai de 2 mois à compter de l'envoi de votre première réclamation écrite, vous devez saisir notre Service Réclamations en complétant le formulaire accessible :

      il y a un bouton qui renvoie vers un formulaire (un vrai pas une crétinerie d'assistance en ligne automatisée) sur lequel on peut s'épancher. À suivre, je n'ai pas encore rempli le formulaire. Je pense qu'il faut relever tous les trucs qu'on a dit ici comme quoi cette histoire d'appli c'est nul.

      Je n’ai aucun avis sur systemd

      • [^] # Re: Appeler le service client (suite)

        Posté par  . Évalué à 4 (+2/-0).

        C'est chiant ça, j'ai une Farphone avec e/OS, et l'app Bourso ne fonctionne pas dessus (certains y arrivent avec des bidouilles et une app plus maintenue). C'est la seule pour laquelle j'ai le souci. Donc s'ils ne fournissent pas d'autre moyen, tant pis, je changerai de crèmerie.

        • [^] # Re: Appeler le service client (suite)

          Posté par  (site web personnel, Mastodon) . Évalué à 5 (+2/-0).

          Pas mieux :-)

          Mais je vais réclamer et voir ce qui se passe. Tu devrais les appeler aussi je pense, s'il y a un certain nombre de gens qui les enquiquinent sur le sujet ça peut faire bouger les choses (et pas que pour cette banque).

          J'ai mis la liste des arguments dans un commentaire.

          Je n’ai aucun avis sur systemd

          • [^] # Re: Appeler le service client (suite)

            Posté par  . Évalué à 4 (+2/-0).

            Il faut bien insister sur le fait qu’il y a la petite ligne à la fin du mail qui dit qu’une alternative existe … ça il peuvent pas le contester.

            Il faut pas leur proposer une solution, mais bien leur demander LEUR solution. Autant les faire bosser plutôt que de s’époumoner a essayer de convaincre des personnes au support qui ne voient pas l’enjeu et n’ont aucun pouvoir de décision. Le seul qu’ils aient est de remonter le mécontentement des utilisateurs.

  • # Ce que je ne comprends pas

    Posté par  (site web personnel, Mastodon) . Évalué à 7 (+4/-0).

    C'est que Boursobank (ex Boursorama) acceptait la Yubikey jusqu'à présent donc pourquoi la laisser tomber ?

    Je n’ai aucun avis sur systemd

    • [^] # Re: Ce que je ne comprends pas

      Posté par  . Évalué à 4 (+2/-0). Dernière modification le 09 février 2026 à 17:14.

      Pas que les yubikeys d'ailleurs, d'après https://www.boursobank.com/aide-en-ligne/securite/proteger-mon-espace-client/question/comment-se-connecter-a-votre-espace-client-grace-aux-cles-de-securite-5165516

      Si on reprend la cause de ce mail, c'est pour la norme DSP2, qui n'impose pas spécialement une appli comme second facteur. Peut-être que les autres moyens seront aussi valides, mais comme pour l'instant ils sont peu utilisés, leur support est au courant de rien ?

      Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.

      • [^] # Re: Ce que je ne comprends pas

        Posté par  (site web personnel, Mastodon) . Évalué à 6 (+3/-0).

        Ça ne fait strictement aucun doute que les personnes du support client ignorent totalement ce genre de choses. J'ai eu des discussions comparables pour une autre banque. Je te donne deux réponses de choix :

        • il n'y a pas que les téléphones Android, vous pouvez utiliser un Iphone,
        • il n'y a pas d'autre solution (et tu pouvais voir au téléphone que le type, bien que courtois et professionnel, pensait en fait "j'y connais rien je n'en ai rien à battre et ça me fait profondément braire").

        Je n’ai aucun avis sur systemd

      • [^] # Re: Ce que je ne comprends pas

        Posté par  . Évalué à 4 (+2/-0).

        je viens d'enregistrer ma yubikey, sympa :

        "Modèle non certifié :

        BoursoBank n'a pas pu identifier le modèle de votre clé de sécurité ou celui-ci ne respecte pas les critères exigés par BoursoBank pour être considéré comme une authentification forte. "

        et une fois connecté, ça indique pourtant :

        YubiKey 5 NFC Series

        ensuite :

        Opérations sensibles

        La clé de sécurité permet d'accéder de façon plus simple et plus sûre à vos comptes. À ce jour, il n'est pas encore possible de valider des opérations sensibles grâce à cette solution.

        sans doute un moyen de se décharger alors que c'est pourtant un dispositif sécurisé.

        De plus, cela ne permet pas d'utiliser de l'OTP

        Rappel important : vos amis qui se sont retournés contre vous parce que la TV leur a dit de le faire : ils le feront encore.

        • [^] # Re: Ce que je ne comprends pas

          Posté par  . Évalué à 4 (+2/-0).

          Leur utilisation de WebAuth c'est nimp
          * Si ta clé échoue, tu repasses en mot-de-passe uniquement
          * Si ta clé est valide, t'as besoin de rien d'autre (Webauth peut pourtant exiger un PIN de la clé), donc pas plus sécurisé si on te la vole
          * Pour des fonctionalités, c'est une webview qui ne prend que le mot-de-passe

  • # quelle sécurité est apportée par l'appli ou le 2FA ?

    Posté par  . Évalué à 4 (+3/-0). Dernière modification le 09 février 2026 à 16:00.

    Donc, je vais sans doute fermer mon compte Boursorama…

    Je m'interroge depuis longtemps sur ces applications ou sur l'authentification à deux facteurs: pourquoi ces applis et authentifications à double facteurs via email, sms ou ce qu'on veut, alors que tout se passe dans le même appareil puisqu'il est devenu courant de gérer toute interaction avec une banque via un smartphone?
    Le smartphone serait-il un objet si intime qu'on peut-être certain de l'identité de la personne qui s'en sert ? Rien que chez nous, il passe entre les mains de ma copine et de nos enfants (et réciproquement).
    Mais ce n'est rien. On trouve souvent des smartphones égarés, or il n'est pas difficile de sauter le mot de passe, schéma, empreinte digitale, reconnaissance faciale, etc.).
    Mais pire: quand un objet aussi facile à piquer et pirater contient votre vie et votre pognon, il devient une cible criminelle évidente. Je suis sûr que le vol intensif de smartphones va reprendre.

    Donc je cherche sans trouver, je ne comprend pas quelle sécurité est apportée par l'appli ou le 2FA. Si quelqu'un sait…

    • [^] # Re: quelle sécurité est apportée par l'appli ou le 2FA ?

