@mmu_man Le crédit mut menace de faire pareil soon 😕.
Faudra faire tourner les banques "téléphone portable normal" friendly

@modesmax le pb c'est que les banques ont fait du lobby à la Commission EU pour imposer ça, donc toutes les banques vont devoir s'y mettre (en fait c'est déjà obligatoire)… 🤷

@mmu_man @modesmax

Source?
J'ai jamais utilisais d'app de banque ça leur suffit pas d'avoir un site ???
@mmu_man @modesmax @aeris de ce que je lit c'est la DSP2 qui requière une authentifiation forte et y a un truc pratique et standard qui s'appel OTP pour ça…

@striker @modesmax @mmu_man J’ai déjà expliqué plus ou moins 42× que OTP n’est **PAS** compatible DSP2 🤣

@aeris @striker @modesmax @mmu_man les banques font ce qu'elles veulent. Je suis client de 2 banques qui font du MFA via leur appli mobile (vu le process, j'imagine qu'elles "seed" un certif. client dans leur app via un code envoyé par SMS, si si)... La CE continue de vérifier par SMS en prime, au cas où, juste comme ça tous les mois.

Ah on peut se moquer de la crypto des applis de chat, mais les banques françaises. 🤣

@oz @striker @modesmax @mmu_man Pas ce qu’elles veulent. L’authentification par SMS a été rejeté comme 2FA valide par EBA : eba.europa.eu/single-rule-book. Et possible uniquement jusqu’en mars.

@aeris
J'ai l'impression qu'on ne comprend pas la meme chose.
"In this context, a one-time password sent via SMS would constitute a possession element and should therefore comply with the requirements under Article 7 of the Delegated Regulation, provided that its use is ‘subject to measures designed to prevent replication of the elements’, as required under Article 7(2) of this Delegated Regulation."
Ça dit au contraire que c'est valide.
@oz @striker @modesmax @mmu_man

@thomas @oz @striker @modesmax @mmu_man Oui et non. « provided that its use is ‘subject to measures designed to prevent replication of the elements’ » est incompatible avec le SMS « classique ».

@thomas @oz @striker @modesmax @mmu_man Tu dois formellement identifier la SIM et empêcher son clonage. Ce qui est… impossible…

@thomas @oz @striker @modesmax @mmu_man En tout cas la possession du n° de téléphone ou du n° de SIM ne suffit pas : il suffit de se rendre dans une boutique Free avec 2-3 infos obtenu par ingénierie sociale pour obtenir un clone de la SIM et contourner la 2FA. Ça n’identifie pas une personne.

@thomas @oz @striker @modesmax @mmu_man En gros c’est « OTP over SMS c’est valide si tu arrives à empêcher/détecter un clone de la SIM ». Bon courage, c’est en pratique impossible.

@thomas @oz @striker @modesmax @mmu_man Et c’est renforcé ici : eba.europa.eu/sites/default/do
Et aujourd’hui il n’existe pas de solution « SMS/SS7 only » pour permettre à un émetteur de SMS de vérifier l’authenticité du récepteur. Il faudrait aussi… une application mobile ? 🤣

@aeris
Encore une fois le document que tu cites dit que l'utilisation de SMS est autorise pour faire un des deux facteurs (qui est la possession de la carte SIM).
Il n'y a dans le document AUCUNE référence a la possibilité de forger des cartes SIM et que donc ce n'est pas un facteur valide.
@oz @striker @modesmax @mmu_man

Follow

@thomas @oz @striker @modesmax @mmu_man SMS n’est **PAS** un facteur de possession parce que la SIM est clonable. C’est un moyen de possession **uniquement** si tu as **en plus** mis des mesures de protection contre le clonage. Ce qui n’est pas le cas et pas possible avec un SMS standard.

@thomas @oz @striker @modesmax @mmu_man Et cet article est d’ailleurs très bien, parce qu’il indique aussi bien qu’une chaîne CVV + SMS n’est de toute façon pas 2FA même avec un SMS acceptable, parce que les 2 reposent uniquement sur un facteur de possession (SIM & CB) et aucun facteur de connaissance.

@thomas @oz @striker @modesmax @mmu_man Eh oui, sur un paiement en ligne tu ne saisis pas ton mot de passe bancaire 🤣

@mmu_man @aeris @thomas @oz @striker @modesmax Et l’appli bancaire en question aura-t-elle des traqueurs ? Autre question: Si tu es obligé d’installer une appli bancaire pour faire des achats en ligne, sera t-elle disponible en dehors d’iOS et d’Android?

@aeris @thomas @oz @striker @modesmax @mmu_man

et sur le fait que la banque t'oblige a avoir un compte google ou apple c'est pas problématique ? elles devraient deja devoir fournir l'application hors store, impossible pour apple mais possible pour android

@nschont @thomas @oz @striker @modesmax @mmu_man En particulier ici, on se retrouverait éventuellement avec le problème des logiciels de caisse… Comment obtenir des certifications avec du code untrusted ? 🤔

@nschont @thomas @oz @striker @modesmax @mmu_man Par exemple les fonctions de SIM lock ou autres sont *accrédités* par Google pour être conforme éventuellement avec une implem DSP2. Du code libre n’est juste… pas possible.

@aeris @nschont @thomas @oz @striker @modesmax c'est qu'y a un petit soucis au départ, c'est juste mal conçu.

@mmu_man @nschont @thomas @oz @striker @modesmax Ce n’est pas parce que c’est conçu d’une manière qu’on ne trouve pas acceptable que c’est mal conçu hein :)

@mmu_man @nschont @thomas @oz @striker @modesmax C’est différent de nos objectifs, c’est un poil le bordel dedans… Mais beaucoup de choses se justifient…

@LovisIX @mmu_man @modesmax @nschont @thomas @oz @striker Ça c’est la branche « pub » de ad4screen. Ils font aussi du suivi d’engagement par exemple. Légitime et sans consentement.

@aeris @thomas @oz @striker @modesmax @mmu_man sauf si tu effaces le CVV inscris sur ta carte après l'avoir mémorisé. En revanche, la banque n'en n'a pas la garantie.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!