@aeris Je suis chez LCL, sans application spécifique sur mon téléphone. Pour l'instant, ça tient... Jusqu'à quand ❓
Pour valider un achat en ligne, je dois simplement renseigner un second code...

@FdC @aeris La même chez le Crédit Agricole (normal, c’est le même groupe).

@breizh @FdC @aeris pareil au Crédit Agricole aussi ça tient encore pour l'instant sans l'application.

@breizh @FdC @aeris je suis au crédit agricole, j'habite à l'étranger, j'ai un numéro de téléphone pas français. Je ne reçois *jamais* le premier code par SMS 🤦‍♂️

@breizh @FdC @aeris par contre je reçois bien les codes pour m'authentifier sur la banque en ligne, cherchez l'erreur.

@amdg2 @FdC @aeris Ahah, la cohérence. T’en a parlé aux conseillers ? Perso ils ont fix un bug du l’UI web après que je leur ai remonté.

@breizh @FdC @aeris quand j'ai remonté le truc le conseiller m'a désactivé 3DSecure et du coup le payement n'arrivait jamais jusqu'à l'écran pour rentrer le premier code 😂

@FdC
Même chose avec mon compte SMC (groupe Crédit du Nord).
Sur l'interface web on peut configurer la possibilité de se passer de l'appli en utilisant un 2em code, il suffit de ne pas l'oublier.

@aeris

@marnic @FdC 2 facteurs de connaissance, 0 de possession, 0 de biométrie = ça reste 1FA hein… 🤣

@aeris
Nan le 1er code c'est le 3D secure classique par SMS ensuite dans un second temps tu saisie le code enregistré dans l'interface web.

Par contre même avec les appli je vois pas où est la biométrie.

@FdC

@marnic @FdC Oui ben c’est ce que je dis : 2 facteurs de connaissance… Donc 1FA. Certainement pas 2FA.

@aeris Ce message est très bien écrit, bravo.

Juste une petite précision : j’utilise l’application du Crédit Mutuel sous LineageOS + MicroG. Certaines choses ne fonctionnent pas (les notifications), mais je peux confirmer les paiements en ouvrant l’appli moi-même

@aeris Je suis chez Boursorama mais je n'utilise pas leur application mobile (SMS + navigateur).

@aeris
Je l'ai déjà écrit ici mais je ne possède pas de smartphone et je suis à la banque populaire. J'ai un petit boitier indépendant dans lequel je dois insérer ma carte bleue pour valider mes transactions ou accès. Ce boitier m'est fourni gratuitement par mon agence.

@aeris

Très bien, ce texte.

J'en ai également assez de passer pour un imbécile quand (je tente de) j'explique que si, mon téléphone est à jour, mais que non, leur $%&#@ application ne fonctionne pas…

À noter cependant que sur mon téléphone, l'appli de La Banque Postale me fait (pour l'instant) la bonne grâce de bien vouloir fonctionner par dessus LineageOS 17.1 + MicroG

@benoitb

Faudra que je teste sur Pinephone, tiens...

Mais comment ça se sandboxe, ce genre d'applications pas libres ?

@aeris

@benoitb @aeris Et le pire dans tout ça c’est qu’il n’y a rien de techniquement irréalisable pour pouvoir bénéficier entièrement des services proposés par de telles applications.
Juste que des abrutis en cols blancs ont décidé qu’ils avaient tout compris des smartphones et applications et que marginaliser des utilisateurs était très acceptable.
Et franchement, pour que ce ne soit pas compatible avec LineageOS, faut vraiment avoir mis ses couilles dans l’étau de Google.

@aeris J'ai le même problème mais ils m'ignorent.

@aeris

Ah, très bien !
Tu nous tiens au courant des suites ?
Avec le mot-croisillon qui va bien éventuellement ?

@aeris Caisse d'Epargne pour moi, pas besoin d'appli (pour l'instant) pour les opérations en ligne, je eçois les codes de confirmation par SMS.
Je suis sous LineageOs moi aussi.

@aeris Selon moi la meilleure solution sans aller jusqu'au smartphone dédié serait GmsCompat : installer les Play services dans la sandbox des applications régulières, c'est la solution préférée par GrpaheneOS en lieu et place de microG.

Techniquement rien n'empêche d'autres OS Android-based de faire de même. Cela permet de pouvoir installer les Play services dans un user profile dédié, donc un workspace séparé, vu par Google comme un smartphone à part entière.

@aeris (Et du fait des propriétés de la sandbox depuis Android 10, Google ne pourra même pas récupérer l'IMEI et autres joyeusetés. On évite aussi la surface d'attaque d'un code ultra-privilégié comme dans l'OS de base ou avec microG.)

@aeris Bien sûr, cette solution ne devrait pas être la finalité (des applications importantes devraient pouvoir fonctionner sans Play services).

Le problème c'est qu'Android utilise les Play services comme moyen de distribution de fonctionnalités indépendamment des OEMs, au lieu de modules APEX plus compliqués à distribuer.

Donc pour quelqu'un qui ne veut pas de Google/Apple par principe, c'est compliqué d'esquiver. GmsCompat me semble le meilleur compromis.

@wonderfall tu peux avoir plusieurs Sandbox/workspace avec GrapheneOS? J'utilise déjà un profile workspace avec Shelter mais y'a qu'un profile, c'est assez limitant.

Aussi est-ce qu'on peut freezer une app ? Je veux dire quand on quitte une app, qu'elle ne reste pas en background et qu'elle soit vraiment stoppée. Ça me saoule que tout reste en background par défaut.

