La Fibre
Télécom => Réseau => 
Attaques informatiques => Discussion démarrée par: vivien le 01 septembre 2019 à 10:07:20
-
Je pensais que le changement régulier de mot de passe n'était plus recommandé.
Fortuneo passe d'un changement tous les ans à un changement tous les 3 mois + double authentification obligatoire.
Autant je comprends l'obligation de double authentification, autant je pense que le mot de passe qui change obligatoirement au minimum tous les 3 mois ce n'est pas une bonne idée.
(https://lafibre.info/images/ssl/201909_fortuneo_dsp2.png)
-
Moi La banque postale incite fortement aupassage à "Certicode +" à brève échéance pour se logger sur le site web.
Or, ca implique d'utiliser une appli mobile plutôt qu'un SMS. Et ça, j'aime pas trop.... J'espère qu'on pourra s'en passer.
-
Moi La banque postale incite fortement aupassage à "Certicode +" à brève échéance pour se logger sur le site web.
Or, ca implique d'utiliser une appli mobile plutôt qu'un SMS. Et ça, j'aime pas trop.... J'espère qu'on pourra s'en passer.
Pareil avec ma banque CIC avec leur application. :-\
-
Perso je n'ai pas installé l’application de banque sur le smartphone, pour moi la double authentification c'est sur deux périphériques différents et je vois que l'application gère elle même la double authentification, cela me semble un risque plus important que le site web (sur PC) + SMS (sur smartphone).
-
Autant je comprends l'obligation de double authentification, autant je pense que le mot de passe qui change obligatoirement au minimum tous les 3 mois ce n'est pas une bonne idée.
Effectivement, il a toutes les chances que pour ne pas oublier le mot de passe, il soit noté à côté du PC/smartphone. Et en plus, c'est pénible pour l'utilisateur.
-
Pareil avec ma banque CIC avec leur application. :-\
Ah tiens, je suis au CIC aussi mais eux me proposent "Safetrans" qui utilise un lecteur de carte à puce.
-
Moi La banque postale incite fortement aupassage à "Certicode +" à brève échéance pour se logger sur le site web.
Or, ca implique d'utiliser une appli mobile plutôt qu'un SMS. Et ça, j'aime pas trop.... J'espère qu'on pourra s'en passer.
J'ai vu ça, pour moi il y a forcèment une autre solution puisque tout le monde n'a pas de smartphone (moi par exemple ! :p).
-
Moi La banque postale incite fortement aupassage à "Certicode +" à brève échéance pour se logger sur le site web.
Or, ca implique d'utiliser une appli mobile plutôt qu'un SMS. Et ça, j'aime pas trop.... J'espère qu'on pourra s'en passer.
J'avais regardé pour un proche à la BP et trouvé cela :
https://www.labanquepostale.fr/particulier/mbp/banque_au_quotidien/authentification-forte.html
Certicode (tout court) est, d'après ce lien, toujours en vigueur.
-
J'avais regardé pour un proche à la BP et trouvé cela :
https://www.labanquepostale.fr/particulier/mbp/banque_au_quotidien/authentification-forte.html
Certicode (tout court) est, d'après ce lien, toujours en vigueur.
Merci !
La présentation de la poste est trompeuse, au mieux...
-
Je vois que je ne suis pas le seul à être emm**** par un gros popup lorsque je me connecte sur mon compte (je suis aussi à la BP). Tout ça à cause de l'Europe encore une fois ::)
Je n'ai pas encore activé le service, et du coup je pendrais le code par SMS aussi ! (j'avais déjà vu la page en question qui présentait les 2 options).
-
Moi La banque postale incite fortement aupassage à "Certicode +" à brève échéance pour se logger sur le site web.
Or, ca implique d'utiliser une appli mobile plutôt qu'un SMS. Et ça, j'aime pas trop.... J'espère qu'on pourra s'en passer.
Si on a bien le même message il est indiqué "A La Banque Postale, le dispositif mis en place est Certicode Plus. Si vous ne possédez pas de smartphone ou de tablette compatible, une solution par code unique SMS vous sera proposée."
Donc en fait y'avait même pas besoin de lire cette fameuse page (ou alors le message a été modifié récemment)
-
Si on a bien le même message il est indiqué "A La Banque Postale, le dispositif mis en place est Certicode Plus. Si vous ne possédez pas de smartphone ou de tablette compatible, une solution par code unique SMS vous sera proposée."
Donc en fait y'avait même pas besoin de lire cette fameuse page (ou alors le message a été modifié récemment)
Je parlais du popup juste après la connexion, qui n'indiquait pas d'autre solutions que certicode+ (du moins cet été) - je n'y avait pas vu la phrase que tu cites.
M'enfin bref, on va pas épiloguer. La poste pousse une appli *mais* propose une seconde solution, ça me va comme ça, désolé du bruit et ce n'était pas le sujet du thread.
-
Oui c'est celui après la connexion (ils donc bien modifié) :
-
J'ai séparé les messages dans un nouveau sujet : Banques: évolutions de sécurité pour respecter la DSP2, car on s'éloigne du sujet initial (oui c'est de ma faute)
-
Effectivement, il a toutes les chances que pour ne pas oublier le mot de passe, il soit noté à côté du PC/smartphone. Et en plus, c'est pénible pour l'utilisateur.
Aucun soucis ! Comme securite ils (les banques) ont introduit depuis longtemps l'identifiant impossible a memoriser :P
-
Perso à ma banque CIC
En pratique
Vous utilisez déjà notre application mobile CIC sur votre smartphone ?
La confirmation de votre identité sera réalisée sur votre smartphone grâce au code de sécurité à 6 chiffres que vous avez choisi à l’activation du service Confirmation Mobile ou tout simplement à l’aide de votre empreinte digitale.
Vous n’utilisez pas encore l’application mobile CIC ?
La confirmation de votre identité sera réalisée à l’aide d’un code secret envoyé par SMS sur le téléphone mobile enregistré dans vos coordonnées sécurisées. Attention, cette solution est transitoire.
Dommage de forcer l'application ..
-
"l’usage d’un seul code reçu par SMS pour sécuriser une transaction ne sera plus jugé suffisant et devra être progressivement renforcé au moyen de nouvelles solutions, telles que la reconnaissance biométrique, combinées à d’autres dispositifs de contrôle. Mais tous les acteurs ne sont pas prêts."
L'article en question :
Payer sur internet : valider son paiement par code SMS, c’est bientôt fini
La validation de paiements en ligne par code SMS sera bientôt terminée, mais les opérateurs ne sont pas encore prêts à la mise en place de moyens plus sécurisés.
