Salut,<br><br>Il y a bientôt 5 ans, j'ai eu les mêmes discussions avec Postfinance (https://magnus.anderssen.ch/longs/open_letter_to_postfinance/).<br><br>Plusieurs constats :<br><br>1. Ils ne maîtrisent pas tout dans les dépendances utilisées pour fabriquer leurs app<br>2. Ils externalisent/achètent des solutions pour assurer la sécurité qu'ils intègrent<br>3. La mise à jour des ces solutions cassent les vieilles versions d'Android ou les systèmes pour cacher le rooting<br>4. Peu comprennent la notion de root/pas root<br>5. Ils préfèrent déléguer le problème à ton portefeuille et aux fabricants<br><br>À l'époque, j'avais eu des messages d'employés plutôt techniques pour me dire qu'ils ne comprenaient pas non plus les choix...<br><br>Concernant le 2FA standard, pas vu beaucoup de banques faire confiance à autre chose que leurs app (qui implémente peut-être un standard en sous-main) ou pire le SMS.<br><br>Salutations,<br><br>Magnus<br><br><br><div class="ik_mail_quote">
<div>
<br>
</div>
<div>
On Monday, 17 June 2024 at 09:56, Claude Paroz via gull <gull@forum.linux-gull.ch> wrote:
</div>
<blockquote>
<pre style="word-wrap: break-word; white-space: pre-wrap;">Le 17.06.24 à 09:40, Marc SCHAEFER via gull a écrit :
> Hello,
>
> On Mon, Jun 17, 2024 at 08:12:51AM +0200, Claude Paroz via gull wrote:
>> Résultat des courses: un week-end passé à découvrir comment flasher une ROM
>> Android libre (+ ajout des outils Google non libres pour pouvoir installer
>> les apps sus-mentionnées) sur ce téléphone. Opération quasi impossible pour
>> un non informaticien.
...
> Toutefois, Krontosign (le machin de 2FA de la BCN) a refusé de
> fonctionner en disant quelque chose comme "pas version officielle".
> En remettant l'OS obsolète Samsung Android, ça marchait.
Je n'utilise pas Crontosign sur ce téléphone, mais j'ai obtenu une
réponse similaire pour l'appli 2FA MobileID imposée par les messageries
du canton de Neuchâtel, mais heureusement le message d'incompatibilité
n'est pas (encore?) bloquant pour son utilisation.
Il vaudrait peut-être la peine de réfléchir à la contestation en justice
de ce type de contrôle.
> J'ai ensuite posé la question à la BCN: vous préférez un OS à jour sur
> un vieux téléphone, ou un OS pas à jour; leur réponse: quelque chose
> comme "achetez un nouveau téléphone".
Selon moi, ce genre de réponse devrait pouvoir être pénalement
répréhensible (dans la logique du jugement récent de la Cour européenne
concernant l'inaction climatique), mais il faudra encore travailler dans
les mentalités et le droit pour que ça le soit réellement.
> Depuis, je suis passé à Pixel 7a, qui normalement devrait avoir 5 ans de
> mises à jour ... c'est déjà mieux que les 18 mois du Pixel 4a (de
> mémoire).
Saluons ce progrès, mais pour moi c'est encore très insuffisant.
> PS: et bien sûr, il y a au moins 3 logiciels différents pour faire du
> 2FA standard sous Android, donc 1 libre me semble-t-il.
J'utilise depuis longtemps du libre pour le 2FA standard (Aegis), et il
y en a même plusieurs.
À+
Claude
--
www.2xlibre.net
_______________________________________________
gull mailing list
gull@forum.linux-gull.ch
https://forum.linux-gull.ch/mailman/listinfo/gull</pre>
</blockquote>
</div>