Suivre

Ma banque m'envoie un courrier postal : "Si vous n'avez pas installé notre application SécuriPass pour valider vos paiements en ligne, désormais pour vos achats en ligne, en plus du code SMS, vous devrez tapez ce code à 4 caractère: [imprimé sur la feuille]."

Expliques-moi quelle sécurité à la con ça apporte de devoir retaper ce code FIXE à chaque paiement en ligne ?
Genre quel apport de sécurité par rapport à un fucking TOTP ??? 🤦‍♂️

Bon au moins ils ne m'imposent pas leur application à la con.

@sebsauvage c'est un code qui ne sera pas renvoyé, si une personne a accès à ce téléphone, elle n'a normalement pas accès à ce courrier, dans l'idée.

On est d'accord, c'est un peu alambiqué, mais entre ça et une appli, je préfère ça.

@sebsauvage en toute logique s'ils se conforment à la "nouvelle" règlementation européen DPS2, alors tu devrais pas tarder à voir poindre une demande d'installation sur ton smartphone ou si tu comme moi tu fais de la résistance, ils t'imposeront l'achat d'un "digipass" pour faire les achats en ligne…

@sebsauvage sms + code.

Un hacker peut hijacker le SMS. Le code sur papier plus difficile...

@sebsauvage au Japon on a une carte de sécurité... En troisième facteur. =_=

@nicod_ j'ai pas la télévision et internet. Je fais comment pour voir cyberpunk 2077 ? Y'avais pas un jeu de rôles là dessus. Genre Heroes gammes (désolé mode vieux con)

@Olivierrobert Je parlais du jeu vidéo, inspiré du jeu de rôle "papier" (ou de table) effectivment.

@benoit @sebsauvage Pourtant un hâcheur manie d'abord les arbres nécessaire à produire une bonne part de la pâte à papier que nous utilisons ^^. On peut le faire avec d'autres types de fibre végétales comme certaines des hautes herbes. Le processus n'est d'ailleurs pas si compliqué. des fibres végétales, de la coll végétale, de l'eau, des bons séchoirs et quelques cl d'huile de coude.

Sinon, c'est cool de voir que l'application à la con n'est pas imposée. Je me suis mis à leur service en ligne depuis quelques mois, j'ai sans arrêt ce gros encadré sur l'importance d'installer l'app. J'ai envie de le filtrer avec µblock+ mais je me dis qu'il y aura peut être une utilisation un jour. C'est un peu comme les vieux fichiers ou les cartons qu'on n'ose pas jeter parce qu'on se dit qu'on l'utilisera bien un jour, mais qu'on n'utilisera jamais.

@popolon @benoit

Là disons que le courrier qu'ils m'ont envoyé est plutôt encourageant: Il envisage qu'on installe pas du tout leur application.

@benoit
Un hacker peut encore plus facilement hijacker l'ordinateur sur lequel je vais taper ce code.

@sebsauvage Moi ce qui me fait rire, c’est l’absurdité de la loi qui fait que le TOTP ça passe pas, mais que SMS (pour le contexte) + code fixe ça passe.

Ou alors ils sont toujours pas conformes malgré ce qu’ils disent, et ont négocié ça comme solution temporaire avant de faire autre chose, et dans deux ans on recommence :D

@sebsauvage J'ai eu la même, sauf que je l'ai appris au moment où j'ai voulu faire un paiement...

J'ai utilisé PayPal (solde de 0, donc au final la même CB) et j'ai rien eu comme code spécifique (ni 3d secure, ni sécuricode)...

@sebsauvage

Quelle banque ?
Moi je ne peux même plus faire un virement maintenant...

(et @aeris expliquait bien que TOTP n'est pas conforme DSP2 car le code à confirmer doit être lié à la transaction)
(et bien sûr un code unique ne l'est pas non plus, hein)

@lienrag @sebsauvage Wé mais là quitte à foutre un code en dur non contextuel, ils auraient pu filer du TOTP… M’enfin c’est vrai qu’a priori ça s’adresse à des personnes sans mobile. Du coup TOTP pas forcément plus dispo…

@lienrag @aeris

Crédit Agricole.
Ils m'avaient déjà copieusement emmerdé avec leur application merdique (géolocalisation, plantages, serveur non disponible...)

J'avais gueulé, ils m'avaient désactivé SécuriPass. Heureusement.

@sebsauvage

T'as de la chance, à la Banque Postale ils ne veulent rien faire...

@sebsauvage @lienrag @aeris
Même problème chez moi, avec la même banque. Et sans l'application, impossible d'augmenter le plafond de dépense autrement qu'en se déplaçant en agence (pratique quand tu es en vacance, et que le CA fonctionne par région). Sinon, ça existe une banque qui prends pas la tête à distance ? Les banques en lignes peut-être ?

@sebsauvage pour la mienne j’avais le choix entre l’appli et un boitier qui génère un code unique à partir de ma CB. Le boitier est gratuit, j’ai opté pour cette solution.

@Sans_DeC @sebsauvage tiens, t'as de la chance, moi le boîtier est payant (bon ça reste achat unique, mais 30 € quand même).

C'est pas obligatoire dans le DSP2 une solution alternative pour ceux qui n'ont pas de smartphone d'ailleurs ?

@sebsauvage ca matin pour une asso où je suis Trésorier

Ajouter un RIB d'un fournisseur: connecter site web + validation appli + ajouter un RIB + revalider sur le smartphone puis la carte avec le "toucher coulé" genre quel est le chiffre en A8, puis re valider par empreinte sur smartphone.
Et pour effectuer le gros virement: toujours depuis le site Web, 2x valider par empreinte sur le smartphone

Bon là c'est sûr je ne pourrai pas me plaindre comme quoi c'est une usurpation d'identité ;)

@sebsauvage oubli: j'ai aussi du entrer 2x le "code secret" en 6 chiffres (qu'heureusement j'ai retrouvé !)

@Arfy @sebsauvage L'enfer :(. C'est génial les automatisations !!! Ça commence à redevenir pertinent d'envoyer des chèques du coup.

@sebsauvage On doit avoir la même banque, j'ai reçu un courrier lunaire aussi 🤣

@sebsauvage Comme un con j'ai activé la fonction sur l'application à la con :facepalm:.

Je ne comprends pas pourquoi ils ne passent pas par de l'OTP standard, c'est incompréhensible.

@Yahiko

Comme disais @aeris, c'est parce que DSP2 précise que le code doit être dépendant de la transaction (ce qui n'est pas le cas de TOTP).

@sebsauvage Ahuuuuun ok !
Reste que c'est chiant. Et le code fixe complètement con (j'ai reçu le même courrier).

@aeris

@sebsauvage @Yahiko @aeris
En quoi le code fixe répond a "il faut que le code soit dépendant de la transaction" ?
Un sms récupérer par un hacker ne permet pas au hacker de faire la même chose que moi sur le même ordi au même moment non ?
Ça me parait beaucoup plus sécurisé que le code sur papier qui traîne à la maison, mais bon, je répète ce que vous dites tous non ?
Mais je suis concernée aussi :p
-Simaj

@sebsauvage C'est comme les codes à 6 chiffres. Combien de dates de naissances utilisées pour ça ?

@sebsauvage la sécurité supplémentaire c'est que quelqu'un qui intercepterait le SMS ne pourrait pas valider...

Mais oui un TOTP serait bienvenu...

Inscrivez-vous pour prendre part à la conversation
Framapiaf

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !