@mmu_man Le crédit mut menace de faire pareil soon 😕.
Faudra faire tourner les banques "téléphone portable normal" friendly

@modesmax le pb c'est que les banques ont fait du lobby à la Commission EU pour imposer ça, donc toutes les banques vont devoir s'y mettre (en fait c'est déjà obligatoire)… 🤷

@mmu_man @modesmax

Source?
J'ai jamais utilisais d'app de banque ça leur suffit pas d'avoir un site ???
@mmu_man @modesmax @aeris de ce que je lit c'est la DSP2 qui requière une authentifiation forte et y a un truc pratique et standard qui s'appel OTP pour ça…

@striker @modesmax @mmu_man J’ai déjà expliqué plus ou moins 42× que OTP n’est **PAS** compatible DSP2 🤣

@aeris @striker @modesmax @mmu_man les banques font ce qu'elles veulent. Je suis client de 2 banques qui font du MFA via leur appli mobile (vu le process, j'imagine qu'elles "seed" un certif. client dans leur app via un code envoyé par SMS, si si)... La CE continue de vérifier par SMS en prime, au cas où, juste comme ça tous les mois.

Ah on peut se moquer de la crypto des applis de chat, mais les banques françaises. 🤣

Follow

@oz @striker @modesmax @mmu_man Pas ce qu’elles veulent. L’authentification par SMS a été rejeté comme 2FA valide par EBA : eba.europa.eu/single-rule-book. Et possible uniquement jusqu’en mars.

@aeris @striker @modesmax @mmu_man je me souviens avoir codé pas mal de choses rigolotes autour de ces sujets (auth. forte, KYC, ...) en 2019, pour un site marchand.

C'était avant que les banques s'affolent et ne repoussent l'échéance "on est pas encore prêts!".

On est en 2021, les banques décident. 🤷‍♂️

@aeris @oz @striker @modesmax @mmu_man Pourtant j’ai payé en ligne avec un 2FA SMS par plus tard qu’aujourd’hui

@alarig @oz @striker @modesmax @mmu_man Tu veux dire que toutes les boîtes sont conformes RGPD 5 ans après son entrée en vigueur ? 🤣

@aeris
J'ai l'impression qu'on ne comprend pas la meme chose.
"In this context, a one-time password sent via SMS would constitute a possession element and should therefore comply with the requirements under Article 7 of the Delegated Regulation, provided that its use is ‘subject to measures designed to prevent replication of the elements’, as required under Article 7(2) of this Delegated Regulation."
Ça dit au contraire que c'est valide.
@oz @striker @modesmax @mmu_man

@thomas @oz @striker @modesmax @mmu_man Oui et non. « provided that its use is ‘subject to measures designed to prevent replication of the elements’ » est incompatible avec le SMS « classique ».

@thomas @oz @striker @modesmax @mmu_man Tu dois formellement identifier la SIM et empêcher son clonage. Ce qui est… impossible…

@thomas @oz @striker @modesmax @mmu_man En tout cas la possession du n° de téléphone ou du n° de SIM ne suffit pas : il suffit de se rendre dans une boutique Free avec 2-3 infos obtenu par ingénierie sociale pour obtenir un clone de la SIM et contourner la 2FA. Ça n’identifie pas une personne.

@thomas @oz @striker @modesmax @mmu_man En gros c’est « OTP over SMS c’est valide si tu arrives à empêcher/détecter un clone de la SIM ». Bon courage, c’est en pratique impossible.

@thomas @oz @striker @modesmax @mmu_man Et c’est renforcé ici : eba.europa.eu/sites/default/do
Et aujourd’hui il n’existe pas de solution « SMS/SS7 only » pour permettre à un émetteur de SMS de vérifier l’authenticité du récepteur. Il faudrait aussi… une application mobile ? 🤣

@aeris @thomas @oz @striker @modesmax oué enfin bon, la vraie solution serait que chacun contresigne avec sa clef GPG en utilisant des yubimachin, mais vu que c'est encore - répandu qu'Android…

@striker @thomas @oz @aeris @modesmax ben si c'est aussi sécure que le sans-contact autant sortir avec son code secret tatoué sur le front.

