@mmu_man Le crédit mut menace de faire pareil soon 😕.
Faudra faire tourner les banques "téléphone portable normal" friendly

@modesmax le pb c'est que les banques ont fait du lobby à la Commission EU pour imposer ça, donc toutes les banques vont devoir s'y mettre (en fait c'est déjà obligatoire)… 🤷

@mmu_man @modesmax

Source?
J'ai jamais utilisais d'app de banque ça leur suffit pas d'avoir un site ???
@mmu_man @modesmax @aeris de ce que je lit c'est la DSP2 qui requière une authentifiation forte et y a un truc pratique et standard qui s'appel OTP pour ça…
Follow

@striker @modesmax @mmu_man J’ai déjà expliqué plus ou moins 42× que OTP n’est **PAS** compatible DSP2 🤣

@striker @modesmax @mmu_man La 2FA DSP2 doit être **contextuelle*. Pour éviter les MITM.
Donc afficher a minima le montant et le destinataire du virement/paiement. OTP ne permet pas ça.

@striker @modesmax @mmu_man Ça nécessite a minima de la connectivité (bluetooth ou wifi) ou un capteur CCD (caméra ou appareil photo pour du qrcode), ce qui rend impossible du matériel physique (trop cher)

@aeris @mmu_man @modesmax
Une clé type yubikey (avec un protocole dédié) ne ferais pas le taffe? (optionnel)

@striker @aeris @modesmax probablement pas, y a aucun lien avec la transaction en cours (le "contexte").

@striker @mmu_man @modesmax @aeris La carte bancaire quoi, comme les cartes de transport.
Surtout que nos cartes sont déjà en NFC donc c'est compatible vers les joujoux modernes.

@lanodan @modesmax @striker @aeris j'ai fait désactiver le paiement sans-contact (j'ai du les menacer)… enfin, la carte répond tout de même, mais l'appli de paiement est inactive.

@mmu_man @modesmax @striker @aeris C'est une grosse blague cette désactivation, ton numéro de carte plus pas mal d'autres informations est accessible publiquement.
C'est l'équivalent de laisser ton routeur allumé mais tu as débrancher la prise fibre/téléphone donc c'est bon, sauf que tu oublie tout le reste.

@lanodan @modesmax @striker @aeris c'est pour ça que j'ai fait désactiver.
En tout cas ça semblait fonctionner quand on a testé.
Normalement on détecte juste qu'il y a une carte, mais rien de plus.

@mmu_man @modesmax @striker @aeris Teste avec une appli NFC vite fait sur un smartphone, tu as au moins le numéro de la carte.

@lanodan @mmu_man @modesmax @striker Et souvent les blocages logiciels derrière sont buggés. Par exemple les échanges en euro sont bloqués et plafonnés. Par contre en devises… 🤣

@lanodan @mmu_man @modesmax @striker Ou les plafonds sont codés avec les pieds. 50(€) par exemple, c’est aussi 50(£) soit 62€. + les frais de change 🤣

@lanodan @mmu_man @modesmax @striker C’est encore mieux avec les K.D. C’est aussi plafonné à 50 K.D.… soit 136€ 🤣

@lanodan @modesmax @striker @aeris j'avais vérifié avec le tel de qq1 d'autre y a longtemps.

@mmu_man@m.g3l.org @lanodan@queer.hacktivis.me Si t'as pas peur d'une désactivation permanente, tu peux faire un trou dans l'antenne. Ça n'empêche pas la carte de fonctionner normalement, mais là le NFC sera définitivement HS.
C'est ce que j'ai fait pour la mienne.

@lanodan@queer.hacktivis.me @mmu_man@m.g3l.org C'est vraiment pas compliqué. C'est le seul machin qui fait tout le tour de la CB, et en contre-jour sur une lampe un peu puissance tu distingue très bien les pistes.

@Darks @mmu_man @lanodan alors ça dépend des cartes. Moi j'ai voulu tenter, bah je vois RIEN du tout sur ma CB à contre jour :/ Du coup j'ai fait la méthode "pochette anti NFC" mais c'est pas parfait.

Et je sais pas vous, mais depuis le COVID, t'as bien l'impression d'être une Amish quand tu dis au commerçant que ta carte fait pas sans contact...
@Darks @mmu_man @lanodan oui, pareil. Mais cette "pression sociale" des commerçants, c'est relou je trouve :x

J'ai l'impression de passer pour une demeurée, à devoir préciser à chaque fois "non, pas de sans contact"...

@linuxine@social.linuxine.net @mmu_man@m.g3l.org @lanodan@queer.hacktivis.me Faut une lampe un poil puissante au passage, au soleil on ne voit rien effectivement. Collé contre le flash de mon téléphone c'est un peu mieux

@linuxine @lanodan @Darks c'est vrai que sur les bleues on voyait mieux, là j'ai une Premier toute dorée (enfin au prix où je la paye elle pourrait au moins être plaquée) et on voir rien à travers.

@linuxine @lanodan @Darks ben pour payer faut la sortir la carte, qui dont n'est plus dans la pochette.

@Darks @lanodan justement j'avais du les menacer de faire un trou dedans, chez eux, devant les caméra de télé. le seul truc qui les avait fait bouger.

