Je pense qu'on ne pourra jamais être d'accord sur un point : tu considères que Google et Apple (et les constructeurs de mobile) sont des acteurs neutres de confiance alors que ce sont des violeurs massifs de privacités totalement sous contrôle d'une puissance étrangère hostile.
Je ne vois pas où j’ai dis ça. J’ai dit que les banques réclament actuellement des tiers de confiance, et elles ont choisi Google et Apple. Personne dans l’éco-système libre n’a été capable de proposer une alternative de toute façon.
Je répète encore : on est exactement dans la situation des root CA pré-Let's Encrypt. Un monde débile de root CA dont on a plus ou moins aucune confiance réelle (gouvernement français, chinois, russe, entités comme Google ou Apple, etc), mais qu’on a tout un éco-système qui ne permet PAS de s’en passer et la totalité du monde x509 dont HTTPS qui imposait de payer des milliers d’euro à ces CA pour avoir un bout de pseudo-certificat sans aucune assurance réelle derrière.
Il aura fallu attendre Let's Encrypt pour avoir une CA alternative « communautaire », et aucun des problèmes racines de x509 n’ont été résolu avec Let's Encrypt (au contraire, maintenant on a EN PLUS un énorme SPOF).
On en est exactement là avec le mobile et les banques. Les banques ont des obligations réglementaires, et les seuls aujourd’hui à savoir leur garantir une intégrité du logiciel, c’est actuellement Apple et Google.
Ça peut être tout ce que tu veux défaillant et unsafe, tout comme les root CA l’ont toujours été depuis le départ, c’est totalement inopérant pour justifier de remplacer un éco-système déjà existant.
[^] # Re: La pétition ne mentionne pas les bonnes alternatives
Posté par Aeris (site web personnel) . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 1 (+3/-3). Dernière modification le 02 mai 2026 à 19:37.
Je ne vois pas où j’ai dis ça. J’ai dit que les banques réclament actuellement des tiers de confiance, et elles ont choisi Google et Apple. Personne dans l’éco-système libre n’a été capable de proposer une alternative de toute façon.
Je répète encore : on est exactement dans la situation des root CA pré-Let's Encrypt. Un monde débile de root CA dont on a plus ou moins aucune confiance réelle (gouvernement français, chinois, russe, entités comme Google ou Apple, etc), mais qu’on a tout un éco-système qui ne permet PAS de s’en passer et la totalité du monde x509 dont HTTPS qui imposait de payer des milliers d’euro à ces CA pour avoir un bout de pseudo-certificat sans aucune assurance réelle derrière.
Il aura fallu attendre Let's Encrypt pour avoir une CA alternative « communautaire », et aucun des problèmes racines de x509 n’ont été résolu avec Let's Encrypt (au contraire, maintenant on a EN PLUS un énorme SPOF).
On en est exactement là avec le mobile et les banques. Les banques ont des obligations réglementaires, et les seuls aujourd’hui à savoir leur garantir une intégrité du logiciel, c’est actuellement Apple et Google.
Ça peut être tout ce que tu veux défaillant et unsafe, tout comme les root CA l’ont toujours été depuis le départ, c’est totalement inopérant pour justifier de remplacer un éco-système déjà existant.