      Posté par  . Évalué à 3 (+1/-0).

      or il n'est pas difficile de sauter le mot de passe, schéma, empreinte digitale, reconnaissance faciale, etc.).

      Ah bon ? Tu peux nous en dire plus ?

      • [^] # Re: quelle sécurité est apportée par l'appli ou le 2FA ?

        Posté par  . Évalué à 4 (+2/-0).

        Si tu grattes un peu le sujet, tu finis par trouver sur internet une liste de méthodologies pour chaque modèle de smartphones. Ça exploite des bugs, ce qui rend le smartphone dernier cri plus sûr pendant quelques temps.

        À titre anecdotique, l'un de mes enfants débloquait sans problème la reconnaissance faciale du smartphone de son frère. Il a trouvé la manip par hasard. On a remplacé le smartphone dès qu'on a pu.

        Le potentiel financier du vol de smartphone est considérable. Une fois piraté, on peut faire de la parfaite usurpation d'identité ou chainer des comptes en banque pour faire transiter des sous. Surtout qu'on peut tout copier, installer un contrôle invisible et restituer le smartphone pour que le propriétaire ne change pas ses mots de passe. La mafia va forcément s'y mettre.

    • [^] # Re: quelle sécurité est apportée par l'appli ou le 2FA ?

      Posté par  . Évalué à 4 (+2/-0).

      c'est indiqué dans leur message : biométrie

      Une fois qu'ils sont dans le cadre "légal", ce qui arrive ensuite ne les concerne plus, ils sont couverts. Peu importe si on voleur met le smartphone devant le visage de la victime qu'il veut détrousser, ou force son empreinte sur le capteur biométrique. Et les arnaques avec le faux appel "on va sécuriser votre compte via un virement sur un nouveau compte" vont continuer également.

      Par contre tu dis qu'il n'est pas difficile de faire sauter le mot de passe / biométrie, mais à part réinitialiser l'appareil le reste est difficile il me semble. D'ailleurs j'ai eu le cas de connaissance qui avaient des samsung et avaient oublié le code du compte google associé, le smartphone n'était pas réinitialisable car il fallait impérativement le premier compte google associé avec.

      https://www.samsung.com/fr/support/mobile-devices/comment-reinitialiser-mon-smartphone-tablette-ou-restaurer-les-parametres-d-usine/

      "La plupart des appareils Android sont protégés par la Protection Google contre la réinitialisation aux paramètres d’usine (FRP). Si votre smartphone a été réinitialisé via les touches latérales, le mot de passe votre compte Google vous sera demandé pour y autoriser l’accès. Cette fonctionnalité est une mesure de sécurité conçue pour éviter les intrusions sur votre smartphone dans le cas où des personnes non autorisées seraient parvenues à le réinitialiser, suite, par exemple, à un vol.

      Si vous souhaitez désactiver la FRP, suivez les indications ci-dessous afin de supprimer votre compte Google de votre appareil.

      Si vous ne pouvez pas réaliser cette manipulation car vous n’êtes pas en mesure d’accéder au contenu de votre smartphone, vous avez la possibilité de l’apporter, muni(e) de la preuve d’achat, à un Centre de service Samsung."

      Rappel important : vos amis qui se sont retournés contre vous parce que la TV leur a dit de le faire : ils le feront encore.

    • [^] # Re: quelle sécurité est apportée par l'appli ou le 2FA ?

      Posté par  (Mastodon) . Évalué à 6 (+3/-0).

      La banque se protège elle-même, pas toi.

  • # En parlant de Boursorama, j'ai vu qu'ils avaient en plus fait de la merde sur leur dashboard.

    Posté par  . Évalué à 5 (+3/-0). Dernière modification le 09 février 2026 à 16:18.

    ls ont viré le message détaillé de la transaction pour le remplacer juste par "carrefour", "la poste", etc … Et ils ont mis de jolis logos.

    Je me demande quel est le ****** qui a eu cette idée : avant, je pouvais facilement, notamment pour les paiements par carte, voir dans l'intitulé la date de la transaction (et me permettait de voir à quoi correspondait la dépense, pratique quand on a pas de véhicule et qu'on peut aller au supermarché d'à côté plusieurs fois dans la semaine). Le libellé détaillé contient la date et c'est plus facile pour le suivi. La on a plus rien, on doit passer son temps à cliquer dans tous les sens.

    Faut leur dire : les logos on s'en fout. On a juste besoin d'avoir le plus d'informations pratique en un coup d'oeil.

    Ils font comme la SNCF. Plus ils touchent à leur appli, pire elle devient.

  • # Se plaindre à la banque de France

    Posté par  (site web personnel) . Évalué à 10 (+9/-0).

    Alors si on regarde Wikipedia, il semble qu'il y a une obligation de fournir une alternative:
    https://fr.wikipedia.org/wiki/Directive_sur_les_services_de_paiement#Transposition_de_la_directive_en_France

    Je suppose que se plaindre à l'APCR ( Autorité de contrôle prudentiel et de résolution ) serait un début. Parce que bon, je suppose que la dite autorité ne va pas souvent recevoir des courriers en masse, et va vite aller voir ce qui se passe.

    Et ça, les banques n'aiment pas.

    • [^] # Re: Se plaindre à la banque de France

      Posté par  (site web personnel) . Évalué à 10 (+12/-0).

      Et si jamais Boursorama pense que Wikipedia est pas suffisante, c'est écrit couleur de la police sur couleur du background sur le site du gouvernement:

      https://www.francenum.gouv.fr/guides-et-conseils/developpement-commercial/solutions-de-paiement/paiements-en-ligne

      • [^] # Re: Se plaindre à la banque de France

        Posté par  . Évalué à 4 (+2/-0).

        Merci du lien ! Hyper intéressant

        Si le client ne possède pas de téléphone intelligent ou ne souhaite pas utiliser l’application mise à disposition par sa banque, l’Observatoire de la sécurité des moyens de paiement (pdf) rappelle que "les utilisateurs doivent disposer de la liberté de choix de leur solution d’authentification" et que "les prestataires de services de paiement sont donc invités à offrir au moins une méthode alternative et gratuite à l’application mobile sécurisée".

        Et , selon la charte du comité national des moyens de paiement (pdf),des solutions alternatives sans surcoût doivent être proposées par les banques aux personnes en situation de handicap :

        envoi d'un SMS à usage unique couplé à un mot de passe connu par le client ;
        mise à disposition d'un dispositif physique dédié comme un lecteur de cartes bancaires.