@aeris @mmu_man @thomas @oz @modesmax au final les yubikey c'est juste des smartcard gpg dans un autre format

@striker @thomas @aeris @modesmax @mmu_man tu peux déjà stocker une clef privée pgp sur un yubikey, mais tu ne peux pas l'en sortir (pas de backup).

@oz @thomas @aeris @modesmax @mmu_man

Je parlais plus que les banques proposes d'utiliser une alternitve au lieu d'imposser, mais pourquoi ce faire chier à payer la R&D qui va avec.
Y a que les vieux qui ont pas de smartphone /s

@mmu_man @striker @thomas @aeris @modesmax Il y a quelques années j'ai ouvert un compte dans une banque (mexicaine) et on m'avait donné un petit device pour générer des codes OTP pour valider certaines opérations. Ajd c'est mort, tout le monde veut son app... 😒

Au final, c'est une solution qui coûterait peut-être 5-10€ mais ça éviterait l'obligation d'avoir un téléphone portable pour ses opérations en ligne.

@striker @thomas @oz @aeris @modesmax

"C'est pas possible."

#TraduisonsLes : Quand un banquier te dit que c'est pas possible, en fait c'est juste qu'il veut pas se faire chier parce que tu comprends, il est payé + que toi et il en a rien à batte de le faire ou pas.

@aeris @oz @striker @thomas @modesmax toujours moins cher que de payer un ordiphone à tout le monde.

@mmu_man @aeris @oz @thomas @modesmax
mais si tu pars du prédicat que la majorité de la population est déjà équipée…

(et que c'est une banque c'est ton problème si tu as pas de smartphone pas le leur de toute façon tu ne peux pas t'en passer si? Ben va acheter un téléphone (et fait nous un pris si tu as pas l'argent pour))

@mmu_man @oz @striker @thomas @modesmax Ça dépend. C’est justement pas « tout le monde » alors que le boîtier, si.

@aeris
Encore une fois le document que tu cites dit que l'utilisation de SMS est autorise pour faire un des deux facteurs (qui est la possession de la carte SIM).
Il n'y a dans le document AUCUNE référence a la possibilité de forger des cartes SIM et que donc ce n'est pas un facteur valide.
@oz @striker @modesmax @mmu_man

@thomas @oz @striker @modesmax @mmu_man SMS n’est **PAS** un facteur de possession parce que la SIM est clonable. C’est un moyen de possession **uniquement** si tu as **en plus** mis des mesures de protection contre le clonage. Ce qui n’est pas le cas et pas possible avec un SMS standard.

@thomas @oz @striker @modesmax @mmu_man Et cet article est d’ailleurs très bien, parce qu’il indique aussi bien qu’une chaîne CVV + SMS n’est de toute façon pas 2FA même avec un SMS acceptable, parce que les 2 reposent uniquement sur un facteur de possession (SIM & CB) et aucun facteur de connaissance.

@thomas @oz @striker @modesmax @mmu_man Eh oui, sur un paiement en ligne tu ne saisis pas ton mot de passe bancaire 🤣

@mmu_man @aeris @thomas @oz @striker @modesmax Et l’appli bancaire en question aura-t-elle des traqueurs ? Autre question: Si tu es obligé d’installer une appli bancaire pour faire des achats en ligne, sera t-elle disponible en dehors d’iOS et d’Android?

@aeris @thomas @oz @striker @modesmax @mmu_man

et sur le fait que la banque t'oblige a avoir un compte google ou apple c'est pas problématique ? elles devraient deja devoir fournir l'application hors store, impossible pour apple mais possible pour android

@nschont @thomas @oz @striker @modesmax @mmu_man En particulier ici, on se retrouverait éventuellement avec le problème des logiciels de caisse… Comment obtenir des certifications avec du code untrusted ? 🤔

@nschont @thomas @oz @striker @modesmax @mmu_man Par exemple les fonctions de SIM lock ou autres sont *accrédités* par Google pour être conforme éventuellement avec une implem DSP2. Du code libre n’est juste… pas possible.

@aeris @nschont @thomas @oz @striker @modesmax c'est qu'y a un petit soucis au départ, c'est juste mal conçu.

