Mon banquier et F-Droid

Bonjour,
je suis nouveau sur le forum.
Pour satisfaire semble-t-il à une directive européenne mon banquier met en place un mécanisme “d’authentification forte” qui passe par une application mobile disponible uniquement sur Play Store de Google. Je lui ai demandé pourquoi son application n’était pas disponible sur F-Droid et voici sa réponse :

La plateforme d’application F-Droid est jailbreaké ou rooté. Le système d’exploitation (iOS ou Android) a été modifié par rapport au système fourni par le fabricant du téléphone.

Ces modifications permettent de contourner les sécurités mises en place par le fabricant. Elles permettent à une application d’accéder à des données d’autres applications ou d’interagir avec elles de manière non autorisée.

Pour cette raison, nous ne pouvons garantir une authentification sécurisée de notre application mobile sur ce type d’appareil.

J’ai nettement l’impression qu’on me raconte des bobards. En particulier je me demande comment un magasin d’applications peut-être jailbreaké ou routé. D’autre part j’utilise le système d’exploitation fourni par le fabricant sans l’avoir modifié (FairPhone Open OS sur FairPhone 2).
J’aurais donc besoin qu’un Guru de F-droid me fournisse des arguments pour répondre à mon banquier.
Merci de votre aide.

1 Like

Bonjour, (et bienvenue sur F-Droid :slight_smile: )

Ça n’a effectivement aucun sens. Je peux te donner des arguments mais ça ne servira à rien. Des libristes purs et durs ont du tout simplement quitter leur banque. Des personnes de l’association April.org en ont fait les frais par exemple.

Jamais une banque ne publiera son application sur F-Droid.

F-Droid est un magasin d’applications Android alternatif comme celui de Samsung, Huawei, etc… sauf qu’en plus il ne propose que des applications libres et open sources. Tout le code est 100% auditable.

Le root n’a absolument rien à voir avec tout ça. Pour installer F-Droid et les applications qu’il propose, il suffit d’activer les “sources inconnues” dans les paramètres du téléphone.
À dispo pour en discuter mais on perdrait tous notre temps, désolé. Les utilisateurs n’ayant pas Google Play sur leur appareil Android doit représenter maximum 0,001% de leurs clients…

Do reply to them and ask them why do they lie about F-Droid? Because that’s a lie, as explained above ^^^

À mon avis ce serait bien si tu réponds à ton banquier. Il semble que la personne qui t’a donné la réponse ne comprend pas F-Droid. En lui expliquer tu contribues à la dissémination du savoir sur logiciel libre.

Comme @Primokorn as dite, le root n’a absolument rien à voir avec tout ça. Sur FairPhone Open OS, l’Extension Privilégiée de F-Droid est même inclus dans le système. C’est pourquoi il n’est pas nécessaire d’activer les « sources inconnues ».

Le projet F-Droid comprend au moins deux choses différentes :

  1. un magasin d’applications qui sont 100 % libres. Pour publier une application chez F-Droid, ta banque devrait mettre à la disposition le code source. C’est probablement un problème puisque ta banque veut garder le code en secret. Quand même je trouve que c’est une bonne question de poser à la banque : Le code source, pourquoi n’est-il pas publié ? C’est la seule façon comme les clients peuvent avoir confiance à l’application.

  2. F-Droid, c’est aussi une application Android pour installer d’applications de plusieurs dépôts. Il n’est pas obligatoire que ces dépôts alternatifs ne contiens que du logiciel libre. Tu pourrais demander, si la banque peut offrir un dépôt F-Droid (qui est totalement sous le contrôle de la banque) dont on peut installer l’application. Ce serait vraiment un bon service pour tous les clients qui préfèrent de ne se soumettre pas sous la dominance de Google.

I think that “lie” is a strong word and I don’t think they do it on purpose. I might be wrong but I imagine this: The probability that a person in a bank who replies to customer requests has any technical understanding of a niche software like F-Droid is rather low. Root is a common problem that banking software tries to avoid and it is thus contained in any generic response about such problems.

1 Like

All this is useless anyway, I bet the banking app uses SafetyNet so devices “qui préfèrent de ne se soumettre pas sous la dominance de Google” won’t work anyway. Basically the user needs to ASK GOOGLE for permission to use this app.

1 Like

Interesting, I didn’t know about this SafetyNet. Nevertheless, I don’t think it’s completely useless to ask companies about such issues. In the end, also the banks become dependent on Google and I also think that’s not in their interest. By repeatedly inquiring one can only hope that one eventually reaches someone who finally starts thinking…

1 Like

Merci à Primokorn, Licaon_Kter et nuntius35 pour leurs réponses rapides.
Je sais bien que cela ne changera rien mais je vais répondre à mon banquier pour:
1°) pointer l’énormité proférée sur le magasin F-Droid,
2°) montrer qu’il ne propose pas de solution pour mon smartphone qui tourne sous Fairphone Open OS et lui réclamer une solution alternative,
3°) lui demander si c’est par crainte qu’on y découvre des failles qu’il refuse de publier son code source.
4°) Lui demander s’il a réfléchi aux risques d’être aussi dépendant de Google.
D’autre part, je suis curieux de savoir ce qui est arrivé aux memebres de April.org ou aux libristes purs et durs qui ont dû quitter leur banquier.
Cordialement,
JMV.

Cela dit mettre une application banquaire en open source, c’est se tirer une balle dans le pied.
Tout le monde pourra analyser le code.

Et alors ? Je ne vois pas le problème.
C’est pas parce-qu’une application est open source qu’elle n’est plus sécurisée. Regarde Bitwarden par exemple, un gestionnaire de mots de passe 100% open source (serveur et client).

En matière de chiffrement, quand il s’agit d’analyser un algorithme, la communauté scientifique qui s’occupe de cryptographie fait une hypothèse initiale : l’algorithme est public. La sécurité vient d’ailleurs.
Les meilleurs algorithmes de cryptage utilisés actuellement sont publics.
Autre intérêt de publier le code : cela empêche de développer des fonctionnalités cachées.

Vous ne comprenez pas qu’une banque, c’est comme une centrale nucléaire, le pentagon ou un casino en ligne.

La moindre faille trouvée peut tout compromettre.

Alors là désolé mais ça devient n’importe quoi cette discussion.

Suite (et probablement fin) de la discussion.
Je suis allé directement discuter du Pb avec mon banquier (en fait j’en ai deux) pour leur demander une solution alternative.
1er banquier :
l’authentification forte se fait par l’envoi d’un code par SMS, si vous n’e pouvez pas recevoir de SMS, vous n’êtes pas concerné par l’authentification forte.
Deuxième banquier : l’envoi d’un code par SMS est une solution transitoire, si je ne peux pas utiliser l’appli, le banquier me DONNE un terminal pour flasher le QR-code affiché sur son site, l’authentification est valide 90 jours

Mastodon