[gull] Custom ROMs Android & BCN CrontoSign

Sebseb01 gull at sebseb01.net
Tue May 19 20:55:34 CEST 2020


Bonsoir,

Je ne comprend pas pourquoi le millieu bancaire a autant de peine a utiliser les standart de l'authentification tel que l'U2F. Il me semble que postfinance est entraint de supprimer la calculette pour passer au smartphone :-/

J'ai fait le choix de prendre un smartphone certifier AndroidOne d'entrée de gamme pour cette tache. En effet Android One est sensé guarantir 2ans de mise a jour sur la dernière stable et encore 2 ans de mise a jour de sécurité (ce qui devrait durer plus que mon Fairphone, [/troll])

si quelqu'un a une meilleures solutions je suis intéressé--
Sebseb01



19 mai 2020 à 19:54 de schaefer at alphanet.ch:

> Bonjour,
>
> Jusqu'il y a quelques temps, la BCN permettait un login via ZTIC(*).  C'était
> assez simple, mais pas très sécurisé par la faute de la BCN: seul le numéro de
> contrat était nécessaire, pas de mot de passe, pour activer ensuite un login
> ZTIC. Un ami a montré qu'on pouvait se logguer depuis une autre adresse IP via
> social engineering (la personne croit valider un paiement et elle valide, sur
> la ZTIC, un login tiers). De mémoire il a informé la banque qui a dit `vous
> utilisez mal la clé BCN'. Mais passons, ce n'est plus exploité.
>
> Aujourd'hui, on se loggue avec une application mobile: CrontoSign. Les
> commentaires sur le Google Play sont plutôt négatifs, on parle d'application
> bricolée. Par contre, ce qui est bien mieux est qu'il faut un login, un mot de
> passe, puis on confirme le login via le CrontoSign.
>
> Il y a deux modes de confirmation CrontoSign: scanner une image-code sur
> l'écran de l'ordinateur qui se loggue (challenge de la banque), taper à la main
> le code retourné; ou scanner l'image-code et c'est le smartphone qui parle
> directement avec la banque, pas d'interaction au clavier (mode `push').
>
> Mon problème: je ne veux pas acheter un smartphone tous les 3 ans.
> Tous les 4 à 8 ans me convient. D'un autre côté, les fabricants ne supportent
> l'OS de base que 2 à 3 ans. Donc j'ai installé LineageOS du 15 mai 2020,
> et bien sûr mis à jour tous les logiciels du Google Play.
>
> Problème avec CrontoSign:
>
>  - sur un téléphone ancien non supporté NON MIS A JOUR, CrontoSign
>  fonctionne (en mode avec interaction, pas en mode push -- erreur)
>
>  - sur un téléphone ancien non supporté MIS A JOUR, CrontoSign
>  fonctionne, mais la banque fait une erreur de `téléphone rooté' (alors
>  que ce n'est pas le cas, c'est juste une custom ROM)
>
> Donc, j'ai informé la banque que j'utiliserai un téléphone ancien non supporté
> et non mis à jour pour me logguer. Comme mon mot de passe est assez long, que
> mon ordinateur est à jour, je doute que cela soit exploitable. On verra leur
> réaction.
>
> Ma question: savez-vous s'il est possible avec LineageOS de faire croire
> à une application comme CrontoSign que c'est une installation `standard'
> de Android, ou ils fonctionnent avec des signatures et il faudrait tricher
> en montrant un faux contenu de flash, grâce au MMU, comme certains virus
> de BIOS PC?
>
> PS: pour être complet, il est toujours possible de se logguer avec un
>  équipement tout-en-un, une scanneuse à 50.-, mais je n'ai pas essayé.
> PS/2: je préfère quand même la calculette de Postfinance ou les listes
>  de code à biffer de SwissQuote ... simple, sûr, efficace -- si
>  associé à un login et mot de passe, ce qui est le cas.
>
> (*) clé USB développée par IBM qui crée un relais sécurisé via le PC;
>  le logiciel est propriétaire mais fonctionne aussi sur OS standard Linux.
> _______________________________________________
> gull mailing list
> gull at forum.linux-gull.ch
> https://forum.linux-gull.ch/mailman/listinfo/gull
>



More information about the gull mailing list