Show newer

@LovisIX @mmu_man @modesmax @nschont @thomas @oz @striker Ça c’est la branche « pub » de ad4screen. Ils font aussi du suivi d’engagement par exemple. Légitime et sans consentement.

@aeris @thomas @oz @striker @modesmax @mmu_man sauf si tu effaces le CVV inscris sur ta carte après l'avoir mémorisé. En revanche, la banque n'en n'a pas la garantie.

@aeris
Tes deux liens décrivent justement le fait qu'il est possible de se protéger contre le SIM swap et donc continuer a utiliser du SMS (un peu ameliore avec check des infos au niveau de l'operateur) pour faire du SMS OTP ...
Lis tu les liens que tu envoies ? 🙂
@oz @striker @modesmax @mmu_man

@thomas @oz @striker @modesmax @mmu_man Il n’est pas TECHNIQUEMENT possible de se protéger du SIM swap. L’OTP SMS est utilisable *EN THÉORIE* mais il n’existe AUCUNE solution technique réaliste pour s’en prémunir.

@thomas @oz @striker @modesmax @mmu_man En particulier l’option de protection indiquée est non viable par rapport à une solution purement logicielle via application mobile…

@thomas @oz @striker @modesmax @mmu_man Le système de vérification impose de passer par la ligne data IP (et non plus simplement SS7). Donc l’intérêt est juste nul.

@thomas @oz @striker @modesmax @mmu_man Ça serait complètement crétin (et ça nécessiterait de toute façon du logiciel et pas juste ton téléphone « vanilla ») de réclamer SMS *ET* data quand on pourrait faire uniquement avec data… 😑

@aeris @thomas @oz @modesmax tout comme ce serait crétin de corriger les failles de SS7 puisque ça impliquerait de changer tous les équipements…
Mais bon c'est pas la faute de l'utilisateur non plus hein.

@aeris
Tu mélanges deux sujets. La légalité de l'OTP SMS par rapport au DSP2, et son niveau de sécurité réel (ce dont je me fous, ce n'est pas le sujet).
Je réitère, l'OTP SMS est un facteur (sur deux) VALIDE pour DSP2.
Un article du groupe BPCE (un des plus grands groupes bancaires FR) de janvier 2021 qui l’écrit noir sur blanc ça te va ?
89c3.com/news/dsp2-et-authenti
@oz @striker @modesmax @mmu_man

@aeris
Et c'est exactement pour cette raison que Fortuneo CONTINUE a fournir le SMS et qu'ils n'ont pas prévu de changer. En effet, avec une carte Fortuneo tu ne peux PAS payer sur internet. Tu dois te connecter sur le site (mot de passe, facteur connaissance) pour generer une carte bancaire virtuelle. Ensuite, tu recois un OTP SMS (facteur possession du telephone) a rentrer. Valide DSP2. Pas de putain d'appli sur mon tel (qui est un Sailfish ...).
@oz @striker @modesmax @mmu_man

@thomas @oz @striker @modesmax @mmu_man Et toi tu mélanges validité du SMS OTP comme 2FA alors qu’il n’est valide que comme moyen de possession et non de connaissance. Et donc ne suffit pas pour une authentification 2FA sans avoir aussi à saisir son mot de passe bancaire. Et donc pas uniquement par SMS. Encore une fois application mobile nécessaire.

@thomas @oz @striker @modesmax @mmu_man Entre la fragilité de SMS OTP et sa restriction à un facteur de possession, en pratique c’est assez complexe voire impossible de permettre un paiement en ligne par la CB sans application mobile.

@thomas @oz @striker @modesmax @mmu_man Le cas de Fortuneo est un cas spécifique, qui ne rentre pas dans l’usage conventionnel attendu par 99% des clients.

@thomas @oz @striker @modesmax @mmu_man (Des clients et des banques). Et le cas de fortuneo implique bien un passage par le web ou l’application mobile, et n’est donc pas UNIQUEMENT du SMS.

@thomas @oz @striker @modesmax @mmu_man Bref, encore une fois, le SMS OTP communément connu et admis depuis des plombes (SMS seul reçu sur un téléphone sans application mobile ni connectivité web) ne fonctionne pas dans le contexte réglementaire DSP2. Point.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!