La validation de paiements en ligne par code SMS sera bientôt terminée : de nouvelles mesures pour renforcer la sécurité des paiements commencent à entrer en vigueur samedi, avec une mise en œuvre qui va s’étaler jusqu’à fin 2020-début 2021, a indiqué mercredi l’Observatoire français de la sécurité des moyens de paiements. Ces nouvelles mesures sont prévues par une directive européenne (dite "DSP 2") visant à renforcer le niveau de sécurité des opérations de paiement sur internet en Europe, pour limiter les risques de fraude.
Pour ce faire, les èmetteurs de cartes bancaires et banques, opérateurs de paiement, commerçants en ligne, etc. sont tenus de déployer un dispositif dit "d’authentification forte" du client lors de paiements électroniques ou d’opérations bancaires sensibles. Les nouvelles règles européennes entreront bien en vigueur en France le 14 septembre prochain, a indiqué mercredi dans un communiqué l’observatoire, rattaché à la banque de France. Il a confirmé une mise en application jusqu’en décembre 2020 de mesures "d’authentification forte" pour "la grande majorité des clients", conformèment à la directive.
"Inquiétudes" vis-à-vis du commerce en ligne
Les "professionnels de la chaîne des paiements" devront pour leur part avoir mis à niveau leurs systèmes aux nouvelles exigences réglementaires d’ici mars 2021. Concrètement, l’usage d’un seul code reçu par SMS pour sécuriser une transaction ne sera plus jugé suffisant et devra être progressivement renforcé au moyen de nouvelles solutions, telles que la reconnaissance biométrique, combinées à d’autres dispositifs de contrôle. Mais tous les acteurs ne sont pas prêts.
Dans une note publiée le 21 juin, l’Autorité bancaire européenne (ABE), chargée d’élaborer les normes techniques de cette directive, avait décidé d’accorder "un délai supplèmentaire limité" aux États membres concernés pour se mettre en conformité avec ces exigences techniques et en échange d’un plan de migration aux échéances précises. En cause, "les inquiétudes" d’acteurs du marché "quant à l’état de préparation du commerce électronique aux nouvelles exigences" d’authentification forte, risquant de créer des perturbations dans les transactions en ligne.
De plus, selon l’ABE, une information plus large du grand public sur la teneur de ces évolutions s’avérait nécessaire pour réussir l’entrée en vigueur de la directive. Dans la foulée, début juillet, l’Observatoire français de la sécurité des moyens de paiements avait présenté un plan de migration avec l’objectif d’une mise en œuvre de l’authentification forte pour une nette majorité des clients et des transactions d’ici décembre 2020.
Source : Sud Ouest (https://www.sudouest.fr/2019/09/11/argent-la-securite-des-paiements-en-ligne-devra-etre-renforcee-d-ici-2021-6549518-705.php), le 11 septembre 2019
-
Or, ca implique d'utiliser une appli mobile plutôt qu'un SMS. Et ça, j'aime pas trop.... J'espère qu'on pourra s'en passer.
En fait, c'est juste une boucle qui est bouclée :
Avant l'apparition du paiement en ligne, un paiement électronique ne peut s'effectuer qu'avec un composant sécurisé (la puce de ta carte bancaire).
Le paiement en ligne apparaît, le composant sécurisé n'est plus nécessaire, les cas de fraude explosent.
Maintenant, on veut à nouveau intégrer un composant sécurisé au processus (soit la secure enclave du microprocesseur de ton téléphone, soit ta carte SIM).
désolé du bruit et ce n'était pas le sujet du thread.
C'est encore le sujet, les évolutions des modes d'authentification d'accès aux comptes clients et de paiement sont le résultat de la directive DSP2. D'ailleurs, il me semble qu'à défaut d'une authentification par téléphone ou clé OTP, un repli sur la biométrie devrait être requis ?
-
La validation de paiements en ligne par code SMS sera bientôt terminée, mais les opérateurs ne sont pas encore prêts à la mise en place de moyens plus sécurisés.
Entre ça et le RGPD, je pense qu'il y a un constat saisissant : avant, il n'y avait pas de législateur, maintenant, il y a un législateur qui y va fort et maladroitement (mais qui y va). C'est pas plus mauvais qu'il y ait un contrepoids à un moment donné.
-
Maintenant, on veut à nouveau intégrer un composant sécurisé au processus (soit la secure enclave du microprocesseur de ton téléphone, soit ta carte SIM).
Sauf que les appli mobiles ne vérifient pas forcèment ça : l'application a les identifiants du compte bancaire, et demande la saisie d'un code PIN pour remplacer l'envoi d'un code 3D secure.
C'est plus sécurisé que le SMS envoyé en clair et soumis au potentiel clonage de carte SIM, ou à la lecture depuis l'écran de verrouillage du téléphone suivant ses réglages, mais ce n'est pas à proprement parler de la double authentification (sauf à considérer le numéro de carte + CVV comme une des étapes).
Les payements mobiles en NFC sont eux potentiellement sécurisés via un élement matériel dans le téléphone ou la SIM, mais ça peut être purement logiciel comme Paylib ou Google Pay.
-
Pour moi, tout ça vient surtout d'un point :
Les SMS ne sont pas "sécurisés" , dans le sens où
* Un tiers (attaquant une cible) peux détourner un SMS à son profit , SS7 ou autre
* Il n'y a pas d'authentification ni chiffrement dans les SMS (normal, vu l'age).
* Il reste toujours possible de piquer le téléphone d'une personne .
Par contre il n'y a QUE ça qui, actuellement, peut être reçu sur n'importe quel terminal.
Du coup je me demande:
* Est-ce que, en 4G / 5G , d'autant plus avec VOLTE, il a été prévu une extension à ce protocole ?
* Est-ce qu'il serait possible, et utile, de mieux protéger les SMS au niveau opérateur (ce qui ne pourrait répondre qu'au cas 1) ci dessus, j'en convient)
Parce que oui, sinon et comme il n'y a pas de standard, si t'a 3 banque, t'a 3 applis ? Et si tu changes de téléphone ou on t'en prête un ?
Bref j'ai un peu l'impression qu'on s'attaque aux conséquences faute d'avoir la moindre idée de comment attaquer la cause.
-
Par contre il n'y a QUE ça qui, actuellement, peut être reçu sur n'importe quel terminal.
Du coup je me demande:
* Est-ce que, en 4G / 5G , d'autant plus avec VOLTE, il a été prévu une extension à ce protocole ?
