• [^] # Re: La pétition ne mentionne pas les bonnes alternatives

    Posté par (site web personnel) . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 1 (+2/-2).

    Tu peux faire une extension qui s'assure que tous les paramètres sont bon.

    Très très très difficile à faire en réalité. Les API pour détecter les certificats TLS ont même été révoqués des manifests Mozilla (ce qui a cassé l’extension DANE-TLSA par exemple : https://www.dnssec-validator.cz/)

    Et même à ce que tu t’assures de DNS et de HTTPS, tu n’as pas de moyen de t’assurer que le contenu récupéré est le bon.

    Mais bon ton appli elle peut fonctionner sur un téléphone rooté, ses certificats ont put être modifié dans l'appli, toutes les failles du téléphone n'ont pas forcément été corrigées

    Justement, les banques cherchent à détecter les téléphones rootés pour empêcher l’usage de l’application dans un tel cas.

    Ah oui et elle peut avoir été remplacée par une en tout point identique.

    Pas « en tout point identique » sinon ça n’aurait aucun intérêt.
    Et c’est justement le but de Play Integrity de garantir que le code est légitime, avec une certification via l’OS (oui, l’application ne peut pas elle-même faire cette vérification, ça n’aurait aucun sens « coucou, est-ce que tu es légitime ? » « oui » « ok, super » 🤣)

    C’est pour ça qu’il y a un protocole de validation mis en place par Google et Apple qui assurent à la banque (encore une fois, ta sécu à toi n’est PAS le problème) que ton application est légitime, que ton OTP affichera bien le montant et le destinataire, et donc que ta validation 3DS est bien irrévocable et qu’elle peut en déclencher le paiement.

    Si elle n’a pas la garantie de cette irrévocabilité, alors elle est en train de parier avec sa thune sur la légitimité de la transaction et qu’elle n’aura pas à te rembourser avec sa thune si tu la contestes ultérieurement.