Embed Notice

@desmu@mastodon.desmu.fr @Exagone313@share.elouworld.org

Sur le 1, c’est plus ou moins ça. La banque doit GARANTIR que ton application est légitime et est strictement bien celle qu’elle livre. Aucune modification n’est autorisée dessus sous peine de rendre invalide ta 2FA. C’est pour ça que ta banque passe par Google et les Google Services qui certifient que l’appli est légitime. À terme la vérification va se durcir encore avec une validation matérielle (ce sur quoi bosse Graphene). Ça implique que tu ne puisses pas être root sur ton téléphone par exemple (sinon tu peux tout modifier).

Et l’app de la banque ne fonctionne pas qu’au cas par cas, mais exclusivement sur le matériel permettant une attestation suffisamment forte que l’application utilisée est bien légitime et réellement celle de la banque.
Sur Lineage ou AOSP, c’est mort la plupart du temps, vu que téléphone rooté ou bootloader non refermé. Sur GrapheneOS c’est mort vu que même si pas de root et bootloader refermé, la clef d’attestation n’est pas de confiance pour les banques.
En général les banques ont aussi directement attaquées les API haut niveau de Google et Apple, apportant simplicité et surtout garantie de fonctionnement pour les banques. Les téléphones sans les Google Services ou Apple Services ne peuvent donc pas faire fonctionner l’appli. C’est encore pire en mode attestation matérielle puisque là même GrapheneOS est out.