* Est-ce qu'il serait possible, et utile, de mieux protéger les SMS au niveau opérateur (ce qui ne pourrait répondre qu'au cas 1) ci dessus, j'en convient)
Parce que oui, sinon et comme il n'y a pas de standard, si t'a 3 banque, t'a 3 applis ? Et si tu changes de téléphone ou on t'en prête un ?
La norme SMS a connu de nombreuses extensions au fil du temps, il est possible d'envoyer des SMS binaires si besoin, mais je pense que les SMS ne sont simplement pas un canal technique intéressant pour les personnes qui devront implèmenter ces solutions car il sera considéré comme obsolète et/ou taxé par rapport au canal de données.
Je pense que si les banques décident sérieusement de se mettre à utiliser les processeurs TEE et/ou les cartes SIM comme moyens de compléter des paiements en ligne, des normes et une industrie èmergeront très vite (si ce n'est pas déjà en train d'être le cas). Ça existe déjà dans l'industrie des transports (par exemple le post-paiement avec validation par mobiles qui est en train d'être testé/déployé en Île-de-France) et les solutions de type Apple Pay sont déjà un peu ça.
Une personne qui fait des paiements par Internet est probablement une personne avec un terminal mobile qui date d'il y a moins de 15 ans (plus probablement de moins de 4 ans), c'est sûrement sur ce cœur de cible que les opérateurs se concentreront pour définir la gamme de terminaux mobiles à supporter. Mais sinon, une solution de validation par clé OTP physique est déjà proposée comme alternative par certaines banques pour contourner l'usage du mobile (voir le blog du Hollandais Volant).
-
La norme SMS a connu de nombreuses extensions au fil du temps, il est possible d'envoyer des SMS binaires si besoin, mais je pense que les SMS ne sont simplement pas un canal technique intéressant pour les personnes qui devront implèmenter ces solutions car il sera considéré comme obsolète et/ou taxé par rapport au canal de données.
C'est pour ça que je pensais à une méthode standard (== implèmenté par tous les portables compatible 4G , ou 5G) - qui peux utiliser "la data", pas forcèment revenir au GSM.
Mais bon ça résous pas le problème des mobiles actuels.
Je pense que si les banques décident sérieusement de se mettre à utiliser les processeurs TEE et/ou les cartes SIM comme moyens de compléter des paiements en ligne, des normes et une industrie èmergeront très vite (si ce n'est pas déjà en train d'être le cas). Ça existe déjà dans l'industrie des transports (par exemple le post-paiement avec validation par mobiles qui est en train d'être testé/déployé en Île-de-France) et les solutions de type Apple Pay sont déjà un peu ça.
Le problème c'est le silo : Apple Pay marche que sur Apple, ya forcèment un truc aussi sous android (que j'ai pas cherché). Mais je suis bien sur que samsung va tenter le sien, Huawei aussi (ce dernier encore plus vu qu'il est en train de se faire couper le marché US). Déjà sur les magasin d'appli c'est le cas, chacun a le sien.
Et quid d'autres téléphones qui ne sont ni google ni apple ? Si je tourne sous LineageOS , les appli tourneront plus car j'ai l'audace de vouloir être root sur mon propre téléphone ? C'est déjà comme ça avec les appli de streaming légal , nul doute que les banques l'implèmentent aussi à terme.
Je dis ça car , au moins google "interdit" l’utilisation de certaines API (pas seulement applications) sur un téléphone non sanctifié par Google (cad où les appli google sont présentes de base).
Une personne qui fait des paiements par Internet est probablement une personne avec un terminal mobile qui date d'il y a moins de 15 ans (plus probablement de moins de 4 ans), c'est sûrement sur ce cœur de cible que les opérateurs se concentreront pour définir la gamme de terminaux mobiles à supporter.
A la limite, ça me gêne pas, qu'ils visent ce cœur de cible. Le reste ce seront les vieux , les gens qui préfèrent "pousser" leur téléphone plutôt que d'en racheter un tous les 4 ans, les technophobes,...
Le problème c'est bien d'exclure ceux qui ne sont pas dans ce cœur de cible, sans laisser de solution.
Mais sinon, une solution de validation par clé OTP physique est déjà proposée comme alternative par certaines banques pour contourner l'usage du mobile (voir le blog du Hollandais Volant).
Oui, je vois le genre de dispositif. J'ai vu aussi des "calculettes" dans lesquelles ont doit glisser sa carte bancaire, et qui produit un code à rentrer sur le site web.
Pourquoi pas.
On peux aussi imaginer un OTP NB-IOT (ou lora) quand ce sera bien couvert par les opérateurs.
Il faudra aussi bien travailler la sécurisation de cette chaîne de transmission. Been there, done that... :-)
-
Comment je fais si je n'ai pas de smartphone, et que je n'en veux pas ?
Le SMS a au moins cet avantage : il ne nécessite pas d'accès Internet, il ne nécessite pas que le méchant Google sache, au moment ou je veux lire mon code, où je me trouve ; par exemple. Il ne nécessite pas que le méchant malware présent dans mon téléphone puisse accéder à son serveur de contrôle (bot engine), via un accès Internet.
Le SMS arrive vers mon téléphone, mais mon téléphone n'a aucun moyen, à ce moment là, d'envoyer quelque info que ce soit vers l'exterieur, puisqu'il n'a pas d'accès à Internet.
Aussi, combien vous pensez qu'il y a des personnes capables d'intercepter un SMS facilement aujourd'hui ?
J'ai l'impression que ce nombre approche zéro, et que si ca devait arriver, ca n'arrivera certainement pas pour mon paiement de 23€ sur amazon (le jeu n'en vaut pas la chandelle).
Au risque de me faire l'avocat du diable hein ^^
La solution du TPE, que l'on branche en USB sur son ordinateur lors d'un achat, dans lequel on insère la carte à puce, pour taper son code. C'est quoi le problème de cette solution ? Que l'on ne pourra pas acheter sur son téléphone ? Ben on attend le soir de rentrer à la maison pour acheter non ?
Que ca couterait trop cher aux banques qui devraient alors fournir un TPE par client ? Je veux bien l'entendre (encore qu'une banque, par définition, a de l'argent hein ...)
?
-
Aussi, combien vous pensez qu'il y a des personnes capables d'intercepter un SMS facilement aujourd'hui ?
J'ai l'impression que ce nombre approche zéro, et que si ca devait arriver, ca n'arrivera certainement pas pour mon paiement de 23€ sur amazon (le jeu n'en vaut pas la chandelle).
C'est pas ton paiement de 23€ qui les intéresse.
C'est le fait que , si ils arrivent a choper à la fois ton compte amazon (ou bancaire, dans ce cas) et ton téléphone, alors ils peuvent vider ton compte.
Et ils peuvent ré-iterer avec la personne suivante.
Il n'y a pas bcp de personne capable de le faire, mais apparemment la sécurité des échanges SMS est bien moins grande qu'imaginée. Ca veux pas dire qu'il y a une horde de pirate . par contre ça peux vouloir dire que les quelques pirates qu'il y a peuvent faire beaucoup de victimes.
La solution du TPE, que l'on branche en USB sur son ordinateur lors d'un achat, dans lequel on insère la carte à puce, pour taper son code. C'est quoi le problème de cette solution ? Que l'on ne pourra pas acheter sur son téléphone ? Ben on attend le soir de rentrer à la maison pour acheter non ?
Le téléphone on l'a toujours sur soi , pas le TPE. Et on est pas tous sédentaire...
Une solution pourrait être le TPE "intégré" dans la carte bancaire, que, elle, on a toujours sur soit : https://www.e-ink-info.com/e-ink-used-create-dynamic-cvv-credit-cards
encore qu'une banque, par définition, a de l'argent hein
Oui enfin, elle a surtout notre argent, quoi... Donc le TPE, c'est toi-même qui te le paiera... comme toute solution, par ailleurs.
-
Et les (H/T)OTP ?
Si on a pas de smartphone, il reste les clefs type SecurId ...
-
Et les (H/T)OTP ?
Si on a pas de smartphone, il reste les clefs type SecurId ...
J'avoue que j'aime assez les systèmes à base de carte à glisser dans le portefeuille , https://wholesaler.alibaba.com/product-detail/One-Time-Password-NFC-OTP-Card_62096160726.html (c'est qu'un exemple, hein, je recommande rien moi :-) ) mais un truc style securID ou plus petit serait bien. Après , niveau banque ça oblige aussi à avoir des systèmes robustes de leur coté & opérable avec les processeur de paiement existant... j'imagine que ça se fait pas en un vendredi soir.
-
Saviez vous que pour les échanges de SMS entre opérateurs, il existe d'autres opérateurs dont c'est le métier ?
Très concrètement, lorsque vous devez envoyer un SMS à un jeu télévisuel, "choisissez 1 pour la question A, choisissez 2 pour la réponse B" et que le SMS est payant, c'est opéré par une boite particulière.
Et il y a parfois des "ratés" (rarement heureusement, mais ils ne sont pas à exclure totalement), chaque opérateur annonce ses fenêtres de maintenance, quand elles sont prévues.
Ce qui entraîne, que parfois des SMS n'arrivent pas suffisamment rapidement pour authentifier, un SMS qui arrive avec plusieurs heures de retard dans ce cas de figure, n'a aucun intérêt.
Quand c'est un jeu ce n'est pas très grave, cela part dans une "queue" et c'est traité en asynchrone, mais pour de l'authentification, c'est pas très viable.
-
Comment je fais si je n'ai pas de smartphone, et que je n'en veux pas ?
Tu utilises des espèces (ou bien une carte bancaire si tu en veux bien).
Le SMS a au moins cet avantage : il ne nécessite pas d'accès Internet, il ne nécessite pas que le méchant Google sache, au moment ou je veux lire mon code, où je me trouve ; par exemple. Il ne nécessite pas que le méchant malware présent dans mon téléphone puisse accéder à son serveur de contrôle (bot engine), via un accès Internet.
Le premier point s'évite en paramétrant son smartphone et le second en n'installant pas d'applications supplèmentaires.
Le SMS arrive vers mon téléphone, mais mon téléphone n'a aucun moyen, à ce moment là, d'envoyer quelque info que ce soit vers l'exterieur, puisqu'il n'a pas d'accès à Internet.
Il peut faire remonter des informations par SMS, par voix (pourquoi pas avec des informations modulées) et éventuellement par d'autres canaux auxiliaires.
Aussi, combien vous pensez qu'il y a des personnes capables d'intercepter un SMS facilement aujourd'hui ?
Dans les pays avec du chiffrement 2G caduc et une infrastructure vieillissante, un certain nombre, du moins davantage que de personnes capables d'intercepter ce qui passe par un lien données à proximité.
Dans la plupart des pays, à peu près autant que de personnes d'intercepter en masse du trafic Internet.
La solution du TPE, que l'on branche en USB sur son ordinateur lors d'un achat, dans lequel on insère la carte à puce, pour taper son code. C'est quoi le problème de cette solution ?
Il faut d'abord s'assurer que l'ordinateur n'est pas dangereux, surtout s'il contient un système Microsoft. Ensuite, je pense que c'est une option qui n'intéresse pas les banques car, si elles choisissent de proposer une solution qui ne passe pas par un appareil mobile, il est plus simple de fournir une solution qui utilise des clefs OTP que de devoir connecter des terminaux de particuliers au réseau interbancaire (ou solution équivalente et elle aussi complexe).
-
Aeris partage son expérience de la DSP2 : https://twitter.com/aeris22/status/1172859672761708545
J’ai eu à faire à un cas concret ce jour avec l’arrivée de la DSP2.
https://twitter.com/aeris22/status/1172650319773220865
N26 a activé son authentification forte, réclamant une application Android incompatible avec un téléphone rooté ou ne disposant pas des applications Google. Un Lineage OS pourtant avec MicroG (https://microg.org/) n’est plus utilisable.
La seule proposition de la part de N26 est d’acheter un nouveau téléphone, ce qui ne règlera de toute façon pas le problème puisqu’il serait à nouveau sans les Google Apps…
https://twitter.com/aeris22/status/1172813775273168896
Ce problème va être de plus en plus fréquent, la plupart des banques implèmentant la 2FA uniquement via leur application mobile, qui reposent souvent sur les Goggle App.
Et les banques proposant la 2FA via SMS risquent fort de devoir changer de fusil d’épaule un jour, EBA ayant explicitement interdit ce moyen d’authentification tant que la SIM n’est pas protégée contre la réplication
https://eba.europa.eu/single-rule-book-qa/-/qna/view/publicId/2018_4039
Les libristes ne sont pas les seuls touchés dans l’affaire, le blocage de Huawei par Google ou les personnes ne disposant pas de smartphone ou de vieux modèles plus maintenus sont aussi concernés. Ce qui peut rapidement faire une bonne partie de la population.
Les choix technologiques des banques d’une 2FA applicative sont d’autant plus inexplicables que leur politique de mot de passe s’est récemment dégradé avec l’entrée en vigueur de la DSP2 et le passage de mots de passe robustes et fiables à des mots de passe à 6 ou 8 chiffres, et qu’il existe des solutions beaucoup plus sûres et efficaces de double authentification 100% intéropérables (TOTP).
