Mon banquier et F-Droid

JMV · December 21, 2019, 5:49pm

Bonjour,
je suis nouveau sur le forum.
Pour satisfaire semble-t-il à une directive européenne mon banquier met en place un mécanisme “d’authentification forte” qui passe par une application mobile disponible uniquement sur Play Store de Google. Je lui ai demandé pourquoi son application n’était pas disponible sur F-Droid et voici sa réponse :

La plateforme d’application F-Droid est jailbreaké ou rooté. Le système d’exploitation (iOS ou Android) a été modifié par rapport au système fourni par le fabricant du téléphone.

Ces modifications permettent de contourner les sécurités mises en place par le fabricant. Elles permettent à une application d’accéder à des données d’autres applications ou d’interagir avec elles de manière non autorisée.

Pour cette raison, nous ne pouvons garantir une authentification sécurisée de notre application mobile sur ce type d’appareil.

J’ai nettement l’impression qu’on me raconte des bobards. En particulier je me demande comment un magasin d’applications peut-être jailbreaké ou routé. D’autre part j’utilise le système d’exploitation fourni par le fabricant sans l’avoir modifié (FairPhone Open OS sur FairPhone 2).
J’aurais donc besoin qu’un Guru de F-droid me fournisse des arguments pour répondre à mon banquier.
Merci de votre aide.

Primokorn · December 21, 2019, 6:55pm

Bonjour, (et bienvenue sur F-Droid )

Ça n’a effectivement aucun sens. Je peux te donner des arguments mais ça ne servira à rien. Des libristes purs et durs ont du tout simplement quitter leur banque. Des personnes de l’association April.org en ont fait les frais par exemple.

Jamais une banque ne publiera son application sur F-Droid.

F-Droid est un magasin d’applications Android alternatif comme celui de Samsung, Huawei, etc… sauf qu’en plus il ne propose que des applications libres et open sources. Tout le code est 100% auditable.

Le root n’a absolument rien à voir avec tout ça. Pour installer F-Droid et les applications qu’il propose, il suffit d’activer les “sources inconnues” dans les paramètres du téléphone.
À dispo pour en discuter mais on perdrait tous notre temps, désolé. Les utilisateurs n’ayant pas Google Play sur leur appareil Android doit représenter maximum 0,001% de leurs clients…

Licaon_Kter · December 21, 2019, 9:17pm

Do reply to them and ask them why do they lie about F-Droid? Because that’s a lie, as explained above ^^^

nuntius35 · December 21, 2019, 9:44pm

À mon avis ce serait bien si tu réponds à ton banquier. Il semble que la personne qui t’a donné la réponse ne comprend pas F-Droid. En lui expliquer tu contribues à la dissémination du savoir sur logiciel libre.

Comme @Primokorn as dite, le root n’a absolument rien à voir avec tout ça. Sur FairPhone Open OS, l’Extension Privilégiée de F-Droid est même inclus dans le système. C’est pourquoi il n’est pas nécessaire d’activer les « sources inconnues ».

Le projet F-Droid comprend au moins deux choses différentes :

un magasin d’applications qui sont 100 % libres. Pour publier une application chez F-Droid, ta banque devrait mettre à la disposition le code source. C’est probablement un problème puisque ta banque veut garder le code en secret. Quand même je trouve que c’est une bonne question de poser à la banque : Le code source, pourquoi n’est-il pas publié ? C’est la seule façon comme les clients peuvent avoir confiance à l’application.
F-Droid, c’est aussi une application Android pour installer d’applications de plusieurs dépôts. Il n’est pas obligatoire que ces dépôts alternatifs ne contiens que du logiciel libre. Tu pourrais demander, si la banque peut offrir un dépôt F-Droid (qui est totalement sous le contrôle de la banque) dont on peut installer l’application. Ce serait vraiment un bon service pour tous les clients qui préfèrent de ne se soumettre pas sous la dominance de Google.

nuntius35 · December 21, 2019, 9:49pm

I think that “lie” is a strong word and I don’t think they do it on purpose. I might be wrong but I imagine this: The probability that a person in a bank who replies to customer requests has any technical understanding of a niche software like F-Droid is rather low. Root is a common problem that banking software tries to avoid and it is thus contained in any generic response about such problems.

Licaon_Kter · December 21, 2019, 9:55pm

All this is useless anyway, I bet the banking app uses SafetyNet so devices “qui préfèrent de ne se soumettre pas sous la dominance de Google” won’t work anyway. Basically the user needs to ASK GOOGLE for permission to use this app.

nuntius35 · December 21, 2019, 10:00pm

Interesting, I didn’t know about this SafetyNet. Nevertheless, I don’t think it’s completely useless to ask companies about such issues. In the end, also the banks become dependent on Google and I also think that’s not in their interest. By repeatedly inquiring one can only hope that one eventually reaches someone who finally starts thinking…

