• [^] # Re: La pétition ne mentionne pas les bonnes alternatives

    Posté par (site web personnel) . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 1 (+1/-1).

    Et tu remarqueras que malgré tout y'en a qui arrivent a court-circuiter play integrity.

    Le « 100% secure » n’est pas ce qui intéresse les banques, mais le « 100% assuré ». C’était comme avec x509 et les root CA, l’éco-système s’en contrefoutait d’avoir des trous béants un peu partout, tout le monde payait (cher) pour s’assurer. Et ça convenait à tout le monde.

    ça coûterai que dalle aux banques de faire une appli opensource qui peut fonctionner sur tout les téléphone donnant les information nécessaire au paiement avec un lien à ouvrir vers une app, qui pourrait aussi être affiché via un qr-code sur ton écran de PC.

    Ça coûterait extrêmement cher aux banques. Comme dit avec une appli opensource, la banque ne pourrait plus (plus ou moins) prouver que le montant, destinataire et action t’ont bien été affiché.
    Ça implique donc... la révocabilité de la SCA, et donc... que les banques devraient te rembourser TOUS les paiements que tu ferais si tu les contestais.

    Tu pourrais même pousser le vice pour demander que le qr-code soit affiché sur le site de la banque avec une adresse visible et intelligible, pas comme le sous domaine de la banque postale qui fait fuir.

    Le problème n’est pas ce qr-code. Ça a même été mis en place par certaines banques à une époque. Le problème est le code qui va lire et afficher ce qr-code.
    C’est nécessairement l’application de ta banque, qui doit nécessairement se défendre contre modification possible de son code, et c’est ce morceau qui interdit actuellement root et non Google sur ton téléphone.