question #DSP2
On peut pas obliger les banques (la BanquePostale au hasard 😉 ) à se servir d'un telephone fixe pour la double authentification ?

À priori non, mais j'ai peut être loupé un truc dans mes recherches

Après tout, c'est personnel un téléphone fixe ....

ping @aeris

@aeris @lareinedeselfes bah on sait faire un bot qui appelle et qui épelle un nombre hein…

@mmu_man @aeris @lareinedeselfes C’est d’ailleurs précisément ce que font certaines banques quand tu valides par fixe (parce que oui ça existe. Apparemment une banque belge. Mais plus par retard technologique que réelle volonté de proposer une alternative).

et chez "le crédit lyonnais aussi " alors pourquoi chez eux c'est possible et pas à la BanquePostale ? @breizh @aeris @mmu_man

@lareinedeselfes @breizh @mmu_man Globalement les banques sont actuellement dans la merde niveau DSP2. Elles traînent des pieds à se mettre en conformité avec un truc qu’elles ont elles-mêmes conçus pour être compliqué à mettre en œuvre histoire de tuer les aggrégateurs bancaires qui menaçaient leurs business…

@aeris @lareinedeselfes @breizh et qui se débrouillent mieux qu'elles vu qu'ils maîtrisent la tech…

@mmu_man @lareinedeselfes @breizh Non. Honnêtement la DSP2 va vraiment tuer les agrégateurs dans l’avenir. 2 2FA à valider tous les 90j, ça va en faire bugger plus d’un à cause de leurs clients qui ne comprendront rien à ce qu’ils leurs arrivent.

@aeris @mmu_man @lareinedeselfes Tu parles, les 90 jours c’est fait chez le Crédit Agricole et Boursorama : mais c’est encore par SMS. Je suppose que l’interdiction du SMS a été repoussée ou dérogée…

@breizh @aeris @lareinedeselfes tfaçon moi j'ai que ça.
Ou de l'otpauth mais sur l'ordi, pas dans une appli merdique.

@lareinedeselfes @breizh @aeris euh TOTP : freeotp.github.io/ la plupart des "apps" en fait implémentent (mais mal et sans le dire) ce truc. Mais y a des clients libres. Faut juste avoir les bonnes info pour l'utiliser.

Follow

@mmu_man @lareinedeselfes @breizh Le problème est que TOTP n’est pas conforme DSP2 à cause du manque de contextualisation…

@aeris @lareinedeselfes @breizh ben ils ont qu'à proposer un truc *ouvert*.
Hors de question que leur appli touche mon téléphone.
Tfaçon ça tournera pas dessus.

@mmu_man @lareinedeselfes @breizh Ou en tout cas c’est trop lié à l’application mobile de la banque elle-même pour espérer que ça le soit.

@mmu_man @lareinedeselfes @breizh L’info doit nécessairement provenir de la banque directement, donc via l’appli mobile elle-même pour choper le fameux contexte et pouvoir l’afficher à l’utilisateur. Ça va passer par l’appli mobile et des notifs push.

@mmu_man @lareinedeselfes @breizh Jamais la banque n’autorisera une connexion d’une appli tiers à leur endpoint nécessaire à la récupération de ce contexte. Qui sera de toute façon de facto propre & spécifique à chaque banque.

@mmu_man @aeris @lareinedeselfes Ahah, non. Tu feras comme moi et plusieurs autres, tu iras avoir ailleurs s’ils y sont, et t’auras plus accès à tes comptes. Joie et allégresse.

@mmu_man @lareinedeselfes @breizh Même à supposer que ça soit le cas, cf les merdes boobank & cozy : le libre passe sa vie à courir derrière les modifs unilatérales du backend des banques. C’est juste non viable.

@aeris @lareinedeselfes @breizh justement, j'en ai marre de devoir RE le monde entier, alors que ça devrait être juste normalisé et donc public.

@mmu_man @aeris @lareinedeselfes @breizh L'avenir c'est le cash au comptoir d'un magasin. Voir le troc.

@aeris @lareinedeselfes @breizh mais l'application mobile de la banque déjà elle ne devrait pas exister.
Il devrait y avoir un protocole standard donc ouvert que chacun peut implémenter avec son appli pour son OS.
Merde enfin avec les applis proprio…

@mmu_man @lareinedeselfes @breizh Non. Ça c’est un faux problème. On ne peut décemment pas réclamer ça.

@mmu_man @lareinedeselfes @breizh Cf tout le bordel autour de l’intérop des GAFAM et cie. Au mieux on peut uniquement envisager un support de com’ standard (hint : JSON/REST) mais le contenu lui-même ne peut être standardisé puisque ça serait la fin de la liberté d’entreprendre.

@mmu_man @lareinedeselfes @breizh Chaque banque *DOIT* pouvoir proposer des concepts & spécificités qui lui sont propres et la démarque de ses concurrents. Vouloir un format standardisé est donc de facto voué à l’échec. Au mieux il s’agit d’un format commun, mais non de fonctionnalités communes.

@mmu_man @lareinedeselfes @breizh On serait au mieux donc plus proche de HTTP, HTML, JSON, LDAP ou SQL que de ActivityPub.

@aeris @lareinedeselfes @breizh ben au moins ce serait documenté.
C'est le *minimum* que devrait fournir toute entreprise. La doc de ce qu'ils nous vendent.

@mmu_man @lareinedeselfes @breizh Cf weboob & consort. Ce n’est pas parce que c’est documenté que c’est viable.

