630

"j'ai pas de téléphone compatible, vous m'en offrez un ?"
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

631

C'est un coup à ce qu'il te réponde "ah mais justement, on a des formules de crédit à la consommation"...
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

632

Tu t'en sors bien, tu n'as jamais envisagé de devenir conseiller bancaire ? grin

(c'est une blague, pose ce fer à souder ! fear)
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

633

grin
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

634

Suite : j'ai appelé le conseiller aujourd'hui, et comme prévu :
- "utilisez notre application mobile !"
- "ne vous inquiétez pas, l'application est aussi sécurisée que le site web"
- "le service est facturé 10.80 € si on le fait pour vous, alors que si vous le faites via l'appli, c'est gratuit" (sympa !)
- "vous voulez pas passer à une carte Visa Premier ?"

J'ai quand même essayé de lui expliquer que je trouvais ça anormal, et de faire passer le message à ses supérieurs, mais la réponse "vous savez, la grande majorité des clients utilisent l'appli" me laisse assez peu d'espoir pour la suite.

En attendant, la modification était censée être effective 2 heures après la demande, mais visiblement ça n'est pas le cas. Par contre, en fouillant un peu dans les menus, j'ai trouvé :
- N3UM
Activé par défaut, je ne me souviens absolument pas avoir donné mon accord pour ça - mais j'imagine que c'était planqué quelque part dans les 50 pages de CGU...

- et cerise sur le gâteau : un lien "afficher mon code secret" pour ma carte bancaire, sur lequel je n'ai pas osé cliquer, de peur de faire de cauchemars la nuit (au mieux, dans mon cas ça ne servirait à rien, vu que je m'authentifie avec un lecteur de carte qui nécessite justement de taper ce code ; au pire... pas la peine de vous faire un dessin, je pense)
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

635

Zerosquare (./634) :
"vous savez, la grande majorité des clients utilisent l'appli"
"dans la mesure où vous ne leur laissez pas le choix, cet argument ne tient pas la route... "
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

636

"la majorité des contribuables aiment payer les impots, la preuve, ils continuent à le faire tous les ans !"
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

637

Vrai, mais j'étais pas d'humeur à me lancer dans un dialogue de sourds.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

638

Ça me fait penser que j'avais lu que le but de la propagande, c'est pas de changer ton avis vraiment, c'est de te faire croire qu'un max de gens pensent d'une certaine façon, et te faire petit à petit lâcher la résistance voire éventuellement que tu te sentes pisser dans un violon de faire echo d'une opinion différente. C'est un mécanisme qu'on retrouve vraiment partout.
avatar
Highway Runners, mon jeu de racing à la Outrun qu'il est sorti le 14 décembre 2016 ! N'hésitez pas à me soutenir :)

https://itunes.apple.com/us/app/highway-runners/id964932741

639

Et légalement quelle est la situation aujourd'hui ? J'espère quand même qu'une banque ne peut pas t'obliger à posséder un téléphone iOS ou Android pour accéder à ses services ?
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

640

Tu as toujours l'accès web. Perso vu que mon téléphone Android est détecté comme rooté (alors qu'il ne l'est pas) l'application de ma banque refuse de fonctionner, mais j'ai toujours accès a mes comptes via le navigateur du téléphone.
avatar

641

Sauf si on te force à authentifier tes opérations via un moyen "sécurisé" et que la banque a traduit ça en "via notre super app iOS/Android", non ?
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

642

On peut encore demander de désactiver l’authentification par l'appli, au moins au Crédit Agricole et à la Banque Postale.
Par contre, dans ce cas, il faut s'authentifier par un code par SMS + un code secret a retenir pour les opérations risquées.
avatar

643

J'ai réussi à obtenir qu'ils me filent un lecteur de carte (cf. épisodes précedents), donc le critère "authentification forte" ne peut pas leur servir d'excuse.

Pour le fait qu'il y ait des opérations qui ne soient pas accessibles via le site web, comme il reste quand même possible de les effectuer en passant par un conseiller, je crains que légalement ils soient dans leur droit (même si la procédure "alternative" est plus contraignante et avec des frais supplémentaires) :/
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

644

C'est possible oui.