Ce problème a des effets très notables. Alors que la vente liée/forcée permettait quand même un usage « normal » après quelques bricolages ou l’achat de matériel dans des points de vente spécifiques, la DSP2 exclut de fait du système bancaire toute personne non compatible. Ce qui induit à plus ou moins long terme l’exclusion complète de la société.
Les téléphones Huawei avec leur fork d'Android seront eux aussi impactés.
-
Tout est dit ^^
Ils s'imaginent , que tout le monde a un smartphone, que tout le monde a un Apple ou un Google, que tout le monde se fait gentillement syphoner , et que c'est normal.
Désolé mais .... non en fait.
Revoyez votre copie, et arrêtez d'obliger les gens à consommer vos imbécilités , la planète en a plus que marre, et les gens (sensés) aussi !
-
On me signale une solution pour l'application du Crédit Mutuel : comme les autres, elle repose sur une validation des opérations avec une application Android qui refuse de s'installer sur un téléphone rooté.
La solution, c'est de rooter avec Magisk Manager, qui permet de cacher à une appli le statut rooté du téléphone, mais ça demande des compétences techniques avancées.
-
Je me demande si l'Arcep va se saisir du sujet, puisque apparemment ils avaient dit s'intéresser aussi aux problèmes des terminaux , et, récemment à France Inter (On arrête pas l'eco) Soriano dénonçait la main-mise des GAFA.
Et là, on a les banques qui..... imposent Google ou Apple !!
#toutvabien
(A ce propos , dans l'émission "on arrête pas l'éco de samedi dernier, les banques étaient, encore elles, accusée d'avoir de jolis discours verts.... et de financer encore à + de 70% les projets des multinationales polluantes, vu que ce sont les plus rentables financièrement.... )
Alors , exclusion de la société c'est ptet un peu fort, mais c'est sur que ça va , à minima, entraver les transactions - et représenter une incitation importante aux gens, mais aussi conforter la position de Google & Apple qui verrouillent toujours plus leurs appareil au nom de la "sécurité".
La question que je me pose c'est est-ce que les banques sont conscientes de ça et cherchent, sciemment, à exclure le maximum de gens "non conformistes" , ou bien est-ce que c'est juste de la flemme. Dit autrement : Il ne faut pas prendre pour de la malveillance ce qui n'est que de l'incompétence... :-)
(Accessoirement , est-ce que ça ne donne pas à Google une sorte de droit de vie & de mort sur les téléphone & les intégrateurs ? )
-
Les banques n'ont qu'à fournir un device, proprio, au lieu de se reposer sur autrui (Google et autres).
Ca coute plus cher, c'est sur, mais il faut arrêter de tout vouloir concentrer dans son téléphone, contrôlé par des firmes américaines.
J'écoute de la musique avec un balladeur, pas avec un téléphone... Et je prends des photos avec un Reflex , pas avec un téléphone... C'est fou cette mode qui sévit depuis ~15 ans maintenant je trouve , d'asservir le pauvre humain écervelé à cet engin qui ne lui fait que du mal.
-
Je me demande si l'Arcep va se saisir du sujet, puisque apparemment ils avaient dit s'intéresser aussi aux problèmes des terminaux , et, récemment à France Inter (On arrête pas l'eco) Soriano dénonçait la main-mise des GAFA.
L'Arcep cherche a ce qu'on lui donne les compétences sur ce sujet , mais aujourd'hui ce n'est pas le cas.
L'Arcep observe et ce cas, remonté suite à l'appel à témoignages de l'Arcep est intéressant : https://twitter.com/gro_tsen/status/1176434316106240000
-
L'Arcep cherche a ce qu'on lui donne les compétences sur ce sujet , mais aujourd'hui ce n'est pas le cas.
Ah je croyais. Merci.
J'y avais pas pensé, mais l'un de mes téléphone est un Zuk Z1 (sous-marque de lenovo) ve,du sous Cyanogen, ancêtre de Lineage, et que j'ai effectivement passé sous Lineage ensuite.
(l'OS était la raison de ce choix à l'époque).
Cette sous-marque n'a fait que 2 téléphones avant de fermer :-)
-
Comment cela se passe à l'étranger ?
De mes lectures, il se prépare en France pour prochainement, ce qui existe depuis longtemps au Portugal, une carte d'identité numérique.
Elle se compose d'une carte à puce contenant des clefs de signature.
Cette carte incorpore des identifiants pour la sécurité sociale, identifiants de personnalité avec photo, et la possibilité de signer toutes transactions avec l'état.
Pour l'utilisation, est vendu un lecteur de carte ou y insérer la carte d'identité.
Pour certaines transactions,les DAB incorporent des fonctions de "recharge de téléphones mobiles" ou paiement des opérateurs mobiles. Les DAB français sont totalement dépassés, si on les compare aux DAB espagnols ou Portugais.
Il ne vous aura pas échapper que Orange possède maintenant une Banque.
Imaginons que on fasse le lien entre ces identifiants ( je ne parle pas des problèmes que cela pose du côté éthique, il y en a ) et que ce soit la puce de la carte d'identité qui signe les transactions ?
-
Ce qui m'étonne le plus, c'est que N26, néo-banque précurseuse et disruptive, et donc plutôt orientée nouvelle génération, technophile & co. n'ait pas proposé quelque chose de plus "simple" et compatible.
-
De nombreuses applications refusent de fonctionner sur un téléphone avec un OS alternatif ou routé, il n' y a pas que les application des banques...
Ci-dessous ViaNavigo, pour les transports en île-de-France (RATP / SNCF / ...)
-
De nombreuses applications refusent de fonctionner sur un téléphone avec un OS alternatif ou routé, il n' y a pas que les application des banques...
Ci-dessous ViaNavigo, pour les transports en île-de-France (RATP / SNCF / ...)
J'aimerais bien avoir vos opinion sur la question.
D'un coté, pour des applis dont le coeur de métier et parfois la responsabilité juridique, c'est de gérer les transactions (banque, mais aussi navigo comme le souligne vivien), j'imagine qu'il est extrêmement tentant pour les créateurs d'appli , sur le cour terme, de s'appuyer à 100% sur les "protection" qu'offre, gratuitement, google, et qui vont permettre à 99% des gens d'utiliser l'app sans soucis. Et tant pis pour les 1% qui , pour X ou Y raison (notamment par conviction sur la vie privée), n'y auront pas accès.