  • # Action politique

    Posté par  . Évalué à 10 (+8/-0).

    On pourrait essayer de batailler politiquement (parlement européen ?) pour obtenir l'obligation pour les banques de fournir des API, voire une appli libre générique, pour

    • consulter ses comptes
    • faire des paiements
    • faire des virements entre comptes

    Les banques ont su se mettre ensemble pour proposer Wero, on pourrait obtenir un Wero libre, déjà. Puis l'étendre aux opérations de base.

    C'est un sujet qui pourrait être porté par l'APRIL, peut-être. Je l'initierais bien parce que ce sujet me travaille, et les commentaires ici montrent que je suis pas le seul, mais j'ai aucune connaissance ou compétence spécifique pour le porter. (Yakafokon)

    Certains députés comprennent bien l'enjeu. D'autres peuvent être sensibles aux questions de souveraineté (Google partout) même s'ils verraient bien un "champion européen" privateur.

    • [^] # Re: Action politique

      Posté par  . Évalué à 4 (+2/-0).

      J'ai écrit appli mais on pourrait souhaiter plus largement des alternatives sans ordiphone qui ne soient pas un déplacement en agence.

      À creuser…

    • [^] # Re: Action politique

      Posté par  . Évalué à 2 (+0/-0).

      Action qui n'empêche pas en parallèle de s'adresser aux banques en tant que client, voire sociétaire (Crédit Coopératif, par exemple).

    • [^] # Re: Action politique

      Posté par  . Évalué à 6 (+4/-0). Dernière modification le 10 février 2026 à 16:10.

      L'APRIL tient à jour une liste collaborative de l'état des banques sur https://wiki.april.org/w/Atelier-directive-dsp2#Notes_2025

      Il est possible de les contacter notamment sur xmpp:chapril@muc.chapril.org?join .

      aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

      • [^] # Re: Action politique

        Posté par  . Évalué à 2 (+2/-0).

        Sur la page indiquée par Anubis, il a aussi une liste collaborative des banques qui imposent une appli et les liens associés (pour vérifier si c'est tjs valable).

        Il y a aussi une liste des moyens possibles de se plaindre.

        À noter que dans le dernier rapport de l'observatoire de la sécurité des moyens de paiement, entité de la Banque de France (2024, sorti en septembre 2025), la recommandation de proposer une alternative gratuite à l'application a été retirée. :(
        Il est sans doute possible d'obtenir une correction de cet « oubli » si suffisamment de personnes se plaignent…

      • [^] # Re: Action politique

        Posté par  (site web personnel) . Évalué à 4 (+1/-0).

        Tiens cette liste pourrait servir de base pour une Certification Des Banques Réellement Sécurisés.

        Avec le bon lobbying, on pourrait rendre cette certification obligatoire (pas de raison que ce soit toujours les mêmes qui soient enchi… Han Shi… emmerdés!).

        Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

      • [^] # Re: Action politique

        Posté par  . Évalué à 3 (+1/-0).

        Merci pour le lien vers la page de wiki.

        C'est intéressant et ça pointe des actions à mener si la banque retire la solution SMS (qui n'est pas une solution pour celleux qui n'ont pas de mobile, mais bon).

        Mais on reste sur la défensive et je crains le jour où la méthode SMS va être retirée, par les banques ou le législateur, et je trouverais pertinent qu'on (yakafokon toujours) bataille en amont pour la mise en place d'une solution convenable.

        D'autant que le jour où le SMS saute, il y aura pas beaucoup de gens capables de se priver de solution et même les plus réticents risquent d'installer l'appli, de sorte que le problème sera perçu comme résiduel (ça concerne que quelques personnes donc c'est pas un problème).

        Et dans mon message au-dessus, j'appelais aussi de mes voeux un Wero ouvert qui est un sujet connexe. D'autant que dans ma banque (Crédit Coop) lorsqu'on ajoute un IBAN via l'interface web pour les virements, on doit attendre 2 ou 3 jours pour faire le virement, alors que si on passe par l'appli je crois que c'est instantané. Encore une pression à utiliser l'appli (ou Wero).

  • # Résumé des arguments à utiliser (quelle que soit la banque d'ailleurs) et des solutions possibles

    Posté par  (site web personnel, Mastodon) . Évalué à 10 (+13/-0).

    La liste n’est pas hiérarchisée ni ordonnée, c’est un simple inventaire, s’il y a d’autres arguments. En fait j’ai repris les arguments dans l’ordre dans lequel je les lis dans le journal et les commentaires.

    Arguments

    • « Si le client ne possède pas de téléphone intelligent ou ne souhaite pas utiliser l’application mise à disposition par sa banque, l’Observatoire de la sécurité des moyens de paiement rappelle que “les utilisateurs doivent disposer de la liberté de choix de leur solution d’authentification” et que “les prestataires de services de paiement sont donc invités à offrir au moins une méthode alternative et gratuite à l’application mobile sécurisée” » (site france.num.gouv.fr Paiements en ligne : l’authentification forte DSP2 pour sécuriser votre site e-commerce est désormais obligatoire)

    • il y a d’autres moyens de double authentification (2FA) comme OTP, Yubikey, etc.

    • il n’y a aucune obligation égale à avoir un ordiphone,

    • ces applications bancaires sont téléchargeables sur les stores de grosses entreprises américaines très gourmands de nos données, Apple et Google,

    • il n’y a aucune obligation légale à avoir un compte Apple ou Google, compte nécessaire pour télécharger ces applis bancaires

    • on a un téléphone qui n’est pas compatible,

    • dans les CGV de la banque il n’y a nulle part indiqué qu’il faut avoir un ordiphone pour en utiliser les services,

    • dans les mêmes CGV, il n’est indiqué nulle part qu’il faille un compte auprès d’Apple ou de Google pour utiliser les services en ligne,

    • Google exige des versions d’Android mises à jour pour les applis bancaires ce qui va raccourcir de facto la durée d’utilisation des ordiphones pour ces applis, la banque est-elle prête à payer des ordiphones plus récents aux clients ?

    • il y a des pisteurs non nécessaires dans l’application, ce qui est inadmissible https://reports.exodus-privacy.eu.org/fr/reports/com.boursorama.android.clients/latest/

    • il est extrêmement détestable de devoir utiliser pour les opérations bancaires un ordiphone dont le système d’exploitation et les magasins d’applications sont fournis par des entreprises soumises au Cloud Act et ce d’autant plus que le contexte politique états-unien est inquiétant,

    • la banque utilisait déjà d’autres systèmes de double authentification, pourquoi ne plus les utiliser ?