Sinon c'est assez rigolo comme on a réussi à faire passer comme "sûr" nos téléphones portables. Google en particulier a réussi un tour de force particulièrement remarquable, pour ceux qui connaissent.
avatar
Highway Runners, mon jeu de racing à la Outrun qu'il est sorti le 14 décembre 2016 ! N'hésitez pas à me soutenir :)

https://itunes.apple.com/us/app/highway-runners/id964932741

645

Exactement.

Si j'ai un doute et que je veux accéder à la version web depuis un environnement relativement sûr, avec un desktop je peux (par exemple) facilement booter sur un Live CD/DVD/clé USB d'une distro Linux minimaliste, faire ce que je dois faire, et rebooter. C'est pas super pratique - et Flanker dirait que ça reste vulnérable à certains vecteurs d'attaque - mais c'est déjà beaucoup mieux que rien.

Alors qu'avec un smartphone, y'a rien de comparable. L'appli de la banque sera chargée en permanence, et tournera sur un système où il y a plein d'autres trucs en arrière-plan, dont la moitié dont on ne sait pas trop ce qu'ils font.

Mais expliquer ça à quelqu'un qui ne connaît pas la sécurité info, j'ai déjà essayé, c'est mission impossible (et comme je ne m'appelle pas Jim Phelps, désormais je n'accepte plus la mission).
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

646

Zerosquare (./645) :
c'est mission impossible (et comme je ne m'appelle pas Jim Phelps, désormais je n'accepte plus la mission).
C'est pas Graves.
avatar
Highway Runners, mon jeu de racing à la Outrun qu'il est sorti le 14 décembre 2016 ! N'hésitez pas à me soutenir :)

https://itunes.apple.com/us/app/highway-runners/id964932741

647

(Badum, tsss !)
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

648

Zerosquare tu peux m'expliquer ? moi j'ai l'appli et j'affiche mon code quand j'men souviens plus sad #snif# grin
avatar

649

Zerosquare (./645) :
Exactement.

Si j'ai un doute et que je veux accéder à la version web depuis un environnement relativement sûr, avec un desktop je peux (par exemple) facilement booter sur un Live CD/DVD/clé USB d'une distro Linux minimaliste, faire ce que je dois faire, et rebooter. C'est pas super pratique - et Flanker dirait que ça reste vulnérable à certains vecteurs d'attaque - mais c'est déjà beaucoup mieux que rien.
Oui, en théorie, tu pourrais le faire.
En pratique, combien de clients le font réellement ? 0,01% des clients ? Et encore, je pense que c'est surévalué.


Alors qu'avec un smartphone, y'a rien de comparable. L'appli de la banque sera chargée en permanence, et tournera sur un système où il y a plein d'autres trucs en arrière-plan, dont la moitié dont on ne sait pas trop ce qu'ils font.

Mais expliquer ça à quelqu'un qui ne connaît pas la sécurité info, j'ai déjà essayé, c'est mission impossible (et comme je ne m'appelle pas Jim Phelps, désormais je n'accepte plus la mission).
En pratique, un Android ou un iPhone reste bien plus sécurisé qu'un ordinateur, avec beaucoup plus d'isolation entre applications.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

650

flanker (./649) :
Oui, en théorie, tu pourrais le faire.
En pratique, combien de clients le font réellement ? 0,01% des clients ? Et encore, je pense que c'est surévalué.
Ah non, pas toi ! embarrassed

flanker (./649) :
En pratique, un Android ou un iPhone reste bien plus sécurisé qu'un ordinateur, avec beaucoup plus d'isolation entre applications.
Alors ça, je n'en mettrais pas ma main à couper. La sécurité sur desktop s'est quand même bien améliorée, on n'est plus à l'époque des 36000 barres d'outils qui s'installent sauvagement sur Internet Explorer. Et même si les OS mobiles ont du sandboxing, ils sont aussi régulièrement sujets à des failles graves, sans parler des side-channel attacks. Il y aussi le fait que la majorité des applis mobiles embarquent de multiples frameworks d'analytics/advertisting et co. plus ou moins douteux et opaques, les surcouches et machins préinstallés par les fabricants, et l'arrêt des mises à jour au bout de ~2 ans (côté Android).
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

651

Il y a quand meme largement moins de malware mobile qu'il n'y en a qui ciblent des ordi "classiques".