@benoit Oui tout à fait, en fait je faisais référence aux user profiles d'Android : source.android.com/devices/tec

Le user par défaut est "Owner", ensuite il peut y en avoir plusieurs qui auront leurs propre clés de chiffrement/stockage entre autres.

C'est une feature d'AOSP, GrapheneOS l'améliore il me semble en augmentant à 16 le nombre de user profiles, et va bientôt permettre les notifications cross-users.

@benoit Pour ta seconde question, dans les paramètres d'utilisation de batterie de l'application, mettre en "restricted" (ou équivalent en français) ne suffit pas ? Par défaut c'est "optimisé" mais il me semble que "restreint" empêche simplement l'application de fonctionner en background (sur AOSP de base).

@benoit Autre solution, tu peux la mettre sur un user profile séparé et "log out" du user profile.

@aeris Bon ce mail est au moins imprécis… J'utilise l'application N26 sous LineageOS avec un VPN actif sans limitation ni le moindre problème. Par ailleurs, sans remettre en cause le mail, à la Banque Postale, aucun souci non plus dans les mêmes conditions.

@fatalerrors Ça peut dépendre vachement des téléphones pour le coup. N26 ne me permet pas de m’enregistrer dessus, ça bloque à l’étape de géolocalisation lors de l’inscription.

@aeris En fait pour certaines banques citées, l’installation d’une application sur smartphone est lourdement proposée, elle n’est pas obligatoire.
Elles envoient simplement par sms un code a chaque connexion, avec parfois la nécessité d’ajouter le mot de passe du site, puis un second code par sms si pendant la connexion on veut faire une opération sensible comme un virement.
Un téléphone basique, s’il peut recevoir un SMS, est suffisant.

@aubin Sauf que le SMS n’est pas conforme DSP2… Et que le double mot de passe n’est pas plus conforme vu que ça reste de la 1FA (2 facteurs de connaissance = 1 seul facteur d’authentification)

@aeris
Les banques ont l'obligation de fournir un deuxième moyen pour s'authentifier.
Ça peut être un boîtier ou une matrice de codes par exemple.
Tu parles dans son message d'un smartphone libéré, mais quelqu'un sans smartphone du tout doit aussi pouvoir accéder aux services.
Bref, ton conseiller, s'il ou elle n'a pas la réponse, demandera en interne, car il y a *obligatoirement* une solution.
@aubin

@lienrag
XMPP avec le retour d'expérience de personnes sans smartphone Google ou Apple.
@aeris @aubin

@lienrag @aeris @aubin
@cpm c'est toi qui avais fouillé le site des banques et celui de la Banque de France si je ne m'abuse. Je dis des conneries ou elles ont bien une obligation à fournir un moyen d'authentification autre que leur application mobile ?

@coq @lienrag @aeris @aubin
Oui, c'est moi 🙂 :gnu:

« La réglementation n’impose pas aux établissements de proposer plusieurs dispositifs d’authentification forte. Toutefois, les établissements de la Place française se sont engagés […] à proposer plusieurs dispositifs, en particulier pour les publics ne disposant pas de smartphones […]. Les solutions alternatives qui pourraient être proposées sont les suivantes : […] »

banque-france.fr/stabilite-fin

@cpm @coq @lienrag @aubin La version 1 est très clairement non conforme DSP2 et attestée comme telle par l’EBA
La version 2 est très certainement tout autant non conforme.

@coq @aubin Le blem est pas tant qu’ils doivent obligatoirement fournir un boîtier… qu’aucune banque n’en a actuellement de conforme DSP2 !

@aeris Il reste LCL, utilisable sans application. Pour les achats en ligne, OTP par SMS + code « constant » envoyé par la poste. Mais comme les OTP par SMS ne.sort pas DSP2 compliant, à voir pendant combien de temps ça va rester utilisable sans se faire imposser du google/imachin.

Mais ouais, t'as bien fait d'envoyer ce mail. Je serai curieux de connaître les réponses, s'il y en…

Puis tu parle des ROMs Android dégooglisés. Mais en plus, - 1/3

ça ne m'étonnerai pas que ça fontionne mal (ou pas du tout) sur les vieux tels, avec une ROM officielle, puisqu'ils y a plus de mises à jour d'OS au bout de 2 ans… Ce qui très rapidement plusieurs versions majeurs de retard, si téléphone grand public tout verrouillé, ou user qui veut pas/ne sais pas bidouiller son tel… Et comme de toute façon les applis bancaires ne fonctionnent pas ou mal sur les ROMs custom… Ça m'étonnerai que les banques maintiennent et @aeris - 2/3

testent leurs appris sur les vielles versions d'OS troués… @aeris - 3/3

@devnull @aeris chez Fortuneo je n'utilise pas leur appli non plus, mais pour combien de temps...

@devnull @aeris ça m'intéresse aussi de connaître la suite des événements 🤨

@aeris qui c'était déjà qui disait que je râlais dans le vide à ce sujet ?

@aeris

Tiens, et passer par une banque non française ?

Compliqué pdv démarche ? (légalement avec le SEPA personne ne pourrait refuser une domiciliation/virement au motif que t'as pas un compte FR)

@aeris

En Belgique, j'utilise un digipass qui fait un calcul avec ma carte + code pour me connecter sur ma banque en ligne

C'est pas DSP2 compatible ?

@dj À ma connaissance non parce que pas contextuel (pas d’affichage du montant/destinataire sur le terminal affichant l’OTP)

@aeris

Quand on valide la première transaction vers un nouveau trier, le boîtier nous demande d'introduire le montant et un truc qui ressemble a un calcul basé sur le compte de la personne.

Me semble qu'il y avait un numéro de Misc qui en parlait

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!