    Solutions envisageables :

    • OTP (mot de passe à usage unique donc valable pour une seule transaction)

    • saisie d’un code fixe transmis par papier initialement nécessaire pour les transactions en ligne et qui s’ajoute aux informations de paiement et au code temporaire reçu par SMS, exemple du Securicode du CA,

    • une petite télécommande qui génère un code unique après flashage d’un QR-Code (CIC),

    • U2F (Universal Second Factor norme d’authentification ouverte qui vise à renforcer et à simplifier l’authentification à deux facteurs en utilisant des périphériques USB ou à communication en champ proche), exemple des clés USB de type Yubikey.

    Solutions non envisageables

    • Appeler le service client pour procéder à chaque virement (surtout si la procédure d’appel est complexe : cas de Boursobank où il faut passer par l’assistance en ligne automatisée pour pouvoir se faire appeler par le service client)

    Je n’ai aucun avis sur systemd

    • [^] # Re: Résumé des arguments à utiliser (quelle que soit la banque d'ailleurs) et des solutions possibles

      Posté par  (site web personnel) . Évalué à 3 (+1/-0).

      pfff tu piques du boulot aux IA maintenant ? :D
      Merci pour cette intelligence _o/

    • [^] # Re: Résumé des arguments à utiliser (quelle que soit la banque d'ailleurs) et des solutions possibles

      Posté par  (site web personnel, Mastodon) . Évalué à 5 (+2/-0).

      J'ai oublié pour Boursobank que le courriel signale l'existence d'autres solutions.

      Je n’ai aucun avis sur systemd

    • [^] # Re: Résumé des arguments à utiliser (quelle que soit la banque d'ailleurs) et des solutions possibles

      Posté par  (site web personnel) . Évalué à 2 (+1/-0).

      Arguments

      il y a d’autres moyens de double authentification (2FA) comme OTP, Yubikey, etc.

      Qui ne respectent pas la notion de SCA contextuelle bancaire (action, montant & destinataire)

      il n’y a aucune obligation égale à avoir un ordiphone,

      Mais la banque a une obligation légale à fournir une SCA légale (DSP3)

      dans les CGV de la banque il n’y a nulle part indiqué qu’il faut avoir un ordiphone pour en utiliser les services,

      Mais la banque est concernée elle-même par une obligation légale qui est supérieure à ses CGUE

      dans les mêmes CGV, il n’est indiqué nulle part qu’il faille un compte auprès d’Apple ou de Google pour utiliser les services en ligne,

      Idem

      Google exige des versions d’Android mises à jour pour les applis bancaires ce qui va raccourcir de facto la durée d’utilisation des ordiphones pour ces applis, la banque est-elle prête à payer des ordiphones plus récents aux clients ?

      Pas le problème de la banque

      la banque utilisait déjà d’autres systèmes de double authentification, pourquoi ne plus les utiliser ?

      Parce que plus légales. Ne l’était déjà plus depuis longtemps pour la plupart (SMS, calculette, code fixe…). Les exigences DSP3 ont fait sauter tout le reste.

      Solutions envisageables :

      OTP (mot de passe à usage unique donc valable pour une seule transaction)

      Non, pas contextuel

      saisie d’un code fixe transmis par papier initialement nécessaire pour les transactions en ligne et qui s’ajoute aux informations de paiement et au code temporaire reçu par SMS, exemple du Securicode du CA,

      Pas contextuel ou plus fiable (SMS)

      une petite télécommande qui génère un code unique après flashage d’un QR-Code (CIC),

      Pas contextuel, illégal

      U2F (Universal Second Factor norme d’authentification ouverte qui vise à renforcer et à simplifier l’authentification à deux facteurs en utilisant des périphériques USB ou à communication en champ proche), exemple des clés USB de type Yubikey.

      Pas contextuel, illégal

    • [^] # Re: Résumé des arguments à utiliser (quelle que soit la banque d'ailleurs) et des solutions possibles

      Posté par  . Évalué à 3 (+1/-0).

      Je remarque que BoursoBank ne peut plus être contacté autrement que par rappel téléphonique. L'assistance par message a disparu.

    • [^] # Re: Résumé des arguments à utiliser (quelle que soit la banque d'ailleurs) et des solutions possibles

      Posté par  . Évalué à 1 (+1/-0).

      les utilisateurs doivent disposer

      les prestataires de services de paiement sont invités

      Quand la référence elle-même n’est pas claire sur ce qu’elle veut dire…

    • [^] # Re: Résumé des arguments à utiliser (quelle que soit la banque d'ailleurs) et des solutions possibles

      Posté par  . Évalué à 3 (+1/-0).

      un autre argument dans la liste d'Ysabeau :

      Si on veut garder son ordiphone avec soi (comme la plupart des gens qui en ont un), on est obligé de se promener dans les endroits dangereux avec le dispositif complet pour entrer dans sa banque. Alors qu'avec une clé génératrice de numéros aléatoires, on peut le laisser à la maison, et même en cas de révolver sur la tempe (ou de couteau sur le ventre), on serait incapable d'ouvrir l'accès au compte et de se le faire siphonner. D'autant plus si l'accès se fait par ordinateur, qui lui aussi peut rester à la maison.

      • [^] # Re: Résumé des arguments à utiliser (quelle que soit la banque d'ailleurs) et des solutions possibles

        Posté par  (site web personnel, Mastodon) . Évalué à 3 (+0/-0).

        Et même, histoire vécue. Si un type t'appelle pour te dire qu'il y a des trucs louches sur ton compte en banque et te demande de vérifier, lui en ligne, ton compte. Si tu n'es pas trop réveillé que tu commence sà croire que c'est vraiment ta banque mais que tu ne passes que par ton ordinateur, le type te raccroche au nez parce qu'il comptait apparemment, lui, faire des trucs louches sur ton compte en banque.

        Je n’ai aucun avis sur systemd

      • [^] # Re: Résumé des arguments à utiliser (quelle que soit la banque d'ailleurs) et des solutions possibles

        Posté par  . Évalué à 2 (+0/-0).

        Si on veut garder son ordiphone avec soi (comme la plupart des gens qui en ont un), on est obligé de se promener dans les endroits dangereux avec le dispositif complet pour entrer dans sa banque. Alors qu'avec une clé génératrice de numéros aléatoires, on peut le laisser à la maison,

        Je ne suis pas sûr d'avoir compris. Tu es en voyage, tu as donc ton ordiphone sur toi, sans l'application bancaire installée et on ne peut pas te forcer à l'installer car tu ne connais pas le mot de passe du compte par cœur. Premier problème, il faut aussi que je désinstalle Keepass de mon téléphone alors, ce qui va m'embêter ; disons que j'ai une version de keepass "voyage" sans l'entrée "ma banque".