Mais d'un autre coté, confier à Google cette validation c'est , déjà, prendre le risque que dans le futur Google change les règles unilatéralement, qu'une faille soit trouvée et exploitée à grande échelle qui touchent aussi ces services, et de provoquer une mauvaise image si d'aventure on s’aperçoit dans le futur que google abuse de ses prérogatives.
Pour moi , un keyfob (ou une carte, ou whatever) reste un moyen plus sur, mais je ne sous estime pas pour autant la difficulté logistique & support téléphonique de cette solution.
-
Pour moi , un keyfob (ou une carte, ou whatever) reste un moyen plus sur, mais je ne sous estime pas pour autant la difficulté logistique & support téléphonique de cette solution.
Pour moi aussi, mais on doit être trop peu à s'en soucier ?
Tiens autre débat, qui utilises le TOTP ou autre 2FA pour les connexions SSH ?
-
Si le serveur n'a plus accès à Internet complet, tu peut encore te connecter dessus ?
Exemple : résolution DNS cassée
-
Si le serveur n'a plus accès à Internet complet, tu peut encore te connecter dessus ?
Exemple : résolution DNS cassée
Tu devrais pas écrire avant d'être réveillé :)
-
Je n'ai pas fais le test. Mais avec TOTP, j'imagine que oui puisque tu ne partages qu'un secret à la mise en place.
Anonyme, en se connectant via l'IP ou en local !
-
De nombreuses applications refusent de fonctionner sur un téléphone avec un OS alternatif ou routé, il n' y a pas que les application des banques...
Le choix des sociétés qui imposent des mesures de détection de root est basé sur un constat empirique : les fournisseurs de systèmes d'exploitation mobile ont réussi à créer un environnement très sûr d'un point de vue logiciel avec les app stores, et la majorité écrasante des gens qui se prennent un malware sur smartphone ont installé un APK d'une source tierce, et c'est souvent l'APK à la base non-privilégié lui-même qui installe le root sur le téléphone pour pouvoir faire opérer le malware (donc le root peut être un signe de compromission).
Ils n'essaient pas de détecter le root par idéologie ou par volonté de discriminer des utilisateurs.
Google a implèmenté une suite de vérifications bien plus avancée que la simple recherche de binaire "su" sur l'appareil, voir cette série de blog posts très intéressante : https://koz.io/inside-safetynet/
Mais d'un autre coté, confier à Google cette validation c'est , déjà, prendre le risque que dans le futur Google change les règles unilatéralement, qu'une faille soit trouvée et exploitée à grande échelle qui touchent aussi ces services, et de provoquer une mauvaise image si d'aventure on s’aperçoit dans le futur que google abuse de ses prérogatives.
La partie fournie par Google ne joue pas grand rôle dans l'émission d'un token par un composant sécurisé, Google fournit l'userland, mais le vrai mécanisme il dépend de la conception du fondeur du microprocesseur qui a conçu le TEE et qui maintient son infrastructure de clefs privées (ou le cas échéant, de ton opérateur conjointement avec la société qui a produit ta carte SIM).
-
Le choix des sociétés qui imposent des mesures de détection de root est basé sur un constat empirique : les fournisseurs de systèmes d'exploitation mobile ont réussi à créer un environnement très sûr d'un point de vue logiciel avec les app stores, et la majorité écrasante des gens qui se prennent un malware sur smartphone ont installé un APK d'une source tierce, et c'est souvent l'APK à la base non-privilégié lui-même qui installe le root sur le téléphone pour pouvoir faire opérer le malware (donc le root peut être un signe de compromission).
As-tu une source sur le sujet ?
Parce que , de ce que j'en voit, beaucoup de vérole provient en fait ... du store, et d'applis à la con qui sont "innocentes" dans un 1er temps puis qui, ensuite, après mises à jour par ex, sont compromises.
Installer un APK , déjà rien que le concept est étranger à de nombreux utilisateurs. En plus il faut désactiver les sources inconnues (ce qui est une bonne chose - d'ailleurs , moi je ferais un système qui réactive ce réglage après un certain temps) , donc ça implique une action souhaitée & concrète. Ou alors, on parle de gens qui utilisent des stores alternatif , comme f-droid.
Le système de permission permet normalement que chaque appli userland reste à sa place sans pouvoir voir les données des autres applis, sauf en passant par une API spécialement dédiée à ça.
Rooter ca permet surtout une chose , c'est de mettre à jour le téléphone lorsque le constructeur l'a abandonné au bout de quelques années, voire quelques mois . Les appli qui utilisent vraiment le root pour marcher j'en connais peu, Titanium Backup par exemple.
Ils n'essaient pas de détecter le root par idéologie ou par volonté de discriminer des utilisateurs.
Le fait est que dans les faits, ça contrarie le choix de l'utilisateur de ce passer des services d'une société pour le moins controversée conservant la vie privée, dans un environnement européen qui est, grace entre autre au RGPD , en pointe sur le sujet.
Google a implèmenté une suite de vérifications bien plus avancée que la simple recherche de binaire "su" sur l'appareil, voir cette série de blog posts très intéressante : https://koz.io/inside-safetynet/
Merci pour ces articles c'est très intéressant à lire.
Mais pour moi Google joue de toute façon un jeu trouble. Par exemple, j'utilise NewPipe pour lire des vidéo youtube et non l'application officielle. Pourquoi ? Simplement car j'ai un débit de merde, et que donc NewPipe permet l'enregistrement alors que google ne VEUX PAS que tu puisses enregistrer.
(Ce n'est qu'un APK donc pas besoin de root). Après, oui, j'ai aussi envie d'utiliser LinéageOS & autres, plus à jour que l'image officielle et jamais mise à jour du constructeur.
Bref, il y a de vrai raisons à vouloir garder la maîtrise de son appareil jusqu'au niveau OS, sachant que les constructeurs majoritairement s'en foutent, ou sous-traitent le portage de l'OS.
Là ce qui me gêne c'est le comportement des banques (et autres) qui proposent ces appli sans alternatives, en prenant prétexte à un règlement européen qui n'oblige pas à ça.
(Et ces mesures ont été prises surtout au départ pour empêcher les gens d'utiliser des appli de vidéo en streaming sur des appareil non "certifiés"....)
La partie fournie par Google ne joue pas grand rôle dans l'émission d'un token par un composant sécurisé, Google fournit l'userland, mais le vrai mécanisme il dépend de la conception du fondeur du microprocesseur qui a conçu le TEE et qui maintient son infrastructure de clefs privées (ou le cas échéant, de ton opérateur conjointement avec la société qui a produit ta carte SIM).