JMV · December 22, 2019, 4:21pm

Merci à Primokorn, Licaon_Kter et nuntius35 pour leurs réponses rapides.
Je sais bien que cela ne changera rien mais je vais répondre à mon banquier pour:
1°) pointer l’énormité proférée sur le magasin F-Droid,
2°) montrer qu’il ne propose pas de solution pour mon smartphone qui tourne sous Fairphone Open OS et lui réclamer une solution alternative,
3°) lui demander si c’est par crainte qu’on y découvre des failles qu’il refuse de publier son code source.
4°) Lui demander s’il a réfléchi aux risques d’être aussi dépendant de Google.
D’autre part, je suis curieux de savoir ce qui est arrivé aux memebres de April.org ou aux libristes purs et durs qui ont dû quitter leur banquier.
Cordialement,
JMV.

hotlittlewhitedog · December 23, 2019, 3:00pm

Cela dit mettre une application banquaire en open source, c’est se tirer une balle dans le pied.
Tout le monde pourra analyser le code.

Primokorn · December 24, 2019, 9:40am

Et alors ? Je ne vois pas le problème.
C’est pas parce-qu’une application est open source qu’elle n’est plus sécurisée. Regarde Bitwarden par exemple, un gestionnaire de mots de passe 100% open source (serveur et client).

JMV · December 27, 2019, 9:14am

En matière de chiffrement, quand il s’agit d’analyser un algorithme, la communauté scientifique qui s’occupe de cryptographie fait une hypothèse initiale : l’algorithme est public. La sécurité vient d’ailleurs.
Les meilleurs algorithmes de cryptage utilisés actuellement sont publics.
Autre intérêt de publier le code : cela empêche de développer des fonctionnalités cachées.

hotlittlewhitedog · December 27, 2019, 5:43pm

Vous ne comprenez pas qu’une banque, c’est comme une centrale nucléaire, le pentagon ou un casino en ligne.

La moindre faille trouvée peut tout compromettre.

Primokorn · December 28, 2019, 1:31pm

Alors là désolé mais ça devient n’importe quoi cette discussion.

JMV · January 22, 2020, 11:36am

Suite (et probablement fin) de la discussion.
Je suis allé directement discuter du Pb avec mon banquier (en fait j’en ai deux) pour leur demander une solution alternative.
1er banquier :
l’authentification forte se fait par l’envoi d’un code par SMS, si vous n’e pouvez pas recevoir de SMS, vous n’êtes pas concerné par l’authentification forte.
Deuxième banquier : l’envoi d’un code par SMS est une solution transitoire, si je ne peux pas utiliser l’appli, le banquier me DONNE un terminal pour flasher le QR-code affiché sur son site, l’authentification est valide 90 jours

lisa47 · March 2, 2020, 1:12pm

Il semble qu’ils cherchent une excuse pour ne pas publier sur f-droid. Peut-être qu’ils ne veulent pas développer un meilleur soft et qu’ils veulent donc rester sur l’ancienne version

JMV · March 2, 2020, 4:31pm

Ils n’imaginent pas de publier leur code. Ils s’imaginent que la première sécurité est le secret de leurs algorithmes, ce qui est faux. Mais allez faire comprendre ça à un conseiller !

J’ai finalement compris le fin mot de l’histoire.
L’Union Européenne les force à mettre en place une authentification forte. Normalement cela exige que le client dispose d’un terminal qui scanne des QR-codes et qui coûte autour de 30 €. Pour gratter sur ce coût et éviter de fournir le terminal à chacun de leurs clients, ils ont écrit une application pour smartphone qui fait le boulot. Ils gagnent 30 € à chaque fois qu’un client accepte de télécharger leur application.

La situation s’est débloquée très vite lorsque j’ai dit :
“Le constructeur de mon smartphone recommande le magasin F-Droid, votre application n’est pas disponible sur ce magasin, quelle solution alternative me proposez-vous ?”
Immédiatement la solution du terminal, qu’ils appellent DIGIPASS, est arrivée sur la table. Je suis reparti avec leur DIGIPASS dans la poche sans rien payer.

Je suis aussi trésorier d’une petite, mais alors très petite association qui possède un compte chez un autre banquier. Pour le coup cette association n’a pas, et ne peut pas se payer, de smartphone.
J’ai posé la question de l’authentification forte.
La réponse de cet autre banquier : “vous n’êtes pas concerné par l’authentification forte”.
J’en déduis que c’est lui qui assume tous les risques. mais je vais lui reposer la question par écrit et demander aussi une réponse par écrit.
Voilà.

lisa47 · March 3, 2020, 2:40pm

C’est plus logique que ce que je pensais, merci Je pense que vous devez également examiner cet article de blog pour y trouver quelques conseils et astuces supplémentaires.

JMV · March 3, 2020, 3:32pm

Les personnes qui n’ont pas de smartphone peuvent demander à leur banquier “Quelle solution alternative me proposez-vous ?”
Et là le banquier a deux solutions
1°) il fournit gratuitement le terminal à son client.
2°) il assume les risques (mais le client a intérêt à lui faire préciser par écrit)

marceloeatworld · April 4, 2020, 5:35pm

Salut,
absolument

marceloeatworld · April 4, 2020, 7:52pm

Super merci pour l’info