        Tu veux quand même pouvoir accéder à ton compte pour être en mesure de bloquer ta carte de crédit si elle est volée ou pour relever un plafond. Tu fais comment ?

        • [^] # Re: Résumé des arguments à utiliser (quelle que soit la banque d'ailleurs) et des solutions possibles

          Posté par  . Évalué à 4 (+2/-0).

          Tu es en voyage, tu as donc ton ordiphone sur toi, sans l'application bancaire installée
          et on ne peut pas te forcer à l'installer

          Elle n'est pas installée si la banque ne t'a pas forcé à l'installer, c'est pourquoi je pense que c'est un argument à rajouter dans la liste d'Ysabeau. Dans le futur rêvé par les banques, tu te balades partout avec toutes les clés pour rentrer dans ton compte bancaire sur toi. Si tu te fais braquer, la biométrie pour entrer dans le merdophone est sur place (ta tronche ou ton doigt), il faut juste insister gentiment (en appuyant plus fortement le couteau) pour que tu donnes ton mdp.

          Donc, pour une bonne sécurité, soit tu n'as pas de spyphone et ta banque accepte ce fait, soit tu en as un mais sans l'appli bancaire, soit tu te ballades sans lui, ce que la plupart des gens n'arrivent plus à supporter, soit tu en as deux dont un vieux avec l'appli bancaire que tu laisses à la maison (solution adoptée par un ami qui habite dans la capitale d'un pays un peu chaud, et qui me dit que plein de gens font ainsi).

          Moralité : l'appli bancaire sur le merdophone est soit dangereuse, soit chère (2e spyphone casanier, ou 1er spyphone pour ceux qui n'en ont pas).

          Tu veux quand même pouvoir accéder à ton compte pour être en mesure de bloquer ta carte de crédit

          Téléphone. Il y a un numéro d'urgence 24/7 pour ça.

          ou pour relever un plafond.

          Plus dur. Tu le prévois avant de quitter l'hôtel, ou tu tel. au service client, s'il accepte que tu puisses le faire juste avec ton mdp tapé sur le tel. (dans ce cas, il te faut un portable, pseudo-intelligent ou non). Ou bien sinon, ben tu ne peux pas (à moins d'emmener ton générateur de code avec toi, mais dans ce cas le présent argument de sécurité tombe à l'eau).

          Mais tu es dans la même situation si tu fais tes opérations sur PC, ce qui est mon cas. Et je crois que c'est exactement ça dont il est question dans ce fil, non ?

          • [^] # Re: Résumé des arguments à utiliser (quelle que soit la banque d'ailleurs) et des solutions possibles

            Posté par  . Évalué à 2 (+0/-0). Dernière modification le 16 février 2026 à 18:25.

            Téléphoner au service client si tu es à l'étranger et que celui-ci ne t'identifie pas via un n° appelant connu, ça risque d'être coton (sauf peut-être pour bloquer la carte), sans parler des frais téléphoniques.

            En ce qui concerne ma banque (qui n'impose pas l'appli), elle impose une contrainte que je trouve agaçante mais qui au final est quand même une sécurité : l'ajout d'un nouveau bénéficiaire de virement prend 48h avant qu'on puisse lui virer quoique ce soit.

        • [^] # Re: Résumé des arguments à utiliser (quelle que soit la banque d'ailleurs) et des solutions possibles

          Posté par  . Évalué à 0 (+0/-0).

          https://xkcd.com/538/

          Blague a part la seul sécurité pour ne pas se faire voler de l'argent c'est de ne pas en avoir, ou une grenade.

          il faut aussi que je désinstalle Keepass de mon téléphone

          Tu connais combien de voleur qui savent c'est quoi keepassXC ?

          De plus si tu configure une session/profile différent pour les paiement que ta session android par défauts tu peut leur donner ouvrir les gars comprendront pas pourquoi ta pas de moyen de paiement enregistrer.

          Tu peut encore rajouter une couche en faisant en sorte que ton kdbx ne soit même pas sur le téléphone en lui même mais seulement accessible en ligne, ou encore plus simple sur un cléf usb, ou encore plus simple un fichier clef sur une clef usb ou nitro key pour une 2FA.

      • [^] # Re: Résumé des arguments à utiliser (quelle que soit la banque d'ailleurs) et des solutions possibles

        Posté par  . Évalué à 4 (+2/-0).

        C'est typiquement un problème de modèle de menace.

        Pour la banque, la menace vient des fraudes, et la solution économique, c'est de mettre tout le monde sur une application Android/iPhone, qui va leur coûter quelque centaines de milliers d'euros, et 0% par utilisateur.
        Pour moi, mon modèle de menace, c'est le capitalisme de surveillance et le monopole de sociétés étrangères, et la solution, c'est l'utilisation de standard ouvert et interopérable.

  • # Fortuneo

    Posté par  (site web personnel, Mastodon) . Évalué à 6 (+4/-0).

    J'ai quitté le Crédit-Agricole qui n'oblige pas le smartphone mais me demande des frais excessifs pour Fortuneo qui ne demande pas plus d'application… Et j'apprécie, le service client est bien plus rapide (certes peut-être plus par mail mais aussi par téléphone et efficace) et je peux configurer des alertes sur seuil et chose génial, je reçois un mail à chaque paiement CB et quand je franchi un seuil ou périodiquement… Résultat je n'ai pas besoin de consulter le site régulièrement.
    Je trouve ça tellement génial de ne pas avoir comme beaucoup maintenant un mail qui te dis "Vous avez reçu un message dans votre messagerie" qui t'oblige à te connecter au site Web pour un rien.

    Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.

    • [^] # Re: Fortuneo

      Posté par  . Évalué à 4 (+2/-0).

      pour Fortuneo qui ne demande pas plus d'application.

      Je suis sur Fortuneo et je dois passer par l'appli pour certaines transactions. Ils t'ont fourni une solution alternative ?

      • [^] # Re: Fortuneo

        Posté par  (site web personnel, Mastodon) . Évalué à 3 (+1/-0). Dernière modification le 10 février 2026 à 13:22.

        Pour quels transactions? Perso, je consulte mon solde et effectue mes virements. Pour changer certaines informations personnelles il faut passer par le téléphone ou le courrier mais c'est tout. Je ne vois ce que tu fais d'autres avec ton compte en banque? Trading? Achat immobiliers?

