Topic Utile Que pensez-vous de votre banque ? - Page 22

C'est un coup à ce qu'il te réponde "ah mais justement, on a des formules de crédit à la consommation"...

Tu t'en sors bien, tu n'as jamais envisagé de devenir conseiller bancaire ?

(c'est une blague, pose ce fer à souder ! )

Suite : j'ai appelé le conseiller aujourd'hui, et comme prévu :
- "utilisez notre application mobile !"
- "ne vous inquiétez pas, l'application est aussi sécurisée que le site web"
- "le service est facturé 10.80 € si on le fait pour vous, alors que si vous le faites via l'appli, c'est gratuit" (sympa !)
- "vous voulez pas passer à une carte Visa Premier ?"

J'ai quand même essayé de lui expliquer que je trouvais ça anormal, et de faire passer le message à ses supérieurs, mais la réponse "vous savez, la grande majorité des clients utilisent l'appli" me laisse assez peu d'espoir pour la suite.

En attendant, la modification était censée être effective 2 heures après la demande, mais visiblement ça n'est pas le cas. Par contre, en fouillant un peu dans les menus, j'ai trouvé :
-
Activé par défaut, je ne me souviens absolument pas avoir donné mon accord pour ça - mais j'imagine que c'était planqué quelque part dans les 50 pages de CGU...

- et cerise sur le gâteau : un lien "afficher mon code secret" pour ma carte bancaire, sur lequel je n'ai pas osé cliquer, de peur de faire de cauchemars la nuit (au mieux, dans mon cas ça ne servirait à rien, vu que je m'authentifie avec un lecteur de carte qui nécessite justement de taper ce code ; au pire... pas la peine de vous faire un dessin, je pense)

Zerosquare (./634) :
"vous savez, la grande majorité des clients utilisent l'appli"

"dans la mesure où vous ne leur laissez pas le choix, cet argument ne tient pas la route... "

"la majorité des contribuables aiment payer les impots, la preuve, ils continuent à le faire tous les ans !"

Vrai, mais j'étais pas d'humeur à me lancer dans un dialogue de sourds.

Ça me fait penser que j'avais lu que le but de la propagande, c'est pas de changer ton avis vraiment, c'est de te faire croire qu'un max de gens pensent d'une certaine façon, et te faire petit à petit lâcher la résistance voire éventuellement que tu te sentes pisser dans un violon de faire echo d'une opinion différente. C'est un mécanisme qu'on retrouve vraiment partout.

Et légalement quelle est la situation aujourd'hui ? J'espère quand même qu'une banque ne peut pas t'obliger à posséder un téléphone iOS ou Android pour accéder à ses services ?

Tu as toujours l'accès web. Perso vu que mon téléphone Android est détecté comme rooté (alors qu'il ne l'est pas) l'application de ma banque refuse de fonctionner, mais j'ai toujours accès a mes comptes via le navigateur du téléphone.

Sauf si on te force à authentifier tes opérations via un moyen "sécurisé" et que la banque a traduit ça en "via notre super app iOS/Android", non ?

On peut encore demander de désactiver l’authentification par l'appli, au moins au Crédit Agricole et à la Banque Postale.
Par contre, dans ce cas, il faut s'authentifier par un code par SMS + un code secret a retenir pour les opérations risquées.

J'ai réussi à obtenir qu'ils me filent un lecteur de carte (cf. épisodes précedents), donc le critère "authentification forte" ne peut pas leur servir d'excuse.

Pour le fait qu'il y ait des opérations qui ne soient pas accessibles via le site web, comme il reste quand même possible de les effectuer en passant par un conseiller, je crains que légalement ils soient dans leur droit (même si la procédure "alternative" est plus contraignante et avec des frais supplémentaires) :/

C'est possible oui.

Sinon c'est assez rigolo comme on a réussi à faire passer comme "sûr" nos téléphones portables. Google en particulier a réussi un tour de force particulièrement remarquable, pour ceux qui connaissent.

Exactement.

Si j'ai un doute et que je veux accéder à la version web depuis un environnement relativement sûr, avec un desktop je peux (par exemple) facilement booter sur un Live CD/DVD/clé USB d'une distro Linux minimaliste, faire ce que je dois faire, et rebooter. C'est pas super pratique - et Flanker dirait que ça reste vulnérable à certains vecteurs d'attaque - mais c'est déjà beaucoup mieux que rien.

Alors qu'avec un smartphone, y'a rien de comparable. L'appli de la banque sera chargée en permanence, et tournera sur un système où il y a plein d'autres trucs en arrière-plan, dont la moitié dont on ne sait pas trop ce qu'ils font.

Mais expliquer ça à quelqu'un qui ne connaît pas la sécurité info, j'ai déjà essayé, c'est mission impossible (et comme je ne m'appelle pas Jim Phelps, désormais je n'accepte plus la mission).

Zerosquare (./645) :
c'est mission impossible (et comme je ne m'appelle pas Jim Phelps, désormais je n'accepte plus la mission).

C'est pas Graves.

(Badum, tsss !)

Zerosquare tu peux m'expliquer ? moi j'ai l'appli et j'affiche mon code quand j'men souviens plus #snif#

Zerosquare (./645) :
Exactement.

Si j'ai un doute et que je veux accéder à la version web depuis un environnement relativement sûr, avec un desktop je peux (par exemple) facilement booter sur un Live CD/DVD/clé USB d'une distro Linux minimaliste, faire ce que je dois faire, et rebooter. C'est pas super pratique - et Flanker dirait que ça reste vulnérable à certains vecteurs d'attaque - mais c'est déjà beaucoup mieux que rien.

