Bonsoir, Je ne comprend pas pourquoi le millieu bancaire a autant de peine a utiliser les standart de l'authentification tel que l'U2F. Il me semble que postfinance est entraint de supprimer la calculette pour passer au smartphone :-/
J'ai fait le choix de prendre un smartphone certifier AndroidOne d'entrée de gamme pour cette tache. En effet Android One est sensé guarantir 2ans de mise a jour sur la dernière stable et encore 2 ans de mise a jour de sécurité (ce qui devrait durer plus que mon Fairphone, [/troll]) si quelqu'un a une meilleures solutions je suis intéressé-- Sebseb01 19 mai 2020 à 19:54 de [email protected]: > Bonjour, > > Jusqu'il y a quelques temps, la BCN permettait un login via ZTIC(*). C'était > assez simple, mais pas très sécurisé par la faute de la BCN: seul le numéro de > contrat était nécessaire, pas de mot de passe, pour activer ensuite un login > ZTIC. Un ami a montré qu'on pouvait se logguer depuis une autre adresse IP via > social engineering (la personne croit valider un paiement et elle valide, sur > la ZTIC, un login tiers). De mémoire il a informé la banque qui a dit `vous > utilisez mal la clé BCN'. Mais passons, ce n'est plus exploité. > > Aujourd'hui, on se loggue avec une application mobile: CrontoSign. Les > commentaires sur le Google Play sont plutôt négatifs, on parle d'application > bricolée. Par contre, ce qui est bien mieux est qu'il faut un login, un mot de > passe, puis on confirme le login via le CrontoSign. > > Il y a deux modes de confirmation CrontoSign: scanner une image-code sur > l'écran de l'ordinateur qui se loggue (challenge de la banque), taper à la > main > le code retourné; ou scanner l'image-code et c'est le smartphone qui parle > directement avec la banque, pas d'interaction au clavier (mode `push'). > > Mon problème: je ne veux pas acheter un smartphone tous les 3 ans. > Tous les 4 à 8 ans me convient. D'un autre côté, les fabricants ne supportent > l'OS de base que 2 à 3 ans. Donc j'ai installé LineageOS du 15 mai 2020, > et bien sûr mis à jour tous les logiciels du Google Play. > > Problème avec CrontoSign: > > - sur un téléphone ancien non supporté NON MIS A JOUR, CrontoSign > fonctionne (en mode avec interaction, pas en mode push -- erreur) > > - sur un téléphone ancien non supporté MIS A JOUR, CrontoSign > fonctionne, mais la banque fait une erreur de `téléphone rooté' (alors > que ce n'est pas le cas, c'est juste une custom ROM) > > Donc, j'ai informé la banque que j'utiliserai un téléphone ancien non supporté > et non mis à jour pour me logguer. Comme mon mot de passe est assez long, que > mon ordinateur est à jour, je doute que cela soit exploitable. On verra leur > réaction. > > Ma question: savez-vous s'il est possible avec LineageOS de faire croire > à une application comme CrontoSign que c'est une installation `standard' > de Android, ou ils fonctionnent avec des signatures et il faudrait tricher > en montrant un faux contenu de flash, grâce au MMU, comme certains virus > de BIOS PC? > > PS: pour être complet, il est toujours possible de se logguer avec un > équipement tout-en-un, une scanneuse à 50.-, mais je n'ai pas essayé. > PS/2: je préfère quand même la calculette de Postfinance ou les listes > de code à biffer de SwissQuote ... simple, sûr, efficace -- si > associé à un login et mot de passe, ce qui est le cas. > > (*) clé USB développée par IBM qui crée un relais sécurisé via le PC; > le logiciel est propriétaire mais fonctionne aussi sur OS standard Linux. > _______________________________________________ > gull mailing list > [email protected] > https://forum.linux-gull.ch/mailman/listinfo/gull > _______________________________________________ gull mailing list [email protected] https://forum.linux-gull.ch/mailman/listinfo/gull