        PS : ce qui est possible, c'est qu'à partir du moment ou tu renseigne une application, ils demandent validation dessus. Mais vire l'application et signale le à la banque.

        Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.

        • [^] # Re: Fortuneo

          Posté par  . Évalué à 2 (+0/-0). Dernière modification le 10 février 2026 à 13:53.

          Je ne vois ce que tu fais d'autres avec ton compte en banque? Trading? Achat immobiliers?

          Tout bêtement des achats sur internet.

          Et il me semble que ton smartphone est nécessaire pour valider l'ajout d'un nouveau bénéficiaire de virement (et peut-être d'autres opérations comme changer un plafond de carte).

          • [^] # Re: Fortuneo

            Posté par  . Évalué à 4 (+2/-0).

            Jamais eu besoin de l'appli jusqu’à aujourd'hui.

            Après je fais surtout du paiement internet via les cartes virtuelles.

            • [^] # Re: Fortuneo

              Posté par  . Évalué à 2 (+0/-0). Dernière modification le 11 février 2026 à 09:24.

              Après je fais surtout du paiement internet via les cartes virtuelles.

              Oui, moi aussi mais il me demande de valider la création de la carte via l'appli quand je fais cette création sur mon pc (quand je la fais depuis l'appli il me demande de rentrer un code reçu par SMS).

              @abriotde a sans doute raison : si l'appli est installée* il la sollicite, sinon il s'en passe (moyennant un SMS ?). Si tel est le cas, ça me paraît plutôt intelligent.

              * ou plutôt s'il y a un appareil de confiance enregistré.

          • [^] # Re: Fortuneo

            Posté par  (site web personnel, Mastodon) . Évalué à 3 (+1/-0).

            Je fais tout ça sans application. Mais peut-être que si elle est installée il la sollicite.

            Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.

          • [^] # Re: Fortuneo

            Posté par  . Évalué à 2 (+1/-0).

            Chez Fortuneo aussi, je n'ai pas l'application et je peux:
            - faire des achats sur internet,
            - ajouter des bénéficiaires de virement,
            - faire des virements.
            Je n'ai pas essayé de modifier les plafonds.

            Tout passe par le site web et SMS.

            • [^] # Re: Fortuneo

              Posté par  (Mastodon) . Évalué à 2 (+0/-0).

              Tout passe par le site web et SMS.

              à horizon dix ans, la légende urbaine "une application bancaire est obligatoire pour tout compte par les banques du monde entier ; pas d'appli, pas d'argent ! " (que m'a soutenu une ancienne collègue y'a pas si longtemps) risque d'être réelle.
              Un cauchemar.

              Et là, les applis, pas le choix, nous aurons alors tous dans nos mains, à nos frais, la télécommande gratuite du pauvre (aussi appelé "smartphone")

              le bonheur des imposeurs d'applis, fabrique le malheur de ceux qu'en veulent pas. Un classique.

          • [^] # Re: Fortuneo

            Posté par  . Évalué à 2 (+2/-0).

            Je confirme : après création, une simple gestion de compte chez Fortunéo est possible avec juste un navigateur web et des codes reçus par SMS.
            Prévoir pas mal de SMS, ils demandent un code pour chaque téléchargement de relevé en PDF.

            À noter par contre, même problème que dans le commentaire suivant : certains sites (Paypal par ex.) demandent numéro de CB, date de validité et le CVV à 3 chiffres, puis code par SMS, puis mot de passe de connexion au site web de Fortunéo dans une iframe (sans le login mais bon…)

            Ça fait plusieurs mois, peut-être années. J'avais eu plus ou moins confirmation du support à l'époque ("merci de votre retour, on va étudier la question"), et j'ai encore eu le cas il y a deux semaines. Effectivement une flopée d'années de formations et de conseils anti-phishing à la poubelle…

    • [^] # Re: Fortuneo

      Posté par  . Évalué à 0 (+0/-0).

      Comme quelque agence du crédit agricole tu est tomber sur des enf****
      Mon agence m'oblige pas, par contre je connais une autre personne dans une autre ville qui a migrer d'agence CA et cette nouvelle agence lui force a utiliser une applis.
      Ç'est la zizanie et ça me gonfle.

  • # dans le temps, c'était mieux avant

    Posté par  . Évalué à 6 (+4/-0).

    Dans le temps pour payer, je rentrais les chiffres de ma CB, je recevais un SMS, je recopiais le code et c'était fini. Pas d'appli, un site web bancaire avec juste les infos intéressantes (comptes, historiques, message au conseiller) et c'est tout.

    Maintenant:
    - j'ai une appli obligatoire qui passe son temps à me proposer des, euh, services(?) genre "avec notre analyste virtuel on va analyser vos dépenses" (ben non?)
    - je dois me logger avec un ID, puis un mot de passe, puis un autre mot de passe (mais pourquoi????). Sachant que le second mot de passe c'est 6 chiffres. Ils prennent la tête pour le premier mdp avec des majuscules minuscules symboles, pas de répétition de caractères, pas d'enchainement pas de mot de dico etc… mais ils sécurisent ça avec 6 chiffres. Mais quel est le fucking sens à ça??
    - une fois loggé dans l'appli, si je fais quelque chose de "sensible" (j'ai pas bien compris ce qui est sensible de ce qui ne l'est pas) je dois remettre le code à 6 chiffres.
    - si je traîne plus de 8s sans cliquer sur un truc l'appli se verrouille et faut remettre les codes (rhaaaaaah!!!)
    - de temps en temps (genre ajout de bénéficiaire pour des virements) je dois aller chercher une carte papier qui contient un tableau et je dois donner le contenu de la case A8 (par exemple). Mais je dois redonner le code à 6 chiffres, puis redonner le code à 6 chiffre après. Et quelqus fois je dois attendre 48h pour pouvoir faire un virement à ce compte ajouté. Mais ils ont ajouté un scan OCR dégueulasse pour m'éviter à rentrer les chiffres à la main je peux prendre en photo le RIB)
    - quand je paye sur internet, je dois donner un code internet à 6 chiffres (un autre code, nommé code payement par internet), puis aller ouvrir mon smartphone, ouvrir l'appli, valider le payement, remettre le code à 6 chiffres (celui de l'appli pas celui du payement internet, suivez un peu) et valider deux ou trois fois.
    - je crois que je ne reçois plus de SMS, j'ai pas bien compris si c'est bien ou pas, ou si j'ai cliqué sur un truc ou pas, j'ai 0 infos là dessus.
    - j'ai eu aussi le coup ou je dois donner mon code de connexion du site web de ma banque (wtf?!!) mais en fait si si c'est tout à fait normal et légitime de mettre le code du site web de sa banque sur un site random dans une iframe, c'est pour que le consommateur se rende bien compte qu'il fait un achat sur internet (toutes ces années à suivre des formations anti-phishing à mettre à la poubelle)….
    - on me propose de créer des cartes bleues virtuelles, j'ai vraiment, mais pas du tout envie d'ajouter plusieurs étapes au payement.

