Bonjour Vincent, URL:https://www.eba.europa.eu/single-rule-book-qa/-/qna/view/publicId/2018_4039Dans ce document, tu as sorti une phrase en dehors de son contexte. Ce document est important, car il confirme que le SMS est bien un moyen d'authentifier l'utilisateur:
a one-time password sent via SMS would constitute a possession element and should therefore comply with the requirements ...
Le debat semble clos. Pas besoin de remuer ciel et terre :) Laurent
On Thursday, March 18, 2021, 10:05:56 AM GMT+1, Vincent dubsv@free.fr wrote:
Le 16/03/2021 à 18:16, pierre.conti@free.fr a écrit :
Je me demande où, dans la loi, le crédit coopératif trouve l'obligation d'avoir un smartphone et d'installer leur application, plutôt qu'un téléphone standard capable seulement de téléphoner et de recevoir des sms?
Lien reçu par Mastodon : il s'agit d'une discussion sur la mise en place des contraintes DSP2, et pour nombre de décideurs, la 'meilleure' solution est l'utilisation de codes et terminaux fermés, certifiés par un organisme = Google! C'est donc bien pire que ce que j'écris, et il est absolument *indispensable* de réagir massivement. URL:https://friendica.valvin.fr/display/283298ef-cfed3805d733c7ce-6353a88d
En résumé, selon l'interprétation actuelle du DSP2 (lui-même discuté sans concertation des principaux concernés, comme d'habitude) : La base, c'est qu'il faut pouvoir certifier que c'est bien la personne qui lance l'opération en ligne, avec le principe de l'authentification à 2 facteurs (un numéro de carte bancaire ou des identifiants de connexion puis la vérification par un autre moyen, utilisant une autre techno et/ou un autre terminal, le plus classique étant le SMS).
L'interprétation actuelle est que le SMS ne suffit pas car il pourrait être intercepté par un autre terminal, et que seule une certification forte permettant de lier la réception du SMS à la carte SIM et un périphérique associé permettrait d'avoir une vraie sécurité... URL:https://www.eba.europa.eu/single-rule-book-qa/-/qna/view/publicId/2018_4039
C'est dans la phrase suivante que tout se joue :
The possession element would not be the SMS itself, but rather, typically, the SIM-card associated with the respective mobile number.
Traduction par Deepl.com
L'élément de possession ne serait pas le SMS lui-même, mais plutôt, typiquement, la carte SIM associée au numéro de téléphone mobile correspondant.
Alors, comment 'garantir' que ce soit le cas : facile, il suffit que le terminal utilisé soit protégé/fermé avec une certification fournie par une institution reconnue.
Quel est le choix actuel? Transformer *votre* téléphone en terminal protégé/fermé avec une certification forte fournie par Google en l’occurrence...
Alors, pourquoi cela ne serait pas possible avec du code libre et ouvert? Parce que n'importe qui pourrait modifier le code et contourner les sécurités.
C'est évidemment aussi le cas pour les autres codes, sauf qu'il faut plus de boulot au départ, et surtout que c'est illégal (c'est bien connu, les pirates sont très sensibles à l'aspect légal...).
Il existe d'autres possibilités, comme le calcul d'un code basé sur un algo avec une clé personnelle qui prend en compte des caractéristiques de votre terminal et l'heure universelle, calculé sur votre terminal et sur le serveur pour comparaison... et les classiques clés privées/publiques, mais ce sont des solutions plus compliquées à mettre en place et moins poussées par du lobying.
Je *maintiens* ce que j'ai écrit : il faut réagir, car ce monde encore plus verrouillé que nous prépare nos politiques s'appuie sur le principe que l'écrasante majorité des citoyens, pardon, consommateurs sont d'accord avec cela.
Rappel : l'autre plan dans les cartons est l'authentification biométrique partout, notamment pour l'accès aux services publics en ligne. La technologie en question est brevetée par Google...
_______________________________________________ Debutants mailing list Debutants@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/debutants Attention, les archives sont publiques