@mmu_man Le crédit mut menace de faire pareil soon 😕.
Faudra faire tourner les banques "téléphone portable normal" friendly

@modesmax le pb c'est que les banques ont fait du lobby à la Commission EU pour imposer ça, donc toutes les banques vont devoir s'y mettre (en fait c'est déjà obligatoire)… 🤷

@mmu_man @modesmax

Source?
J'ai jamais utilisais d'app de banque ça leur suffit pas d'avoir un site ???
@mmu_man @modesmax @aeris de ce que je lit c'est la DSP2 qui requière une authentifiation forte et y a un truc pratique et standard qui s'appel OTP pour ça…

@striker @modesmax @mmu_man J’ai déjà expliqué plus ou moins 42× que OTP n’est **PAS** compatible DSP2 🤣

@aeris @striker @modesmax @mmu_man les banques font ce qu'elles veulent. Je suis client de 2 banques qui font du MFA via leur appli mobile (vu le process, j'imagine qu'elles "seed" un certif. client dans leur app via un code envoyé par SMS, si si)... La CE continue de vérifier par SMS en prime, au cas où, juste comme ça tous les mois.

Ah on peut se moquer de la crypto des applis de chat, mais les banques françaises. 🤣

@oz @striker @modesmax @mmu_man Pas ce qu’elles veulent. L’authentification par SMS a été rejeté comme 2FA valide par EBA : eba.europa.eu/single-rule-book. Et possible uniquement jusqu’en mars.

@aeris
J'ai l'impression qu'on ne comprend pas la meme chose.
"In this context, a one-time password sent via SMS would constitute a possession element and should therefore comply with the requirements under Article 7 of the Delegated Regulation, provided that its use is ‘subject to measures designed to prevent replication of the elements’, as required under Article 7(2) of this Delegated Regulation."
Ça dit au contraire que c'est valide.
@oz @striker @modesmax @mmu_man

@thomas @oz @striker @modesmax @mmu_man Oui et non. « provided that its use is ‘subject to measures designed to prevent replication of the elements’ » est incompatible avec le SMS « classique ».

@thomas @oz @striker @modesmax @mmu_man Tu dois formellement identifier la SIM et empêcher son clonage. Ce qui est… impossible…

@thomas @oz @striker @modesmax @mmu_man En tout cas la possession du n° de téléphone ou du n° de SIM ne suffit pas : il suffit de se rendre dans une boutique Free avec 2-3 infos obtenu par ingénierie sociale pour obtenir un clone de la SIM et contourner la 2FA. Ça n’identifie pas une personne.

@thomas @oz @striker @modesmax @mmu_man En gros c’est « OTP over SMS c’est valide si tu arrives à empêcher/détecter un clone de la SIM ». Bon courage, c’est en pratique impossible.

@thomas @oz @striker @modesmax @mmu_man Et c’est renforcé ici : eba.europa.eu/sites/default/do
Et aujourd’hui il n’existe pas de solution « SMS/SS7 only » pour permettre à un émetteur de SMS de vérifier l’authenticité du récepteur. Il faudrait aussi… une application mobile ? 🤣

Suivre

@aeris
Encore une fois le document que tu cites dit que l'utilisation de SMS est autorise pour faire un des deux facteurs (qui est la possession de la carte SIM).
Il n'y a dans le document AUCUNE référence a la possibilité de forger des cartes SIM et que donc ce n'est pas un facteur valide.
@oz @striker @modesmax @mmu_man

@thomas @oz @striker @modesmax @mmu_man SMS n’est **PAS** un facteur de possession parce que la SIM est clonable. C’est un moyen de possession **uniquement** si tu as **en plus** mis des mesures de protection contre le clonage. Ce qui n’est pas le cas et pas possible avec un SMS standard.

@thomas @oz @striker @modesmax @mmu_man Et cet article est d’ailleurs très bien, parce qu’il indique aussi bien qu’une chaîne CVV + SMS n’est de toute façon pas 2FA même avec un SMS acceptable, parce que les 2 reposent uniquement sur un facteur de possession (SIM & CB) et aucun facteur de connaissance.

@thomas @oz @striker @modesmax @mmu_man Eh oui, sur un paiement en ligne tu ne saisis pas ton mot de passe bancaire 🤣

@mmu_man @aeris @thomas @oz @striker @modesmax Et l’appli bancaire en question aura-t-elle des traqueurs ? Autre question: Si tu es obligé d’installer une appli bancaire pour faire des achats en ligne, sera t-elle disponible en dehors d’iOS et d’Android?