    Bref. La simplification… Merci les banques.
    Des fois j'aimerai tenir le programmeur qu'a pondu cette horreur et le pendre par les pieds jusqu'à ce qu'il m'avoue pourquoi il a fait ça. il aime pas les gens? il a infiltré le monde capitaliste et veut le voir brûler de l'intérieur? il s'ennuyait et a ajouté 12000 étapes?

    • [^] # Re: dans le temps, c'était mieux avant

      Posté par  . Évalué à 4 (+2/-0).

      Je ne sais pas de quelle banque tu parles mais ça a l'air assez catastrophique !

      Mon appli Fortuneo accepte les mots de passe "normaux" (donc je peux les saisir via mon KeePassDX) ou la biométrie. Et c'est tout : pas de carte papier, pas de code différent pour un paiement internet, etc… rien de tout l'enfer que tu décris.

      Le problème d'une appli bancaire, ce n'est pas la complexification (il n'y en a pas avec celle de ma banque, c'est donc possible), le problème c'est que ça exige un tel Android (ou Apple) avec un compte Google, et que les OS alternatifs sont prohibés.

      L'obligation d'utiliser une appli bancaire sur un smartphone est un autre sujet. Je retiens juste que Aeris semble dire que cela résulte des obligations légales actuelles.

  • # Ils sont pénibles

    Posté par  . Évalué à 5 (+5/-0).

    Je suis dans le même cas que toi. J'ai appelé aussi le service client, comme toi la personne m'a fait patienter le temps de se renseigner. Par contre, moi elle m'a dit qu'elle n'avait pas l'info et elle m'a suggéré de rappeler plus tard. Sur le sondage "votre avis patati patata", j'ai dit que leurs conseillers devraient avoir ce genre d'infos, et que j'attendais d'eux qu'ils continuent de prendre en charge les autres méthodes 2FA qui sont complètement conformes à la DSP2, sinon je changerai de banque.

    Peut-être qu'ils tâtent le terrain. Dans ma banque précédente ils m'avaient fait le coup en me disant que l'appli allait être obligatoire bientôt, mais quand je leur ai dit que je n'avais pas de smartphone, ils m'ont juste dit "ah bon ok alors non en fait ce ne sera pas obligatoire".

    Je rappellerai début mars.

  • # Il sera possible de mettre en place une dérogation

    Posté par  (site web personnel, Mastodon) . Évalué à 5 (+3/-0). Dernière modification le 10 février 2026 à 15:27.

    Je viens de me faire rappeler par leur service client.

    Je leur ai demandé simplement : « Un téléphone Android sera-t-il obligatoire ou dois-je fermer mes comptes ? »

    Je n'ai patienté que 5 min pour qu'on m'indique qu'il sera possible de mettre en place une dérogation.

    J'ai demandé comment il faudra faire pour mettre en place la dérogation, mais le chargé de clientèle ne savait pas.

    Ma grand-mère à un téléphone adapté à son age, avec de grosses touches et il ne fonctionne pas avec Android…

    La liberté ne s'use que si on ne s'en sert pas.

  • # Médiateur bancaire ?

    Posté par  (site web personnel) . Évalué à 4 (+3/-0).

    J'ai le même problème, et pour l'instant les réponses que j'ai eues sont à coté de la plaque.

    Quelqu'un a un retour d'expérience pour la saisie du médiateur bancaire? Même si, un peu comme ceux qui parlent de trahison plus haut, j'ai tendance à penser que forcer à avoir un compte Google ou Apple, dans le climat international actuel, c'est peut-être plus du ressort du SGDSN que du médiateur bancaire…

    • [^] # Re: Médiateur bancaire ?

      Posté par  . Évalué à 1 (+1/-0).

      J'ai déjà fait appelle a un médiateur télécoms mais pas bancaire, je savais même pas que ça exister, merci pour l'info.

  • # Banques sans appli imposée

    Posté par  . Évalué à 1 (+0/-0).

    Plusieurs d'entre vous ont évoqué l'idée de changer de banque. Pour aller où ? Qui reste-t-il ?
    En attendant que la Nef s'ouvre aux particuliers il faut bien gérer le quotidien. Et imposeront-ils une app eux aussi ?

  • # Sujet très similaire, services de l'Etat ou presque

    Posté par  . Évalué à 6 (+4/-0).

    Le sujet me concerne un peu, pour le moment ma banque ne m'ennuie pas trop avec une obligation d'appli, je fais avec les SMS et je crains le jour où ils vont fermer cette porte.

    Je rebondis sur ce journal parce qu'on doit pouvoir grouper les réclamations avec les services de l'Etat qui se retrouvent "sécurisés" par une obligation d'Android/iOS réçent:
    - CPF
    - Ouverture/Femeture auto-entreprise
    - Certaines démarches (Ma Prime Renov')

    et autres démarches recensées dans cette dépêche à plusieurs mains + commentaires: https://linuxfr.org/news/demarches-administratives-et-fracture-numerique

    Le problème est identique: l'excuse de la sécurité pour forcer les smartphones aux OS américains alors que d'autres très bonnes et très indépendantes solutions existent.

    Peut-être qu'en ces temps de réflexion des dépendances aux US l'argument aura plus de poids ?

    Quelqu'un-e saurait qui contacter pour un recours au nom d'une partie de la population ? Une grosse association ? Un médiateur/une médiatrice ?

    • [^] # Re: Sujet très similaire, services de l'Etat ou presque

      Posté par  . Évalué à 2 (+0/-0).

      CPF

      On peut demander l'ouverture via un courrier à son domicile. Par contre je crois que l'utilisation de ses droits est soumise à FranceConnect+

      MaPrimeRenov'

      Pareil, j'ai ouvert mon compte avec un courrier reçu à domicile. Et fait ma demande sans rien d'autre, en juin 2025.

      • [^] # Re: Sujet très similaire, services de l'Etat ou presque

        Posté par  (site web personnel) . Évalué à 3 (+0/-0).

