• [^] # Re: La pétition ne mentionne pas les bonnes alternatives

    Posté par (site web personnel) . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 4 (+3/-0). Dernière modification le 03 mai 2026 à 21:59.

    Moi je comprends qu'il n'y a rien à attendre des banques sur ce sujet

    C’est exactement ça. C’est pas en pleurant « ouin les banques y sont michantes, moi je veux du root sur mon téléphone et puis voilà » que ça va changer. La réponse sera « non » et pour de très très bonne raison. Parce que quelqu’un qui me dit « je veux de la sécurité » et en même temps utilise un OS rooté ou un bootloader non verrouillé n’est lui-même pas très cohérent.

    Vous voulez des applis bancaires qui tournent sur vos OS ?
    Vous faites comme Let's Encrypt à l’époque de son démarrage, vous montez une infra sécurisée avec des HSM dans un bunker, vous passez quelques millions d’euro en certification et vous montrez patte blanche auprès des organismes bancaires, avec une cross-certification pour commencer par Google/Apple pour pouvoir commencer à bootstraper avant d’avoir votre truc certifié en autonome.
    Et en fournissant aussi des SDK côté mobile pour gérer ces trucs suffisamment facilement pour que les devs côté banque n’aient pas trop de taff à faire pour sortir de Play Integrity ou autre.
    Et en foutant de côté suffisamment pour pouvoir encaisser le cas où votre SCA sera défaillante et que les banques vous demanderont de passer à la caisse en assurance pour rembourser les pertes suite à des contestations.

    Ou alors vous changez la loi pour virer ça de la DSP2, mais cette législation est aussi là pour de vraies bonnes raisons pour le coup et ça ne se fera de toute façon pas en claquant des doigts.