Bonjour Vincent,

<URL:https://www.eba.europa.eu/single-rule-book-qa/-/qna/view/publicId/2018_4039>
Dans ce document, tu as sorti une phrase en dehors de son contexte.

Ce document est important, car il confirme que le SMS est bien un moyen d'authentifier l'utilisateur:

> a one-time password sent via SMS would constitute a possession element and should therefore comply with the requirements ...

Le debat semble clos. Pas besoin de remuer ciel et terre :)

Laurent



On Thursday, March 18, 2021, 10:05:56 AM GMT+1, Vincent <dubsv@free.fr> wrote:


Le 16/03/2021 à 18:16, pierre.conti@free.fr a écrit :
> Je me demande où, dans la loi, le crédit coopératif trouve l'obligation d'avoir un smartphone et d'installer leur application, plutôt qu'un téléphone standard capable seulement de téléphoner et de recevoir des sms?
Lien reçu par Mastodon : il s'agit d'une discussion sur la mise en place
des contraintes DSP2, et pour nombre de décideurs, la 'meilleure'
solution est l'utilisation de codes et terminaux fermés, certifiés par
un organisme = Google!
C'est donc bien pire que ce que j'écris, et il est absolument
*indispensable* de réagir massivement.
<URL:https://friendica.valvin.fr/display/283298ef-cfed3805d733c7ce-6353a88d>

En résumé, selon l'interprétation actuelle du DSP2 (lui-même discuté
sans concertation des principaux concernés, comme d'habitude) :
La base, c'est qu'il faut pouvoir certifier que c'est bien la personne
qui lance l'opération en ligne, avec le principe de l'authentification à
2 facteurs (un numéro de carte bancaire ou des identifiants de connexion
puis la vérification par un autre moyen, utilisant une autre techno
et/ou un autre terminal, le plus classique étant le SMS).

L'interprétation actuelle est que le SMS ne suffit pas car il pourrait
être intercepté par un autre terminal, et que seule une certification
forte permettant de lier la réception du SMS à la carte SIM et un
périphérique associé permettrait d'avoir une vraie sécurité...
<URL:https://www.eba.europa.eu/single-rule-book-qa/-/qna/view/publicId/2018_4039>

C'est dans la phrase suivante que tout se joue :
> The possession element would not be the SMS itself, but rather,
> typically, the SIM-card associated with the respective mobile number.
Traduction par Deepl.com
> L'élément de possession ne serait pas le SMS lui-même, mais plutôt,
> typiquement, la carte SIM associée au numéro de téléphone mobile
> correspondant.

Alors, comment 'garantir' que ce soit le cas : facile, il suffit que le
terminal utilisé soit protégé/fermé avec une certification fournie par
une institution reconnue.

Quel est le choix actuel? Transformer *votre* téléphone en terminal
protégé/fermé avec une certification forte fournie par Google en
l’occurrence...

Alors, pourquoi cela ne serait pas possible avec du code libre et
ouvert? Parce que n'importe qui pourrait modifier le code et contourner
les sécurités.

C'est évidemment aussi le cas pour les autres codes, sauf qu'il faut
plus de boulot au départ, et surtout que c'est illégal (c'est bien
connu, les pirates sont très sensibles à l'aspect légal...).

Il existe d'autres possibilités, comme le calcul d'un code basé sur un
algo avec une clé personnelle qui prend en compte des caractéristiques
de votre terminal et l'heure universelle, calculé sur votre terminal et
sur le serveur pour comparaison... et les classiques clés
privées/publiques, mais ce sont des solutions plus compliquées à mettre
en place et moins poussées par du lobying.

Je *maintiens* ce que j'ai écrit : il faut réagir, car ce monde encore
plus verrouillé que nous prépare nos politiques s'appuie sur le principe
que l'écrasante majorité des citoyens, pardon, consommateurs sont
d'accord avec cela.


Rappel : l'autre plan dans les cartons est l'authentification
biométrique partout, notamment pour l'accès aux services publics en
ligne. La technologie en question est brevetée par Google...

_______________________________________________
Debutants mailing list
Debutants@lists.linux-azur.org
https://lists.linux-azur.org/mailman/listinfo/debutants
Attention, les archives sont publiques