        On peut demander l'ouverture via un courrier à son domicile. Par contre je crois que l'utilisation de ses droits est soumise à FranceConnect+

        Alors j'en ai parlé avec quelqu'un au courant à l'époque, et on m'a dit que l'état est au courant que c'est pas parfait, mais que c'était une mesure d'urgence pour arrêter certaines fraudes, et que des gens se penchent sur mieux/autre chose.

        • [^] # Re: Sujet très similaire, services de l'Etat ou presque

          Posté par  . Évalué à 3 (+3/-0).

          Le problème pour FranceConnect+ est que la procédure alternative est complètement défaillante. Il faut envoyer un courrier avec un formulaire rempli et une photocopie de la pièce d'identité et de la carte vitale, et normalement ils nous débloquent l'utilisation du CPF. Jusque-là tout va bien si on n'est pas pressé (ils annoncent un délai de 3 semaines de mémoire). Même si je ne vois pas bien en quoi ça apporte de la sécurité.
          Le problème c'est que j'ai dû m'y reprendre à 4 fois parce que les 3 premières fois j'ai reçu par e-mail une notification de refus avec un motif lacononique : "dossier incomplet". Point. Et impossible de les joindre, il n'existe aucune adresse e-mail ni aucun numéro de téléphone permettant de parler à quelqu'un, j'ai essayé ! La 3e fois j'ai même ajouté une lettre pour dire qu'ils m'avaient déjà refusé pour "dossier incomplet" et les prier de bien vouloir constater que le dossier était complet, rien à faire. Je n'ai jamais compris pourquoi le 4e était passé mais pas les 3 premiers. J'ai fait exactement la même chose. Par contre j'ai payé 4 fois les photocopies et les impressions, et 4 fois les frais postaux.
          Je pense qu'ils absorbent les retards de traitement comme ça, je ne vois pas d'autre explication.

      • [^] # Re: Sujet très similaire, services de l'Etat ou presque

        Posté par  . Évalué à 2 (+0/-0).

        On peut demander l'ouverture via un courrier à son domicile. Par contre je crois que l'utilisation de ses droits est soumise à FranceConnect+

        Oui, c'est bien restreint à l'utilisation de FranceConnect+ c'est ce qui est reproché.

        Dans la dépêche certains parlent d'un traitement possible par courrier il me semble, au délai allongé et à l'issue incertaine contrairement aux demandes numériques par une appli dépendant d'une plateforme fermée

  • # DANGER PHISHING !

    Posté par  . Évalué à 0 (+0/-0). Dernière modification le 13 février 2026 à 14:07.

    Attention, j'ai reçu le même mail avec le même contenu, le même jour que toi, et toutes les adresses dans le mails sont boursobank.info et pas .com.
    L'adresse mail de l'expéditeur est aussi noreply@clients.boursobank.info.
    Il sagit d'un email frauduleux !

    • [^] # Re: DANGER PHISHING !

      Posté par  . Évalué à 1 (+1/-0).

      Le premier conseiller ne connaissait pas ce mail, mais un autre m'a confirmé que cette adresse appartient bien à Bourso finalement.
      Leur page d'aide n'est pas très à jour du coup…
      https://www.boursobank.com/aide-en-ligne/securite/fraude-comprendre-reagir/question/email-sms-frauduleux-soyez-vigilant-95579058

    • [^] # Re: DANGER PHISHING !

      Posté par  (site web personnel, Mastodon) . Évalué à 4 (+1/-0). Dernière modification le 13 février 2026 à 13:17.

      Je ne pense pas.

      1/ je l’ai reçu à l'adresse que je réserve aux seules banques, qui n’est communiquée qu'à elles et sur laquelle je n’ai aucun spam.

      2/ c'est l’adresse d'expédition des relevés de la banque.

      3/ Boursobank peut communiquer avec ses clients avec des adresses en .info, .com, .fr d'après les courriels que j’ai reçus.

      Je n’ai aucun avis sur systemd

    • [^] # Re: DANGER PHISHING !

      Posté par  . Évalué à 2 (+0/-0).

      C'est en effet peu probable.

      Mais effectivement le whois de boursobank.info n'existe pas (le .info ne prend pas en charge le whois), et les courriels de clients.boursobank.info sont gérés par clients.boursobank.info.mail-in.bp01.net. dont l'IP a été déléguée à France Telecom TRANSPAC.
      Mais pas grand chose de plus. C'est un manque de transparence.

  • # Réclamation auprès de Boursobank et résultat

    Posté par  (site web personnel, Mastodon) . Évalué à 6 (+3/-0).

    Donc j'ai fait une réclamation donc je vous copie-colle le texte ci-après:

    La réponse reçue n'est absolument pas satisfaisante :

    1/ le courriel du 9/2/2026 mentionne "Si vous ne pouvez pas utiliser l’App, une solution reste accessible via le Service Client.", solution que vous ne mentionnez pas.
    2/ je vous rappelle la position de l'Observatoire de la sécurité des moyens de paiement :
    "Si le client ne possède pas de téléphone intelligent ou ne souhaite pas utiliser l’application mise à disposition par sa banque, l’Observatoire de la sécurité des moyens de paiement rappelle que "les utilisateurs doivent disposer de la liberté de choix de leur solution d’authentification" et que "les prestataires de services de paiement sont donc invités à offrir au moins une méthode alternative et gratuite à l’application mobile sécurisée". https://www.francenum.gouv.fr/guides-et-conseils/developpement-commercial/solutions-de-paiement/paiements-en-ligne

    En conséquence, quelle solution alternative proposez-vous ? Notez que passer par un appel téléphonique (donc vocal) au service client n'est pas une solution accessible et n'est donc pas, de fait, une solution alternative acceptable.

    La réponse à cette réclamation :

    Nous faisons suite à votre réclamation n°xxx, relative à la modification des modalités de validation de vos opérations sensibles.

    Nous vous confirmons qu’une solution alternative pourra vous être proposée, cependant, nous n'avons aucune information complémentaire à vous apporter pour le moment.

    Voilà, le service client n'a aucun biscuit sur le sujet. Je continue à vous suggérer de le contacter pour faire bouger les choses.

    Je n’ai aucun avis sur systemd

  • # Boursobank sur /e/OS

    Posté par  (Mastodon) . Évalué à 3 (+3/-0).

    À noter que l’application BoursoBank ne fonctionne que de façon aléatoire sous /e/OS.
    Les fils sur le forum de /e/os ne manquent pas sur la question, comme celui-ci :
    https://community.e.foundation/t/application-boursobank-sur-fp6/74578

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.