Bon, là je suis pas sur de te suivre. Les fondeurs utilisent des specs & proposent des API pour communiquer avec le TEE qui n'est qu'un processeur de crypto. C'est bien l'API de google qui provoque ces appels et gèrent les réponses. On ne parle pas génération de faux token, là.
-
La trustzone n'est pas qu'un « processeur de crypto ». C'est un OS à part entière qui est exécuté dans une zone spécifique du microprocesseur. Les applications signées chargées dans la trustzone sont appelées trustlets, comme les applications chargées sur la carte SIM sont appelées cardlets.
Voir schéma :
(https://lafibre.info/testdebit/android/201909_android_thrustzone_architecture.webp)
Android ne doit pas pouvoir lire la mémoire de la trustzone, sinon elle n'aurait que peu d'intérêt.
Sur la plupart des téléphones, la chaîne de certificats qui permet de signer les trustlets repose sur l'infrastructure de Qualcomm. Voir cette description technique : https://googleprojectzero.blogspot.com/2017/07/trust-issues-exploiting-trustzone-tees.html
Sur l'application de validation par téléphone mobile qui était proposé en bêta-test par île-de-France Mobilités, typiquement, elle n'était compatible qu'avec les téléphones avec abonnement Orange car elle installait un cardlet qui était signé avec les clefs d'Orange ou Gemalto et utilisait la fonctionnalité NFC des cartes SIM Orange.
-
Installer un APK , déjà rien que le concept est étranger à de nombreux utilisateurs. En plus il faut désactiver les sources inconnues (ce qui est une bonne chose - d'ailleurs , moi je ferais un système qui réactive ce réglage après un certain temps) , donc ça implique une action souhaitée & concrète. Ou alors, on parle de gens qui utilisent des stores alternatif , comme f-droid.
ne pas sous estimer la quantité de gens qui finissent sur des stores alternatifs pour installer gratuitement des applications normalement payantes et/ou des applications pour regarder gratuitement les plateformes de VOD&co...
t'as du tutos tout simple pour le faire, qui pullule, et la plupart des gens ne pèsent pas le risque de faire ça...
-
bonjour,
Pour ma part ma banque CMDP m'a demander d"installer l’application pour identification transaction et autres,
mais ou je coince un peut ,il faut entrer identifiants et code pour se loguer , sur internet je veut bien mais sur android ou autre, je ne suis pas prêt à le faire.
De plus j'aime :( bien la petite phrase " Assurez-vous régulièrement que vos coordonnées personnelles restent toujours bien à jour."
comment fait ont avec toutes les surprises qu'il y à sur le "Play Store"
-
Heureusement qu’il reste amazon...
La validation par sms ils ont dégagé ca vite fait pour faciliter le parcours client, quitte a devoir rembourser plus de fraude.
-
Heureusement qu’il reste amazon...
La validation par sms ils ont dégagé ca vite fait pour faciliter le parcours client, quitte a devoir rembourser plus de fraude.
L'un des problèmes est qu'il semble que les opérateurs soient très légers, depuis des années, sur leurs interco SS7. Or les SMS passent par là.
Apparemment (aux USA) il y a un effort pour les obliger à fiabiliser le callerID et les SMS (ou, plus exactement, passer à RCS https://en.wikipedia.org/wiki/Rich_Communication_Services ) à cause des multiples fraudes. Ptet que chez nous les assurances marchent encore trop bien pour que les opérateurs s'en occupent.
-
pour amazon c'est pas une histoire de securité insuffisante ou non du sms.
C'est uniquement pour faciliter le parcours client du paiement, tu ne sors pas du tunnel de commande. la consequence est bien sur une recrudescence d'utilisation de cb volées, heben tant pis ils remboursent et gerent ces problemes et ca leur coute plus cher. J'avais des clients en ecomerce, aucun ne pouvaient se permettre de faire pareil, ils avaient tous les sms activé.
-
pour amazon c'est pas une histoire de securité insuffisante ou non du sms.
C'est uniquement pour faciliter le parcours client du paiement, tu ne sors pas du tunnel de commande. la consequence est bien sur une recrudescence d'utilisation de cb volées, heben tant pis ils remboursent et gerent ces problemes et ca leur coute plus cher. J'avais des clients en ecomerce, aucun ne pouvaient se permettre de faire pareil, ils avaient tous les sms activé.
Quand tu t'appelle Amazon tu peux te permettre de garder les n° de carte des clients, et assumer (financièrement) les dégâts d'une fuite de données : Les banques se battrons pour que tu utilises leur services, fraudes ou pas.
Sinon, c'est la banque qui dicte sa loi, et le tunnel de commande, elles, elles s'en foutent. Elles s'en foutent aussi de ton site, d'ailleurs : Le client, si il dépense pas son argent chez toi il le fera ailleurs et la commission ça rentrera quand même dans leur poche.
Le SMS me gêne pas tellement , surtout au delà d'un certain montant par exemple , je trouve ça plutôt rassurant. Installer une appli, paradoxalement, je trouve ça moins sécurisant (car j'ai moins confiance dans les développeurs de la banque et de leurs managers).
Après, même si j'en ai pas connaissance en europe, apparemment aux USA le simjacking ou autre technique d'interception des SMS est un fléau.
Une autre solution (qui existe depuis longtemps en France, souvent payant) c'est d'avoir des n° de carte à usage unique, voir des cartes avec des écran e-ink dessus pour générer des numéros , par exemple sur le CCV , Mais dans tous les cas , c'est quand même le client qui, in fine, paie la technologie qui protège la banque des fraudes :-)
-
Une autre solution (qui existe depuis longtemps en France, souvent payant) c'est d'avoir des n° de carte à usage unique, voir des cartes avec des écran e-ink dessus pour générer des numéros , par exemple sur le CCV , Mais dans tous les cas , c'est quand même le client qui, in fine, paie la technologie qui protège la banque des fraudes :-)
et surtout, les cartes a usage unique, ce n'est plus une CB a proprement parler, donc en cas de fraude, c'est pour ta pomme, alors qu'en cas de fraude à la CB "classique", c'est la banque qui est obligé d'en assumer les frais... donc tu paies un service qui dédouane les banques des cas de fraude ^^
-
et surtout, les cartes a usage unique, ce n'est plus une CB a proprement parler, donc en cas de fraude, c'est pour ta pomme, alors qu'en cas de fraude à la CB "classique", c'est la banque qui est obligé d'en assumer les frais... donc tu paies un service qui dédouane les banques des cas de fraude ^^
Bah en même temps... si elle est à usage unique et que le n° est ré-utilisé (donc , fraude), bah.... c'est pas vraiment à usage unique, non ? D'autant que le n° unique n'existe pas tant que tu ne l'a pas demandé. Si la banque laisse passer une seconde transaction sur un tel n° de carte, elle est un peu fautive...
