[gull] Twint/DebiX+ et Android 8
magnus at magooweb.com
magnus at magooweb.com
Mon Jun 17 10:37:49 CEST 2024
Salut,
Il y a bientôt 5 ans, j'ai eu les mêmes discussions avec Postfinance
(https://magnus.anderssen.ch/longs/open_letter_to_postfinance/).
Plusieurs constats :
1. Ils ne maîtrisent pas tout dans les dépendances utilisées pour
fabriquer leurs app
2. Ils externalisent/achètent des solutions pour assurer la
sécurité qu'ils intègrent
3. La mise à jour des ces solutions cassent les vieilles versions
d'Android ou les systèmes pour cacher le rooting
4. Peu comprennent la notion de root/pas root
5. Ils préfèrent déléguer le problème à ton portefeuille et aux
fabricants
À l'époque, j'avais eu des messages d'employés plutôt techniques
pour me dire qu'ils ne comprenaient pas non plus les choix...
Concernant le 2FA standard, pas vu beaucoup de banques faire confiance
à autre chose que leurs app (qui implémente peut-être un standard
en sous-main) ou pire le SMS.
Salutations,
Magnus
On Monday, 17 June 2024 at 09:56, Claude Paroz via gull
<gull at forum.linux-gull.ch> wrote:
> Le 17.06.24 à 09:40, Marc SCHAEFER via gull a écrit :
>> Hello,
>>
>> On Mon, Jun 17, 2024 at 08:12:51AM +0200, Claude Paroz via gull wrote:
>>> Résultat des courses: un week-end passé à découvrir comment flasher une ROM
>>> Android libre (+ ajout des outils Google non libres pour pouvoir installer
>>> les apps sus-mentionnées) sur ce téléphone. Opération quasi impossible pour
>>> un non informaticien.
> ...
>> Toutefois, Krontosign (le machin de 2FA de la BCN) a refusé de
>> fonctionner en disant quelque chose comme "pas version officielle".
>> En remettant l'OS obsolète Samsung Android, ça marchait.
>
> Je n'utilise pas Crontosign sur ce téléphone, mais j'ai obtenu une
> réponse similaire pour l'appli 2FA MobileID imposée par les messageries
> du canton de Neuchâtel, mais heureusement le message d'incompatibilité
> n'est pas (encore?) bloquant pour son utilisation.
> Il vaudrait peut-être la peine de réfléchir à la contestation en justice
> de ce type de contrôle.
>
>> J'ai ensuite posé la question à la BCN: vous préférez un OS à jour sur
>> un vieux téléphone, ou un OS pas à jour; leur réponse: quelque chose
>> comme "achetez un nouveau téléphone".
>
> Selon moi, ce genre de réponse devrait pouvoir être pénalement
> répréhensible (dans la logique du jugement récent de la Cour européenne
> concernant l'inaction climatique), mais il faudra encore travailler dans
> les mentalités et le droit pour que ça le soit réellement.
>
>> Depuis, je suis passé à Pixel 7a, qui normalement devrait avoir 5 ans de
>> mises à jour ... c'est déjà mieux que les 18 mois du Pixel 4a (de
>> mémoire).
>
> Saluons ce progrès, mais pour moi c'est encore très insuffisant.
>
>> PS: et bien sûr, il y a au moins 3 logiciels différents pour faire du
>> 2FA standard sous Android, donc 1 libre me semble-t-il.
>
> J'utilise depuis longtemps du libre pour le 2FA standard (Aegis), et il
> y en a même plusieurs.
>
> À+
>
> Claude
> --
> www.2xlibre.net
>
> _______________________________________________
> gull mailing list
> gull at forum.linux-gull.ch
> https://forum.linux-gull.ch/mailman/listinfo/gull
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://forum.linux-gull.ch/pipermail/gull/attachments/20240617/4a53e3df/attachment.html>
More information about the gull
mailing list