Et la pluspart des smartphone compromis sont arrivé compromis dans la main des clients.

C'est un peu mieux coté PC, mais il y a quand meme beaucoup de vecteur qui sont dedié pour ce marché.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

652

Fletsh (./648) :
Zerosquare tu peux m'expliquer ? moi j'ai l'appli et j'affiche mon code quand j'men souviens plus sad #snif# grin
Le principe d'avoir plusieurs codes séparés est de limiter la casse si jamais tu t'en fais dérober un. Et accessoirement, c'est beaucoup plus difficile de se faire rembourser une transaction CB frauduleuse s'il y a eu saisie du code : les banques considérant que (comme elles disent de pas le noter et ne le donner à personne) s'il a été utilisé, c'est que c'était forcément par toi.

Permettre de connaître le code CB depuis l'appli mobile flanque tout ça par terre. Ça vaut dire que si quelqu'un arrive à avoir accès à l'appli sur ton smartphone par un moyen quelconque, rien ne l'empêche de noter le code, puis de te piquer ta carte et de se faire plaisir avec (et tu auras bien du mal à prouver que ce n'était pas toi).
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

653

Attends.


Il foutent le code de ta carte dans leur appli?

La banque n'est pas sensé connaite ton code, seule l'usine est sensé avoir une trace de ca, et encore.
Le code d'une carte n'est pas envoyé par la banque mais le fabricant de cartes avec des lettres templates des banques qui utilisent leur services.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

654

Godzil (./653) :
Attends.


Il foutent le code de ta carte dans leur appli?

La banque n'est pas sensé connaite ton code, seule l'usine est sensé avoir une trace de ca, et encore.
Le code d'une carte n'est pas envoyé par la banque mais le fabricant de cartes avec des lettres templates des banques qui utilisent leur services.
Ca c'était avant.
Godzil (./651) :
Il y a quand meme largement moins de malware mobile qu'il n'y en a qui ciblent des ordi "classiques".
Définit malware.

Un jeu qui a besoin de l'autorisation d'accès à ton carnet d'adresses tu le considère comme malware ? "Oui mais vous comprenez c'est au cas où vous voudriez partager votre highscore"
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

655

Un jeu qui me demande acces a mon carnet d’adresse, je lui dit vtff puis il passe a la poubelle
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

656

Si, la banque connaît le code en clair, et est capable de te le renvoyer (et certains mécanismes de paiement utilisent cette fonction).
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

657

Ça je trouve bizarre. Ça n'a pas toujours été comme ça non ?
avatar
Highway Runners, mon jeu de racing à la Outrun qu'il est sorti le 14 décembre 2016 ! N'hésitez pas à me soutenir :)

https://itunes.apple.com/us/app/highway-runners/id964932741

658

Je ne sais pas trop ^^
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

659

Quel mécanisme de payement?

Quand à renvoyer le code n’a(vais) jamais été la banque qui renviie info mais l’usine encore une fois et les procédures sont automatisé. La principe de sécurité derrière le PIN c’est que justement il n’est stoïque en clair nulle part, même pas sur la carte, et seule la carte est capable de dire si le code et bon.

Je vois pas quel “méthode de sécuritée” peux utiliser le PIN sans utilisé la carte physiquement ni compromettre le fonctionnement même de la carte.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

660

again, ça c'était avant.

désormais, les services monétiques estiment que ta double authent est assez forte pour te proposer de consulter ton code "parce que c'était une demande fréquente des clients" et pour ça, il est stocké qq part, accessible par l'application/le site web...

mais attention, ils ont du interdire le screenshot pendant l'opération sur mobile donc t'es tranquille</sarcasm>

on rejoint l'effet "machin" (j'ai oublié son nom) qui dit qu'une application finit par être nulle et chiante parce que les éditeurs la veulent accessible au plus grand nombre sans effort d'appropriation... on y est.
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca