[gull] Twint/DebiX+ et Android 8

magnus at magooweb.com magnus at magooweb.com
Mon Jun 17 10:37:49 CEST 2024 

Salut,

Il y a bientôt 5 ans, j'ai eu les mêmes discussions avec Postfinance
(https://magnus.anderssen.ch/longs/open_letter_to_postfinance/).

Plusieurs constats :

1. Ils ne maîtrisent pas tout dans les dépendances utilisées pour
fabriquer leurs app
2. Ils externalisent/achètent des solutions pour assurer la
sécurité qu'ils intègrent
3. La mise à jour des ces solutions cassent les vieilles versions
d'Android ou les systèmes pour cacher le rooting
4. Peu comprennent la notion de root/pas root
5. Ils préfèrent déléguer le problème à ton portefeuille et aux
fabricants

À l'époque, j'avais eu des messages d'employés plutôt techniques
pour me dire qu'ils ne comprenaient pas non plus les choix...

Concernant le 2FA standard, pas vu beaucoup de banques faire confiance
à autre chose que leurs app (qui implémente peut-être un standard
en sous-main) ou pire le SMS.

Salutations,

Magnus

 On Monday, 17 June 2024 at 09:56, Claude Paroz via gull
<gull at forum.linux-gull.ch> wrote: 

> Le 17.06.24 à 09:40, Marc SCHAEFER via gull a écrit :
>>  Hello,
>>  
>>  On Mon, Jun 17, 2024 at 08:12:51AM +0200, Claude Paroz via gull wrote:
>>>  Résultat des courses: un week-end passé à découvrir comment flasher une ROM
>>>  Android libre (+ ajout des outils Google non libres pour pouvoir installer
>>>  les apps sus-mentionnées) sur ce téléphone. Opération quasi impossible pour
>>>  un non informaticien.
> ...
>>  Toutefois, Krontosign (le machin de 2FA de la BCN) a refusé de
>>  fonctionner en disant quelque chose comme "pas version officielle".
>>  En remettant l'OS obsolète Samsung Android, ça marchait.
> 
> Je n'utilise pas Crontosign sur ce téléphone, mais j'ai obtenu une 
> réponse similaire pour l'appli 2FA MobileID imposée par les messageries 
> du canton de Neuchâtel, mais heureusement le message d'incompatibilité 
> n'est pas (encore?) bloquant pour son utilisation.
> Il vaudrait peut-être la peine de réfléchir à la contestation en justice 
> de ce type de contrôle.
> 
>>  J'ai ensuite posé la question à la BCN: vous préférez un OS à jour sur
>>  un vieux téléphone, ou un OS pas à jour; leur réponse: quelque chose
>>  comme "achetez un nouveau téléphone".
> 
> Selon moi, ce genre de réponse devrait pouvoir être pénalement 
> répréhensible (dans la logique du jugement récent de la Cour européenne 
> concernant l'inaction climatique), mais il faudra encore travailler dans 
> les mentalités et le droit pour que ça le soit réellement.
> 
>>  Depuis, je suis passé à Pixel 7a, qui normalement devrait avoir 5 ans de
>>  mises à jour ...  c'est déjà mieux que les 18 mois du Pixel 4a (de
>>  mémoire).
> 
> Saluons ce progrès, mais pour moi c'est encore très insuffisant.
> 
>>  PS: et bien sûr, il y a au moins 3 logiciels différents pour faire du
>>       2FA standard sous Android, donc 1 libre me semble-t-il.
> 
> J'utilise depuis longtemps du libre pour le 2FA standard (Aegis), et il 
> y en a même plusieurs.
> 
> À+
> 
> Claude
> -- 
> www.2xlibre.net
> 
> _______________________________________________
> gull mailing list
> gull at forum.linux-gull.ch
> https://forum.linux-gull.ch/mailman/listinfo/gull
 
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://forum.linux-gull.ch/pipermail/gull/attachments/20240617/4a53e3df/attachment.html>

More information about the gull mailing list