@aeris @striker @modesmax faudra bien trouver une solution tfaçon…
Ils ont qu'à payer quelqu'un pour me suivre et vérifier que c'est bien moi qui passe commande, ça pourrait être drôle.

@aeris @striker @modesmax @mmu_man les banques font ce qu'elles veulent. Je suis client de 2 banques qui font du MFA via leur appli mobile (vu le process, j'imagine qu'elles "seed" un certif. client dans leur app via un code envoyé par SMS, si si)... La CE continue de vérifier par SMS en prime, au cas où, juste comme ça tous les mois.

Ah on peut se moquer de la crypto des applis de chat, mais les banques françaises. 🤣

@oz @striker @modesmax @mmu_man Pas ce qu’elles veulent. L’authentification par SMS a été rejeté comme 2FA valide par EBA : eba.europa.eu/single-rule-book. Et possible uniquement jusqu’en mars.

@aeris @striker @modesmax @mmu_man je me souviens avoir codé pas mal de choses rigolotes autour de ces sujets (auth. forte, KYC, ...) en 2019, pour un site marchand.

C'était avant que les banques s'affolent et ne repoussent l'échéance "on est pas encore prêts!".

On est en 2021, les banques décident. 🤷‍♂️

@aeris @oz @striker @modesmax @mmu_man Pourtant j’ai payé en ligne avec un 2FA SMS par plus tard qu’aujourd’hui

@alarig @oz @striker @modesmax @mmu_man Tu veux dire que toutes les boîtes sont conformes RGPD 5 ans après son entrée en vigueur ? 🤣

@aeris
J'ai l'impression qu'on ne comprend pas la meme chose.
"In this context, a one-time password sent via SMS would constitute a possession element and should therefore comply with the requirements under Article 7 of the Delegated Regulation, provided that its use is ‘subject to measures designed to prevent replication of the elements’, as required under Article 7(2) of this Delegated Regulation."
Ça dit au contraire que c'est valide.
@oz @striker @modesmax @mmu_man

@thomas @oz @striker @modesmax @mmu_man Oui et non. « provided that its use is ‘subject to measures designed to prevent replication of the elements’ » est incompatible avec le SMS « classique ».

@thomas @oz @striker @modesmax @mmu_man Tu dois formellement identifier la SIM et empêcher son clonage. Ce qui est… impossible…

@thomas @oz @striker @modesmax @mmu_man En tout cas la possession du n° de téléphone ou du n° de SIM ne suffit pas : il suffit de se rendre dans une boutique Free avec 2-3 infos obtenu par ingénierie sociale pour obtenir un clone de la SIM et contourner la 2FA. Ça n’identifie pas une personne.

@thomas @oz @striker @modesmax @mmu_man En gros c’est « OTP over SMS c’est valide si tu arrives à empêcher/détecter un clone de la SIM ». Bon courage, c’est en pratique impossible.

@thomas @oz @striker @modesmax @mmu_man Et c’est renforcé ici : eba.europa.eu/sites/default/do
Et aujourd’hui il n’existe pas de solution « SMS/SS7 only » pour permettre à un émetteur de SMS de vérifier l’authenticité du récepteur. Il faudrait aussi… une application mobile ? 🤣

@aeris @thomas @oz @striker @modesmax oué enfin bon, la vraie solution serait que chacun contresigne avec sa clef GPG en utilisant des yubimachin, mais vu que c'est encore - répandu qu'Android…

@striker @thomas @oz @aeris @modesmax ben si c'est aussi sécure que le sans-contact autant sortir avec son code secret tatoué sur le front.

@aeris @mmu_man @thomas @oz @modesmax au final les yubikey c'est juste des smartcard gpg dans un autre format

@striker @thomas @aeris @modesmax @mmu_man tu peux déjà stocker une clef privée pgp sur un yubikey, mais tu ne peux pas l'en sortir (pas de backup).

@oz @thomas @aeris @modesmax @mmu_man

Je parlais plus que les banques proposes d'utiliser une alternitve au lieu d'imposser, mais pourquoi ce faire chier à payer la R&D qui va avec.
Y a que les vieux qui ont pas de smartphone /s

@mmu_man @striker @thomas @aeris @modesmax Il y a quelques années j'ai ouvert un compte dans une banque (mexicaine) et on m'avait donné un petit device pour générer des codes OTP pour valider certaines opérations. Ajd c'est mort, tout le monde veut son app... 😒

Au final, c'est une solution qui coûterait peut-être 5-10€ mais ça éviterait l'obligation d'avoir un téléphone portable pour ses opérations en ligne.

@striker @thomas @oz @aeris @modesmax

"C'est pas possible."

#TraduisonsLes : Quand un banquier te dit que c'est pas possible, en fait c'est juste qu'il veut pas se faire chier parce que tu comprends, il est payé + que toi et il en a rien à batte de le faire ou pas.

@aeris @oz @striker @thomas @modesmax toujours moins cher que de payer un ordiphone à tout le monde.

@mmu_man @aeris @oz @thomas @modesmax
mais si tu pars du prédicat que la majorité de la population est déjà équipée…

(et que c'est une banque c'est ton problème si tu as pas de smartphone pas le leur de toute façon tu ne peux pas t'en passer si? Ben va acheter un téléphone (et fait nous un pris si tu as pas l'argent pour))
Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!