Conversation

Notices

1. Embed this notice
   Breizh (breizh@pleroma.breizh.pm)'s status on Friday, 09-May-2025 01:54:39 JST Breizh

   in reply to

   • Desmu :georges_saucisse:
   • aeris
   • Exa :calim:

   @aeris @Exagone313 @desmu En fait le soucis c’est qu’on essaye de concilier des trucs qui sont pas censés l’être. Juste que les téléphones étant un truc un peu bâtard entre les deux, on se dit qu’en poussant un peu plus ça peut faire office.

   Parce que d’un côté on a doit avoir la banque qui prouve que ni le matériel ni le logiciel qui tourne dessus est inaltéré (ce qui n’est réellement possible que si la banque fournis le matos, qui lui appartient, en fait), de l’autre on a les gens qui voudraient que leur téléphone leur appartienne réellement et qu’il puisse en faire ce qu’ils veulent.

   Comme aujourd’hui le téléphone est dans un truc ambigu (officiellement le téléphone t’appartient mais en pratique le constructeur et Google (ou Apple) sont les seuls à avoir réellement le contrôle dessus), on se dit que c’est une solution envisageable.

   Et effectivement, pour l’utilisateur lambda, c’est pas forcément aberrant.

   Le côté libre ou non n’a que peu d’importance ici (oui le logiciel qui tourne sur le matos pourrait être libre, mais toute modification devra nécessiter une recertification, et est de toute façon de la responsabilité de la banque).

   • Haelwenn /элвэн/ :triskell: likes this.
   • Embed this notice
     aeris (aeris@firefish.imirhil.fr)'s status on Friday, 09-May-2025 01:54:43 JST aeris

     in reply to

     • Desmu :georges_saucisse:
     • Exa :calim:

     @desmu@mastodon.desmu.fr @Exagone313@share.elouworld.org
     
     Sur le 1, c’est plus ou moins ça. La banque doit GARANTIR que ton application est légitime et est strictement bien celle qu’elle livre. Aucune modification n’est autorisée dessus sous peine de rendre invalide ta 2FA. C’est pour ça que ta banque passe par Google et les Google Services qui certifient que l’appli est légitime. À terme la vérification va se durcir encore avec une validation matérielle (ce sur quoi bosse Graphene). Ça implique que tu ne puisses pas être root sur ton téléphone par exemple (sinon tu peux tout modifier).
     
     Et l’app de la banque ne fonctionne pas qu’au cas par cas, mais exclusivement sur le matériel permettant une attestation suffisamment forte que l’application utilisée est bien légitime et réellement celle de la banque.
     Sur Lineage ou AOSP, c’est mort la plupart du temps, vu que téléphone rooté ou bootloader non refermé. Sur GrapheneOS c’est mort vu que même si pas de root et bootloader refermé, la clef d’attestation n’est pas de confiance pour les banques.
     En général les banques ont aussi directement attaquées les API haut niveau de Google et Apple, apportant simplicité et surtout garantie de fonctionnement pour les banques. Les téléphones sans les Google Services ou Apple Services ne peuvent donc pas faire fonctionner l’appli. C’est encore pire en mode attestation matérielle puisque là même GrapheneOS est out.

   • Embed this notice
     Desmu :georges_saucisse: (desmu@mastodon.desmu.fr)'s status on Friday, 09-May-2025 01:54:44 JST Desmu :georges_saucisse:

     in reply to

     • aeris
     • Exa :calim:

     @aeris @Exagone313 Pour le choix de l'OS, ce que je comprends c'est que Windows et Mac ne sont pas assez fermés alors qu'iOS et Android le sont ?

     Pour Android de ce que je comprends avec les posts précédents, c'est qu'en l'état, l'app de la banque fonctionnerait au cas par cas ? Genre :
     - sur Android stock non ?
     - sur Android sur un Google Pixel ou avec surcouche proprio oui.
     - sur LineageOS, /e/OS et autres Android alternatifs non ?
     - sur GrapheneOS peut-être ?