@aeris @thomas @oz @striker @modesmax @mmu_man

et sur le fait que la banque t'oblige a avoir un compte google ou apple c'est pas problématique ? elles devraient deja devoir fournir l'application hors store, impossible pour apple mais possible pour android

@nschont @thomas @oz @striker @modesmax @mmu_man En particulier ici, on se retrouverait éventuellement avec le problème des logiciels de caisse… Comment obtenir des certifications avec du code untrusted ? 🤔

@nschont @thomas @oz @striker @modesmax @mmu_man Par exemple les fonctions de SIM lock ou autres sont *accrédités* par Google pour être conforme éventuellement avec une implem DSP2. Du code libre n’est juste… pas possible.

@aeris @nschont @thomas @oz @striker @modesmax c'est qu'y a un petit soucis au départ, c'est juste mal conçu.

@mmu_man @nschont @thomas @oz @striker @modesmax Ce n’est pas parce que c’est conçu d’une manière qu’on ne trouve pas acceptable que c’est mal conçu hein :)

@mmu_man @nschont @thomas @oz @striker @modesmax C’est différent de nos objectifs, c’est un poil le bordel dedans… Mais beaucoup de choses se justifient…

@LovisIX @mmu_man @modesmax @nschont @thomas @oz @striker Ça c’est la branche « pub » de ad4screen. Ils font aussi du suivi d’engagement par exemple. Légitime et sans consentement.

@LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker Exodus confond moyen et finalité. Un moyen n’est jamais per se illégitime du point de vue RGPD. Il y a 6 bases légales. Pas une seule.

@aeris

La finalité est de m'envoyer de la pub que ce soit pour un service de la banque ou pour des capotes usagées et de savoir si j'ai tapoté ou pas. La pub n'est pas un motif légitime.

La pub est l'un des cancers qui rongent notre société…

Et si le loi dit le contraire, la loi est mauvaise et il faut la changer.

@modesmax @oz @thomas @nschont @exodus @mmu_man @striker

@LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker La finalité est de suivre les campagnes d’engagement et les cohortes d’utilisateur. Et pour le coup, c’est légitime.

@aeris @LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker

NON MERDE !!!
C'est peut-être légal, mais ce n'est pas LÉGITIME

La loi ne défini que la légalité, pas la légitimité.

Et par ces actions les banques se compretenet en aggresseurs de leurs clients. Même si ce sont des aggressions légales.

@aeris @LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker

Le sjuivi de campagnegne d'engagement EST UNE AGGRESSION !!
Mon épicier n'a pas à savoir comment je cuisine la bouffe que j'achète.

@R1Rail @LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker Tu considères ça comme une aggression. Le RGPD dit que c’est légitime (sous condition, qui peuvent être en soi respectées par la CE)

Déplier
Déplier

@LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker Et on va dire « oui mais sentry ». Tu me trouves un sentry qui encaisse un petit million de clients lors des upgrades d’appli ? 🤔

@LovisIX @aeris @exodus @mmu_man @modesmax @nschont @oz @striker @thomas On peut dire que ça pue du cul, une banque qui es censé assurer la sécurité des biens qu’on lui confie, qui en livre d’autres, et ouvre une faille de sécurité potentielle. La pub c’est juste la cerise sur le gâteau

@aeris @thomas @oz @striker @modesmax @mmu_man sauf si tu effaces le CVV inscris sur ta carte après l'avoir mémorisé. En revanche, la banque n'en n'a pas la garantie.

@aeris
Tes deux liens décrivent justement le fait qu'il est possible de se protéger contre le SIM swap et donc continuer a utiliser du SMS (un peu ameliore avec check des infos au niveau de l'operateur) pour faire du SMS OTP ...
Lis tu les liens que tu envoies ? 🙂
@oz @striker @modesmax @mmu_man

@thomas @oz @striker @modesmax @mmu_man Il n’est pas TECHNIQUEMENT possible de se protéger du SIM swap. L’OTP SMS est utilisable *EN THÉORIE* mais il n’existe AUCUNE solution technique réaliste pour s’en prémunir.

@thomas @oz @striker @modesmax @mmu_man En particulier l’option de protection indiquée est non viable par rapport à une solution purement logicielle via application mobile…

@thomas @oz @striker @modesmax @mmu_man Le système de vérification impose de passer par la ligne data IP (et non plus simplement SS7). Donc l’intérêt est juste nul.

