Première connexion à Hello Bank... Ça part mal.

BORDEL.

Le SMS n'est PAS de l'authentification FORTE.

Déja parce que l'authentification forte implique de la cryptographie.
Mais admettons la définition du code monétaire et financier qui dit que "authentification forte == multiples facteurs d'authentification" (et c'est du coup gonflé de dire que le SMS c'est "fort" parce que c'est vulnérable depuis sa création, c'est irrémédiablement pété et c'est activement exploité)...

Admettons !

Le mot de passe initial A LUI AUSSI été envoyé dans un PUTAIN de SMS ! Il est où ton PUTAIN de caractère MULTIPLE ?!

Et c'est pas fini... Un LIEN à cliquer dans un SMS ! What could go wrong?

Amateur·rices, putain. Les banques, c'est vraiment les pires.

#HelloBank #CiaoBank #infosec #security #theater #DSP2

Obligation de possession d'un téléphone portable pour accéder à ses comptes bancaires en ligne

Question orale n°0254S - 17e législature

https://www.senat.fr/questions/base/2025/qSEQ25010254S.html

#DSP2

Paiements en ligne : l’authentification forte #DSP2 pour sécuriser votre site e-commerce est désormais obligatoire
https://www.francenum.gouv.fr/guides-et-conseils/developpement-commercial/solutions-de-paiement/paiements-en-ligne

Si le client ne possède pas de téléphone intelligent ou ne souhaite pas utiliser l’application mise à disposition par sa banque, l’Observatoire de la sécurité des moyens de paiement rappelle que "les utilisateurs doivent disposer de la liberté de choix de leur solution d’authentification" et que "les prestataires de services de paiement sont donc invités à offrir au moins une méthode alternative et gratuite à l’application mobile sécurisée".

poke @aeris

Signalement fait sur #signal.conso.gouv, on ne sait jamais
Et au pire, je suis obligé de transférer mes comptes sur une autre banque qui ne pratique pas ce scandale.
Recherches en cours

#CreditMutuel #DSP2 #AuthentificationForte #AppliBancaire

Exigeons des banques, une vraie mise en œuvre de la DSP2 !
https://linuxfr.org/users/hg203/journaux/exigeons-des-banques-une-vraie-mise-en-oeuvre-de-la-dsp2

Les banques souhaitent supprimer l'envoi de SMS pour confirmer les opérations.
Elles vont déployer l'authentification forte (a deux facteur) en application de la directive européenne #DSP2.

En fait, l'alternative proposée est d'installer l'application de la banque sur son smartphone. Or quand on utilise l'appli pour faire ses opérations bancaires et qu'on s'authentifie avec, il n'y a plus qu'un seul facteur d'authentification.

De plus cette solution n'est pas résiliente lors de perte, vol, casse ou encore piratage du smartphone.

Alternatives: cartes TAN, #digipass, #TOTP…

Fuck !

Va falloir que j'ecrive à mon banquier pour lui dire que :
- son application #CreditMutuel embarque des trackers dont Google Analytics (je n'arrive pas à mettre à jour l'analyse sur @exodus)
- je ne suis pas sûr qu'elle fonctionne car j'utilise e/OS/
- et qu'à défaut, il me faut une autre solution... À moins qu'ils fournissent du TOTP 🤔

#BanqueEnLigne #Dsp2

I just want to share this with you because I'm really excited about this device, not to advertize or something.

The #Malahit #DSP2 in the licensed copy version (Raddy) is built like a #tank. It looks like it could survive a #nuclear blast at ground zero. It even looks like it could destroy a #nokia #3310

Crazy! 🤯