[gull] Custom ROMs Android & BCN CrontoSign

Marc SCHAEFER schaefer at alphanet.ch
Tue May 19 19:54:34 CEST 2020 

Bonjour,

Jusqu'il y a quelques temps, la BCN permettait un login via ZTIC(*).  C'était
assez simple, mais pas très sécurisé par la faute de la BCN: seul le numéro de
contrat était nécessaire, pas de mot de passe, pour activer ensuite un login
ZTIC. Un ami a montré qu'on pouvait se logguer depuis une autre adresse IP via
social engineering (la personne croit valider un paiement et elle valide, sur
la ZTIC, un login tiers). De mémoire il a informé la banque qui a dit `vous
utilisez mal la clé BCN'. Mais passons, ce n'est plus exploité.

Aujourd'hui, on se loggue avec une application mobile: CrontoSign. Les
commentaires sur le Google Play sont plutôt négatifs, on parle d'application
bricolée. Par contre, ce qui est bien mieux est qu'il faut un login, un mot de
passe, puis on confirme le login via le CrontoSign.

Il y a deux modes de confirmation CrontoSign: scanner une image-code sur
l'écran de l'ordinateur qui se loggue (challenge de la banque), taper à la main
le code retourné; ou scanner l'image-code et c'est le smartphone qui parle
directement avec la banque, pas d'interaction au clavier (mode `push').

Mon problème: je ne veux pas acheter un smartphone tous les 3 ans.
Tous les 4 à 8 ans me convient. D'un autre côté, les fabricants ne supportent
l'OS de base que 2 à 3 ans. Donc j'ai installé LineageOS du 15 mai 2020,
et bien sûr mis à jour tous les logiciels du Google Play.

Problème avec CrontoSign:

   - sur un téléphone ancien non supporté NON MIS A JOUR, CrontoSign
     fonctionne (en mode avec interaction, pas en mode push -- erreur)

   - sur un téléphone ancien non supporté MIS A JOUR, CrontoSign
     fonctionne, mais la banque fait une erreur de `téléphone rooté' (alors
     que ce n'est pas le cas, c'est juste une custom ROM)

Donc, j'ai informé la banque que j'utiliserai un téléphone ancien non supporté
et non mis à jour pour me logguer. Comme mon mot de passe est assez long, que
mon ordinateur est à jour, je doute que cela soit exploitable. On verra leur
réaction.

Ma question: savez-vous s'il est possible avec LineageOS de faire croire
à une application comme CrontoSign que c'est une installation `standard'
de Android, ou ils fonctionnent avec des signatures et il faudrait tricher
en montrant un faux contenu de flash, grâce au MMU, comme certains virus
de BIOS PC?

PS: pour être complet, il est toujours possible de se logguer avec un
    équipement tout-en-un, une scanneuse à 50.-, mais je n'ai pas essayé.
PS/2: je préfère quand même la calculette de Postfinance ou les listes
      de code à biffer de SwissQuote ... simple, sûr, efficace -- si
      associé à un login et mot de passe, ce qui est le cas.

(*) clé USB développée par IBM qui crée un relais sécurisé via le PC;
    le logiciel est propriétaire mais fonctionne aussi sur OS standard Linux.

More information about the gull mailing list