Oui, en théorie, tu pourrais le faire.
En pratique, combien de clients le font réellement ? 0,01% des clients ? Et encore, je pense que c'est surévalué.

Alors qu'avec un smartphone, y'a rien de comparable. L'appli de la banque sera chargée en permanence, et tournera sur un système où il y a plein d'autres trucs en arrière-plan, dont la moitié dont on ne sait pas trop ce qu'ils font.

Mais expliquer ça à quelqu'un qui ne connaît pas la sécurité info, j'ai déjà essayé, c'est mission impossible (et comme je ne m'appelle pas Jim Phelps, désormais je n'accepte plus la mission).

En pratique, un Android ou un iPhone reste bien plus sécurisé qu'un ordinateur, avec beaucoup plus d'isolation entre applications.

flanker (./649) :
Oui, en théorie, tu pourrais le faire.
En pratique, combien de clients le font réellement ? 0,01% des clients ? Et encore, je pense que c'est surévalué.

Ah non, pas toi !

flanker (./649) :
En pratique, un Android ou un iPhone reste bien plus sécurisé qu'un ordinateur, avec beaucoup plus d'isolation entre applications.

Alors ça, je n'en mettrais pas ma main à couper. La sécurité sur desktop s'est quand même bien améliorée, on n'est plus à l'époque des 36000 barres d'outils qui s'installent sauvagement sur Internet Explorer. Et même si les OS mobiles ont du sandboxing, ils sont aussi régulièrement sujets à des failles graves, sans parler des side-channel attacks. Il y aussi le fait que la majorité des applis mobiles embarquent de multiples frameworks d'analytics/advertisting et co. plus ou moins douteux et opaques, les surcouches et machins préinstallés par les fabricants, et l'arrêt des mises à jour au bout de ~2 ans (côté Android).

Il y a quand meme largement moins de malware mobile qu'il n'y en a qui ciblent des ordi "classiques".

Et la pluspart des smartphone compromis sont arrivé compromis dans la main des clients.

C'est un peu mieux coté PC, mais il y a quand meme beaucoup de vecteur qui sont dedié pour ce marché.

Fletsh (./648) :
Zerosquare tu peux m'expliquer ? moi j'ai l'appli et j'affiche mon code quand j'men souviens plus #snif#

Le principe d'avoir plusieurs codes séparés est de limiter la casse si jamais tu t'en fais dérober un. Et accessoirement, c'est beaucoup plus difficile de se faire rembourser une transaction CB frauduleuse s'il y a eu saisie du code : les banques considérant que (comme elles disent de pas le noter et ne le donner à personne) s'il a été utilisé, c'est que c'était forcément par toi.

Permettre de connaître le code CB depuis l'appli mobile flanque tout ça par terre. Ça vaut dire que si quelqu'un arrive à avoir accès à l'appli sur ton smartphone par un moyen quelconque, rien ne l'empêche de noter le code, puis de te piquer ta carte et de se faire plaisir avec (et tu auras bien du mal à prouver que ce n'était pas toi).

Attends.


Il foutent le code de ta carte dans leur appli?

La banque n'est pas sensé connaite ton code, seule l'usine est sensé avoir une trace de ca, et encore.
Le code d'une carte n'est pas envoyé par la banque mais le fabricant de cartes avec des lettres templates des banques qui utilisent leur services.

Godzil (./653) :
Attends.


Il foutent le code de ta carte dans leur appli?

La banque n'est pas sensé connaite ton code, seule l'usine est sensé avoir une trace de ca, et encore.
Le code d'une carte n'est pas envoyé par la banque mais le fabricant de cartes avec des lettres templates des banques qui utilisent leur services.

Ca c'était avant.

Godzil (./651) :
Il y a quand meme largement moins de malware mobile qu'il n'y en a qui ciblent des ordi "classiques".

Définit malware.

Un jeu qui a besoin de l'autorisation d'accès à ton carnet d'adresses tu le considère comme malware ? "Oui mais vous comprenez c'est au cas où vous voudriez partager votre highscore"

Un jeu qui me demande acces a mon carnet d’adresse, je lui dit puis il passe a la poubelle

Si, la banque connaît le code en clair, et est capable de te le renvoyer (et certains mécanismes de paiement utilisent cette fonction).

Ça je trouve bizarre. Ça n'a pas toujours été comme ça non ?

Je ne sais pas trop ^^

Quel mécanisme de payement?

Quand à renvoyer le code n’a(vais) jamais été la banque qui renviie info mais l’usine encore une fois et les procédures sont automatisé. La principe de sécurité derrière le PIN c’est que justement il n’est stoïque en clair nulle part, même pas sur la carte, et seule la carte est capable de dire si le code et bon.

Je vois pas quel “méthode de sécuritée” peux utiliser le PIN sans utilisé la carte physiquement ni compromettre le fonctionnement même de la carte.

again, ça c'était avant.

désormais, les services monétiques estiment que ta double authent est assez forte pour te proposer de consulter ton code "parce que c'était une demande fréquente des clients" et pour ça, il est stocké qq part, accessible par l'application/le site web...

mais attention, ils ont du interdire le screenshot pendant l'opération sur mobile donc t'es tranquille</sarcasm>

on rejoint l'effet "machin" (j'ai oublié son nom) qui dit qu'une application finit par être nulle et chiante parce que les éditeurs la veulent accessible au plus grand nombre sans effort d'appropriation... on y est.