Une variante que j'ai vu aux US c'est le n° de carte uniquement valable chez 1 seul marchant, pour du récurent (Là c'est donc pas unique).
Enfin t'a toujours les pénibles comme la SNCF qui veux absolument une carte physique - je sais pas vraiment pourquoi ils emmerdent le monde avec ça, après tout tant qu'ils ont l'argent...
Concernant les frais, les banques savent qu'elles sont responsable en cas de transaction frauduleuses, mais essaient trop souvent d'arnaquer le client - que ce soit avec des refus par simple lettre, des menaces de radiation de compte, des demandes de justificatifs pour faire durer la procédure + de 70 jours......
Elles sont dans leur tord, elles le savent, et savent qu'elles se feront torcher en justice... si ça y arrive. Mais comme ça arrive très peu souvent en justice, c'est tout bénef pour elles. Il n'y a pas d'amendes dissuasives sur ce comportement, donc...
-
J'ai demandé à ma baque de bloquer ma CB physique (je suis donc obligé de passer par des cartes virtuelles pour Internet)
- Cela ne supprime pas de garanties
- Ce n'est pas a usage unique, mais limité à un commerçant pour le montant indiqué et la durée indiquée : cela fonctionne parfaitement pour des abonnements récurrents
(https://lafibre.info/images/bistro/mastercard_numero_virtuel_fortuneo.png)
Pour les codes « Verified by Visa » et « MasterCard SecureCode » entrainnent un changement de responsabilité en cas de problème :
- Sans ces v"vérifications, c'est le commerçant qui doit payer (remboursement au client qui conteste)
- Avec ces vérifications, c'est la banque qui doit payer, le commerçant est assuré d'être payé)
-
Le SMS me gêne pas tellement , surtout au delà d'un certain montant par exemple , je trouve ça plutôt rassurant. Installer une appli, paradoxalement, je trouve ça moins sécurisant (car j'ai moins confiance dans les développeurs de la banque et de leurs managers).
Alors que le serveur qui envoie le SMS et te demande le code en retour est pas du tout codé et géré par "les développeurs de la banque et leurs managers" :D
Indice : le logo de ta banque s'affiche sur l'écran qui demande le code (et c'est bien ta banque qui stocke ton n° de tél et t'envoie le SMS)
-
Aeris partage son expérience de la DSP2 : https://twitter.com/aeris22/status/1172859672761708545
J’ai eu à faire à un cas concret ce jour avec l’arrivée de la DSP2.
https://twitter.com/aeris22/status/1172650319773220865
N26 a activé son authentification forte, réclamant une application Android incompatible avec un téléphone rooté ou ne disposant pas des applications Google. Un Lineage OS pourtant avec MicroG (https://microg.org/) n’est plus utilisable.
La seule proposition de la part de N26 est d’acheter un nouveau téléphone, ce qui ne règlera de toute façon pas le problème puisqu’il serait à nouveau sans les Google Apps…
https://twitter.com/aeris22/status/1172813775273168896
Ce problème va être de plus en plus fréquent, la plupart des banques implèmentant la 2FA uniquement via leur application mobile, qui reposent souvent sur les Goggle App.
Et les banques proposant la 2FA via SMS risquent fort de devoir changer de fusil d’épaule un jour, EBA ayant explicitement interdit ce moyen d’authentification tant que la SIM n’est pas protégée contre la réplication
https://eba.europa.eu/single-rule-book-qa/-/qna/view/publicId/2018_4039
Les libristes ne sont pas les seuls touchés dans l’affaire, le blocage de Huawei par Google ou les personnes ne disposant pas de smartphone ou de vieux modèles plus maintenus sont aussi concernés. Ce qui peut rapidement faire une bonne partie de la population.
Les choix technologiques des banques d’une 2FA applicative sont d’autant plus inexplicables que leur politique de mot de passe s’est récemment dégradé avec l’entrée en vigueur de la DSP2 et le passage de mots de passe robustes et fiables à des mots de passe à 6 ou 8 chiffres, et qu’il existe des solutions beaucoup plus sûres et efficaces de double authentification 100% intéropérables (TOTP).
Ce problème a des effets très notables. Alors que la vente liée/forcée permettait quand même un usage « normal » après quelques bricolages ou l’achat de matériel dans des points de vente spécifiques, la DSP2 exclut de fait du système bancaire toute personne non compatible. Ce qui induit à plus ou moins long terme l’exclusion complète de la société.
Les téléphones Huawei avec leur fork d'Android seront eux aussi impactés.
bonjour, désolé je n'ai pas lu tout le topic, mais pourquoi les banques ne se servent pas des applications existantes type Microsoft Authenticator (https://play.google.com/store/apps/details?id=com.azure.authenticator&hl=fr) ou encore Google Authenticator (https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=fr) ?
Evidemment, cela ne marchera pas avec un tel rooté ou modifié.
Il existe aussi Authy 2-Factor Authentication (https://play.google.com/store/apps/details?id=com.authy.authy&hl=fr), voici leur site web (je l'utilise sur PC) : https://authy.com/
Par contre le gros avantage pour le client, c'est d'avoir une seule app qui regroupe toutes les double authentifications ! :)
-
bonjour, désolé je n'ai pas lu tout le topic, mais pourquoi les banques ne se servent pas des applications existantes type Microsoft Authenticator (https://play.google.com/store/apps/details?id=com.azure.authenticator&hl=fr) ou encore Google Authenticator (https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=fr) ?
Evidemment, cela ne marchera pas avec un tel rooté ou modifié.
Il existe aussi Authy 2-Factor Authentication (https://play.google.com/store/apps/details?id=com.authy.authy&hl=fr), voici leur site web (je l'utilise sur PC) : https://authy.com/
Par contre le gros avantage pour le client, c'est d'avoir une seule app qui regroupe toutes les double authentifications ! :)
Bonjour, je me permets de remonter ma question. :)
-
Bonjour, je me permets de remonter ma question. :)
Bonjour, je me permets de remonter ma question. :)
-
Quand tu n'as pas de réponse en 5 mois, c'est généralement que les gens n'ont rien à dire, c'est assez mal vu ici d'"up" son sujet.
-
bonjour, ok je ne savais pas qu'il ne fallait pas faire de up sur ce forum.
Désolé, je ne le ferai plus.