   • Embed this notice
     aeris (aeris@firefish.imirhil.fr)'s status on Friday, 09-May-2025 01:54:48 JST aeris

     in reply to

     • Desmu :georges_saucisse:
     • Exa :calim:

     @desmu@mastodon.desmu.fr @Exagone313@share.elouworld.org
     - Windows/Mac : possible « en théorie » mais imposerait la refermeture encore plus de l’OS, comme pour Android, afin de s’assurer de la sécurité et de l’identité du périphérique
     - Linux : même pas en rêve, cause point n°1
     - App dédiée : difficulté du contextuel en app unique, supposerait un standard de communication (inexistant en l’état), ne change rien à la problématique du point 1 et 2, imposerait toujours Google/Apple
     - Idem point 4.

   • Embed this notice
     Desmu :georges_saucisse: (desmu@mastodon.desmu.fr)'s status on Friday, 09-May-2025 01:54:49 JST Desmu :georges_saucisse:

     in reply to

     • aeris
     • Exa :calim:

     @aeris @Exagone313 En pratique, ma banque propose une alternative : un boîtier propriétaire moche à 29€ présenté comme étant "la solution pour les chieurs".

     Dans cette liste, il n'y a vraiment rien qui ne pouvait correspondre aux critères attendus :
     - une app Windows/Mac/Linux ?
     - une app dédiée mais comprenant uniquement les features liées au 2FA ?
     - une Yubikey ou un truc qui y ressemble dont l'usage ne soit pas limité à une seule banque ? (2/2)

   • Embed this notice
     Desmu :georges_saucisse: (desmu@mastodon.desmu.fr)'s status on Friday, 09-May-2025 01:54:51 JST Desmu :georges_saucisse:

     in reply to

     • aeris
     • Exa :calim:

     @aeris @Exagone313 Oui, je peux comprendre le principe de sécurité qui implique l'abandon du SMS (pour le TOTP, j'avais vu qu'il y avait effectivement une contrainte au niveau du DSP2 mais j'avais pas poussé le sujet, merci pour les détails !).

     Ce qui me gène plus, c'est de restreindre le nouvel accès à l'installation d'une appli de gestion bancaire complète dont la disponibilité est limitée aux conditions et au bon-vouloir d'Apple et Google. (1/2)

   • Embed this notice
     aeris (aeris@firefish.imirhil.fr)'s status on Friday, 09-May-2025 01:54:52 JST aeris

     in reply to

     • Desmu :georges_saucisse:
     • Exa :calim:

     @Exagone313@share.elouworld.org @desmu@mastodon.desmu.fr Oui tout à fait. Le TOTP standard n’est pas un facteur de possession mais uniquement de connaissance. Ce n’est donc pas une 2FA, ça reste du 1FA. Il faut une identification du DEVICE pour que ça soit 2FA.
     Et en prime le TOTP ne respecte pas l’obligation de contextualisation de la validation (action, destinataire et montant)

   • Embed this notice
     Exa :calim: (exagone313@share.elouworld.org)'s status on Friday, 09-May-2025 01:54:54 JST Exa :calim:

     in reply to

     • Desmu :georges_saucisse:
     • aeris

     @desmu Le problème c'est que SMS et TOTP ne sont pas des solutions d'authentification forte d'après la DSP2. Il faudrait qu'ils fournissent une alternative physique à leur application, mais ça coûte bien plus cher à maintenir.
     Y avait eu une longue discussion avec @aeris là-dessus récemment.

   • Embed this notice
     Desmu :georges_saucisse: (desmu@mastodon.desmu.fr)'s status on Friday, 09-May-2025 01:54:55 JST Desmu :georges_saucisse:

     in reply to

     Les banques : "Bon, la double-authentification par SMS c'est pas safe, du coup on va l'enlever."

     Moi : "Ah du coup vous allez utiliser la norme qui implique de générer hors ligne un code à six chiffres avec une app multi-plates-formes comme Google Authenticator ou FreeOTP+ ?"

     Les banques : "Non, on va imposer l'installation d'une appli qui fait la taille de deux albums de MP3, qui vous fera taper un deuxième mot de passe fixe, qui doit avoir un accès en ligne, et qui marche que sur deux OS."

   • Embed this notice
     Desmu :georges_saucisse: (desmu@mastodon.desmu.fr)'s status on Friday, 09-May-2025 01:54:57 JST Desmu :georges_saucisse:

     Ma banque va désactiver la double-authentification par SMS dans les prochains jours, je dois désormais télécharger une application Android de 180Mo qui nécessite que mon téléphone soit connecté à Internet et envoie des données à Google si je veux continuer à pouvoir consulter mes comptes depuis mon PC ou faire des achats sur Internet depuis mon PC.