• [^] # Re: La pétition ne mentionne pas les bonnes alternatives

    Posté par (site web personnel) . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 2 (+3/-2).

    Ça bloque 2 scénarios d’attaque :

    • le gamin qui demande un OTP à un de ses parents pour un jeu, qui le lui file sans se rendre compte que c’est un paiement de 100€ et pas un de 10€ comme convenu
    • le gamin qui demande un OTP à un de ses parent pour un jeu, qui le lui file sans se rendre compte que c’est pas pour acheter un jeu mais pour s’authentifier à l’interface de gestion de compte
    • la page de phishing qui annonce un paiement à 10€ mais qu’en fait le paiement validé par l’OTP est un de 1000€
    • la page de phishing qui annonce un paiement à 10€ mais qu’en fait ils sont en train de s’ajouter comme bénéficiaire à ton compte

    Dans les 2 cas : la banque doit avoir la certitude que la personne qui a communiqué l’OTP est bien consciente et du montant et du destinataire et de l’action (authentification, ajout du bénéficiaire, paiement, virement...), en particulier parce que le 3DS est irrévocable (donc y’a intérêt à pas avoir de litige sur le sujet ensuite)