Les téléphones se cassent ou se perdent. On peut même ajouter qu'un téléphone n'est PAS un périphérique de confiance.
La question n’est pas là. Mais que tu as beaucoup plus de chance de prendre soin d’un truc dorénavant omniprésent dans l’intégralité de ta vie quotidienne (à tord ou à raison) que d’un truc qui ne va te servir que ×ばつ dans le mois.
Et le « vrai » problème est surtout le côté « urgence » ou en tout cas non planifié de l’usage de la 2FA. Les périphériques dédiés sont justement dédiés et restreints à un cas d’usage souvent très limité (uniquement chez soi par exemple).
Tu ne peux pas non plus te permettre de te trimballer en permanence avec une valise de matériel dédié sur toi pour chaque usage. Personnellement j’ai 4 banques différentes par la force des choses, et je suis loin d’être le seul (37% de la population a au moins 2 banques).
C’est le côté pratique/omniprésent/dispo partout et en toute circonstance qui fait que le téléphone est plutôt une bonne idée.
On espère toujours ne pas être touché par cette situation, mais par exemple en cas de fraude, un conseiller peut te demander de t’authentifier par 2FA (Boursorama le fait ou en tout cas l’a fait par exemple). Tu n’as pas ton device sur toi ? T’es juste en train de te faire démolir ton compte par un escroc et ton conseiller ne peut pas bloquer les paiements sans ta 2FA. Au contraire le paiement est légitime et la banque suspecte une fraude et l’a bloqué ? Ton conseiller ne le laissera au contraire pas passer sans ton authentification. Ça peut être vite compliqué.
Tu as le plus confiance en quoi? Un téléphone facile à voler avec un android ou pire un iOS privateur et des services tout aussi privateurs ? Un PC de bureau ou un portable avec antivol et un vrai GNU/linux OS libre ?
La question n’est pas ce que TOI tu as le plus confiance mais ce en quoi LA BANQUE a le plus confiance. Cet OTP engage sa responsabilité pénale et financière de ta banque et justement pas (que) la tienne. Si tu parviens à prouver que l’OTP de ta banque ne répond pas aux principes de sécurité légaux, alors ta responsabilité est justement reporté sur la banque (un traitement validé par OTP légal rend irréfutable la responsabilité du client).
Et le problème est là : une banque ne PEUT PAS utiliser un système dont elle n’aurait pas la certification (et les assurances qui vont avec) sur la sécurité du système. Google et Apple les leur apporte. GNU/Linux non.
Et le vol est typiquement inclut dans les modèles de menace des systèmes de 2FA sur mobile (authentification par biométrie ou code personnel nécessaire). C’est bien de la 2FA et non de la 1FA, le seul facteur de possession ne suffisant pas et ne devant pas suffire à valider l’authentification et est couplé à un facteur de connaissance (code) ou d’identité (biométrie).
Je le répète : si les banques aiment les applis mobiles, ce n'est pas pour la sécurité.
Ce n’est pas non plus ce que j’ai dit. C’est essentiellement pour des critères de responsabilité/certification, de contrôle logiciel, et d’assurance. Couplé à des critères de tarif, de disponibilité, de facilité d’accès, de maintenance, etc.
Tout ça mélangé rend le choix du téléphone mobile pas si déconnant en pratique, même si effectivement pose quelques problèmes pour certains cas.
Et à l’inverse les solutions libres ou sur OS libre ou... ne répondent que difficilement aux exigences légales posés (certification, non modification du système, confiance de la banque en le système, contextualisation...).
[^] # Re: pétition
Posté par Aeris (site web personnel) . En réponse à la dépêche Démarches administratives et fracture numérique. Évalué à 2.
La question n’est pas là. Mais que tu as beaucoup plus de chance de prendre soin d’un truc dorénavant omniprésent dans l’intégralité de ta vie quotidienne (à tord ou à raison) que d’un truc qui ne va te servir que ×ばつ dans le mois.
Et le « vrai » problème est surtout le côté « urgence » ou en tout cas non planifié de l’usage de la 2FA. Les périphériques dédiés sont justement dédiés et restreints à un cas d’usage souvent très limité (uniquement chez soi par exemple).
Tu ne peux pas non plus te permettre de te trimballer en permanence avec une valise de matériel dédié sur toi pour chaque usage. Personnellement j’ai 4 banques différentes par la force des choses, et je suis loin d’être le seul (37% de la population a au moins 2 banques).
C’est le côté pratique/omniprésent/dispo partout et en toute circonstance qui fait que le téléphone est plutôt une bonne idée.
On espère toujours ne pas être touché par cette situation, mais par exemple en cas de fraude, un conseiller peut te demander de t’authentifier par 2FA (Boursorama le fait ou en tout cas l’a fait par exemple). Tu n’as pas ton device sur toi ? T’es juste en train de te faire démolir ton compte par un escroc et ton conseiller ne peut pas bloquer les paiements sans ta 2FA. Au contraire le paiement est légitime et la banque suspecte une fraude et l’a bloqué ? Ton conseiller ne le laissera au contraire pas passer sans ton authentification. Ça peut être vite compliqué.
La question n’est pas ce que TOI tu as le plus confiance mais ce en quoi LA BANQUE a le plus confiance. Cet OTP engage sa responsabilité pénale et financière de ta banque et justement pas (que) la tienne. Si tu parviens à prouver que l’OTP de ta banque ne répond pas aux principes de sécurité légaux, alors ta responsabilité est justement reporté sur la banque (un traitement validé par OTP légal rend irréfutable la responsabilité du client).
Et le problème est là : une banque ne PEUT PAS utiliser un système dont elle n’aurait pas la certification (et les assurances qui vont avec) sur la sécurité du système. Google et Apple les leur apporte. GNU/Linux non.
Et le vol est typiquement inclut dans les modèles de menace des systèmes de 2FA sur mobile (authentification par biométrie ou code personnel nécessaire). C’est bien de la 2FA et non de la 1FA, le seul facteur de possession ne suffisant pas et ne devant pas suffire à valider l’authentification et est couplé à un facteur de connaissance (code) ou d’identité (biométrie).
Ce n’est pas non plus ce que j’ai dit. C’est essentiellement pour des critères de responsabilité/certification, de contrôle logiciel, et d’assurance. Couplé à des critères de tarif, de disponibilité, de facilité d’accès, de maintenance, etc.
Tout ça mélangé rend le choix du téléphone mobile pas si déconnant en pratique, même si effectivement pose quelques problèmes pour certains cas.
Et à l’inverse les solutions libres ou sur OS libre ou... ne répondent que difficilement aux exigences légales posés (certification, non modification du système, confiance de la banque en le système, contextualisation...).