• # Androïdes

    Posté par . En réponse au journal Échanges avec le support technique de Paypal concernant l'authentification à deux facteurs. Évalué à 2.

    1. Rappelons que que la 2FA ne protège QUE contre la menace d'obtention du mot de passe en clair à l'exclusive de tous les autres types.

    2. La question de la concurrence (offre, demande, "change de banque") ne sont plus valables (DSP2)

    3. Dans le temps il existait des cartes à numéros : 100x plus pratiques et moins coûteuses que la 2FA imposée actuellement (pas de SIM-jacking, fonctionne sans les vulnérabilités propres aux smartphone-sous-Android-sur-GSM-avec-batterie).
      Du genre...

    4. Puisque la 2FA est optionnel pour utiliser les services bancaire lorsque le périphérique est un smartphone [Puisqu'un accès root au mobile donne accès aux SMS y compris de manière dissimulée, il n'y a plus de second facteur]), la solution de la carte à numéros s'avérait donc plus sécurisée aussi.

    Les services IT des banques y ont certainement pensé mais leurs directions n'ont pas fait ce choix. Donc la question est probablement moins économique ou sécuritaire qu'idéologique et, à mon avis, liée à :
    - la géolocalisation inhérente aux smartphones
    - l'objectif de "banalisation" du smartphone
    - Le fait de dépendre d'un objet complexe qui risque d'être perdu facilitera le travail lorsqu'il s'agira de promouvoir des puces sous-cutanées ("Plus de problème de GSM, promis, accédez à votre compte même depuis l'étranger sans téléphone, ...")

    Ainsi la 2FA-smartphone n'est qu'une transition durant laquelle il s'agit de créer le problème qui appellera ensuite une solution bien spécifique : l'authentification majoritairement biométrique qui nous est apparemment promise.

    Questions :
    - Quelqu'un a-t-il pu réussi à faire tourner Secur'Pass (caisse d'épargne / crédit-coop) sous anbox ?
    - Quelqu'un a-t-il déjà décompilé l'app' afin d'identifier l'algo et l'implémenter de manière ouverte ?