@aeris @lareinedeselfes @breizh ça n'a rien à voir.
Weboob c'est justement parce que c'est /pas/ documenté qu'on doit RE les pages web et faire du scraping.

@mmu_man @lareinedeselfes @breizh Non. Même quand c’est documenté, c’est le merdier absolument parce que justement c’est de la standardisation DE FORMAT et non DE FONCTION.

@mmu_man @lareinedeselfes @breizh Leurs sites internet changent tous les 4 matins. Leurs fonctionnalités idem. Chez Cozy on a 2 personnes à temps plein à courir derrière les modifs de backend. Et on pète régulièrement 90% du parc quand un site change un truc. C’est absolument non viable pour un truc aussi critique que d’avoir accès à ses comptes bancaires.

@aeris @lareinedeselfes @breizh mais c'est toi qui me parle de site web, pas moi.
Moi je veux une API.

@mmu_man @lareinedeselfes @breizh Elle existe mais est liée aux fonctionnalités voire aux contenus de l’application mobile.

@mmu_man @lareinedeselfes @breizh Si l’appli mobile change, l’API change. Et toutes les solutions libres sont pétées.

@mmu_man @lareinedeselfes @breizh Mais même une API. Elle change tous les matins leurs fucking API. Et dès qu’ils rajoutent des fonctionnalités.

@aeris @lareinedeselfes @breizh ben justement, ptet que les obliger à documenter ça limiterait un peu leur bougeotte.

@aeris @lareinedeselfes @breizh quand c'est pour faire du trading HF bizarrement ils arrivent à faire un truc commun hein…

@mmu_man @lareinedeselfes @breizh Oui. Et non. Il s’agit alors de contrats spécifiquement conçus entre 2 entités pour mettre un effort commun à établir une communication. Ce n’est pas la même chose.

@mmu_man @lareinedeselfes @breizh Contrat = 💰
Il n’y a aucun soucis, les banques te fileront sans problème un accès stable dans le temps… si tu leurs compensent le manque à gagner !

@aeris @lareinedeselfes @breizh c'est exactement pareil que normaliser les prises micro-USB pour les ordiphones.
Bizarrement ça n'a pas empêché Apple de garder leur merde, mais la grand majorité est compatible.
Et ça n'a pas empêché non plus de passer à USB-C.

Show newer

@aeris @mmu_man @lareinedeselfes Pourtant, le SMS c’est standard. C’pour ça qu’on a du mal à s’en passer d’ailleurs…

@breizh @lareinedeselfes @mmu_man Oui et cf la contextualisation, le problème est encore une fois la fonction et non le format.

@aeris @lareinedeselfes @mmu_man De toute façon la nouveauté ne marchera que si ça laisse pas la moitié des utilisateurs sur le carreau, vu que ben, une banque c’est difficile de s’en passer de nos jours. Du coup une appli qui exclus tout ce qui est pas Android et iOS, qui exclue les gens n’ayant pas la possibilité d’avoir un téléphone et un abonnement au n° stable dans le temps (donc pas de prépayé), et même parmi Android qui bloque les téléphones rootés, les ROMs customs ou même, récemment ils ont l’air de vouloir le faire, les bootloaders déverrouillés (et le mien était déverrouillé d’origine…), ça va être très drôle. Comment expliquer à des centaines voire milliers d’utilisateurs qu’ils ont plus aucun accès à leurs comptes. Parce que même si c’est genre 1% des utilisateurs, c’est quand même déjà énorme et pas négligeable.

Donc on va voir, mais y’a un truc qui va devoir se passer. Soit l’abandon de DSP 2, soit des alternatives aux applis dignes de ce nom.

Show newer

@lareinedeselfes @mmu_man @breizh Oui mais l’accès à ces API est lié à la détention de certification type PCI/DSS en un peu plus light. Une application libre n’a quasiment aucune chance de l’être.

@lareinedeselfes @mmu_man @breizh En particulier il y a un peu le même problème que le logiciel de caisse en libre : la moindre modification non certifiée fait que tu perds ton accréditation.

@aeris @lareinedeselfes @breizh mais ça n'a rien à voir, les données elles sont chez eux, tu veux falsifier quoi ?
En plus ce sont *mes* données.

@aeris @lareinedeselfes @breizh c'est à peu près comme l'IMAP en fait.
Tu imagines, si on devait avoir une appli différente pour lire ses mails gmail, hotmail, laposte ou free ?

Même gmail arrive à faire de l'IMAP, ça oblige à dl les messages 2 fois pask'y a un faux dossier, mais ça marche.

@mmu_man @lareinedeselfes @breizh Encore une fois, c’est un très bon exemple : IMAP est un standard *DE FORMAT* mais pas *DE FONCTIONNALITÉ*. Le mail derrière est en HTML, propre à chaque fournisseur (coucou gmail) et n’est pas fonctionnel sur tous les logiciels (et le sera de moins en moins, coucou AMP).

Show newer
Show newer

@aeris @lareinedeselfes @breizh la liberté d'entreprendre n'est pas la liberté de supprimer la liberté des autres.

@mmu_man @lareinedeselfes @breizh Je ne peux pas te suivre par là hein. C’est clairement extrémiste.

@aeris @lareinedeselfes @breizh c'est extrémiste de vouloir la doc ?
Dixit celui que tout masto qualifie d'extrémiste du RGPD 😛

@aeris @lareinedeselfes @breizh rien à foutre. Ils ont qu'à corriger le pb.
C'est pas de ma faute s'ils inventent des problèmes insolubles qui n'auraient pas du exister.
Tout comme les DRM OpenSource…

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!