@thomas @oz @striker @modesmax @mmu_man Ça serait complètement crétin (et ça nécessiterait de toute façon du logiciel et pas juste ton téléphone « vanilla ») de réclamer SMS *ET* data quand on pourrait faire uniquement avec data… 😑

@aeris @thomas @oz @modesmax tout comme ce serait crétin de corriger les failles de SS7 puisque ça impliquerait de changer tous les équipements…
Mais bon c'est pas la faute de l'utilisateur non plus hein.

@aeris
Tu mélanges deux sujets. La légalité de l'OTP SMS par rapport au DSP2, et son niveau de sécurité réel (ce dont je me fous, ce n'est pas le sujet).
Je réitère, l'OTP SMS est un facteur (sur deux) VALIDE pour DSP2.
Un article du groupe BPCE (un des plus grands groupes bancaires FR) de janvier 2021 qui l’écrit noir sur blanc ça te va ?
89c3.com/news/dsp2-et-authenti
@oz @striker @modesmax @mmu_man

@aeris
Et c'est exactement pour cette raison que Fortuneo CONTINUE a fournir le SMS et qu'ils n'ont pas prévu de changer. En effet, avec une carte Fortuneo tu ne peux PAS payer sur internet. Tu dois te connecter sur le site (mot de passe, facteur connaissance) pour generer une carte bancaire virtuelle. Ensuite, tu recois un OTP SMS (facteur possession du telephone) a rentrer. Valide DSP2. Pas de putain d'appli sur mon tel (qui est un Sailfish ...).
@oz @striker @modesmax @mmu_man

@thomas @oz @striker @modesmax @mmu_man Et toi tu mélanges validité du SMS OTP comme 2FA alors qu’il n’est valide que comme moyen de possession et non de connaissance. Et donc ne suffit pas pour une authentification 2FA sans avoir aussi à saisir son mot de passe bancaire. Et donc pas uniquement par SMS. Encore une fois application mobile nécessaire.

@thomas @oz @striker @modesmax @mmu_man Entre la fragilité de SMS OTP et sa restriction à un facteur de possession, en pratique c’est assez complexe voire impossible de permettre un paiement en ligne par la CB sans application mobile.

@thomas @oz @striker @modesmax @mmu_man Le cas de Fortuneo est un cas spécifique, qui ne rentre pas dans l’usage conventionnel attendu par 99% des clients.

@thomas @oz @striker @modesmax @mmu_man (Des clients et des banques). Et le cas de fortuneo implique bien un passage par le web ou l’application mobile, et n’est donc pas UNIQUEMENT du SMS.

@aeris
Oui mais en quoi ça pose problème exactement ?
Si tu veux l'appli, tu utilises l'appli, si tu veux pas, tu l'utilise pas. Tu es libre. Et c'est exactement ce que je veux. Et c'est compatible DSP2.
@oz @striker @modesmax @mmu_man

@thomas @oz @striker @modesmax @mmu_man Ça pose problème que tous les systèmes de paiement plus ou moins existants sont pétés avec un système comme Fortuneo et des cartes à usage jetable qui nécessitent de changer les options du compte à chaque commande.

@thomas @oz @striker @modesmax @mmu_man Du paiement récurrent en ligne sur Netflix ? Pété. De l’abonnement récurrent Stripe ? Pété ?

@thomas @oz @striker @modesmax @mmu_man Va expliquer ça à Stripe ou à Netflix. C’est CB ou Paypal. Point.

@thomas @oz @striker @modesmax @mmu_man Et Stripe ne supporte pas le mode IBAN pour le moment officiellement par exemple.

@thomas @oz @striker @modesmax @mmu_man Et tous les systèmes monétiques standard des banques se croûtent face à une carte virtuelle à usage nécessairement unique au prochain prélèvement. Avec toute la merde de relance du client (et la suspension de son service) pour obtenir à nouveau un règlement… qui tiendra 1 mois.

@thomas @oz @striker @modesmax @mmu_man ’fin en tout cas quand on parlait de 2FA SMS OTP, on était loin de penser à la solution de Fortuneo. Qui est plus un problème qu’une solution…

@aeris
Un problème ? Je l'utilise depuis des années (comme des millions de clients en fait), c'est juste magique. Jamais eu de soucis.
C'est juste que les autres banques sont trop branques pour développer ce genre de solutions justement.
@oz @striker @modesmax @mmu_man

@thomas @oz @striker @modesmax @mmu_man Et dans tous les cas, ton article ne démontre pas que SMS OTP est un moyen de 2FA, ni même de possession. L’article dit bien que EBA ne considère le SMS comme « fort » que sous réserve d’impossibilité de clonage de SIM. Et ton article ne dit pas du tout le contraire.

Déplier
Déplier
Inscrivez-vous pour prendre part à la conversation
Mastodon

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !