S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Banques et authentification forte : l’application mobile n’est (en théorie) pas une obligation

Regardez comme elle est largement utilisée mon application !

Banques et authentification forte : l’application mobile n’est (en théorie) pas une obligation

Les banques poussent massivement leurs clients à utiliser leur application mobile pour valider les paiements (et ça marche). BoursoBank fait le forcing auprès de certains clients. Rappelons que le recours à une application n’est pas une obligation légale. L’inverse semble aussi vrai : les banques ne semblent pas avoir l’obligation de proposer une alternative.

Le 23 février à 17h01

« Pour continuer à gérer vos comptes simplement et réduire les risques de fraude, l’App devient indispensable. » C’est le message envoyé par BoursoBank (anciennement Boursorama Banque) à certains de ses clients, comme ces derniers en témoignent ici et par exemple. Il reste encore quelques semaines puisque l’échéance est fixée au 6 avril 2026.

BoursoBank : « La validation dans l’application sera indispensable »

Sur son site, la filiale de la Société Générale confirme :

« Certaines opérations nécessitent une validation de votre part. Par défaut, celle-ci se fait via l’application BoursoBank car elle offre le meilleur niveau de sécurité et de confort : vous recevez une notification directement sur votre appareil et validez dans votre espace personnel protégé (mot de passe, code ou biométrie). Si vous ne détenez pas l’application, la validation de vos opérations se fait encore par code à usage unique reçu par SMS ou Email. Toutefois, à partir du 06/04/2026, pour les opérations les plus importantes, la validation dans l’application sera indispensable ».

Le message est clair : « l’application sera indispensable » pour certaines opérations sensibles, mais sans plus de précisions. BoursoBank ajoute que, « si vous ne pouvez pas utiliser l’application pour valider une opération, vous pourrez contacter le Service Client qui vous orientera vers une solution de validation provisoire selon votre situation ».

Quid des autres banques ?

Il reste 84% de l'article à découvrir.

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Commentaires (80)

votre avatar
Client de Bourso depuis des années, je refuse de dépendre d'un smartphone pour gérer mon argent. Je suis dépité mais je vais devoir bouger mon compte. Quelle perte de temps et d'énergie.

Petite citation des conditions d'utilisation de Boursobank:

TITRE I – GÉNÉRALITÉS des Conditions Générales Boursobank :

BOURSORAMA est une banque accessible, pour chaque client muni de son identifiant et mot de passe, à partir de tout appareil connecté à internet via (ci-après le « Site ») : www.boursorama.com, www.boursobank.com

Ah bah il va falloir éditer ...
votre avatar
Je suis aussi client de Bourso mais pour l'instant je n'ai toujours pas ressus de message m'indiquant que l'application devenait indispensable.
Celles et ceux qui ont eu un tel message l'on eu par quel canal ? Courriel ou messagerie interne ?
votre avatar
Je l'ai reçu par mail il y a maintenant quelques semaines.
votre avatar
Yep, les banques ont profité du DSP2 pour forcer la main avec leurs apps. Même si je comprends le côté rassurant pour eux de gérer la sécurité sans dépendre de tiers, dès que tu n'as pas ton tél dispo, t'es mort (plus de batterie, perte du tél, etc...)
votre avatar
Inversion de la charge de la preuve en cas de fraude...
Ce n'est plus à la banque de prouver que la faute du client mais au client de prouver qu'il n'est pas responsable...
(Et encore, maintenant se serait possiblement détourné en "Manque de sécurisation" de la part du client)...
votre avatar
Ils dépendent tout de même du monopole du PlayStore et de l'Appstore, c'est pas rien !
votre avatar
le Playstore et l'Appstore sont quand même soumis eux-même au DMA et au DSA dans l'UE.
votre avatar
Pour moi un des soucis est que non seulement ces apps deviennent indispensable mais en plus elles sont très exigeantes sur le terminal utilisé:


  • Pas de terminaux trop vieux avec des OS non mis à jour, mais aussi

  • Pas de terminaux avec des OS alternatifs,

  • Pas de terminaux sans les app Google , sans compte Google enregistré

  • Pas de terminaux avec Magisk ou MicroG

  • Pas de terminaux rootés

  • Pas de sideload de l'appli (utile notamment si la version N+1 ne marche plus)



=> En gros ça ne marche qu'avec un compte Apple ou Google, que que ta vie privée ne vaux rien. Dans un monde où l'on ne parle que de souveraineté, ça veux dire que ces banques acceptent qu'un autre pays puisse couper l'accès au compte bancaire de n'importe qui instantanément, simplement en bloquant le terminal ou le compte Google. C'est quand même problématique, d'autant plus ces derniers temps.
=> A se demander si cette dépendance c'est pas quelque chose de activement soutenu par les banques.

Pourtant des solutions open-source existent. J'utilise Aegis par exemple (existe sur F-Droid et marche sur AOSP) pour des codes tournant pour les sites qui le supportent.

Note: J'ai rencontré le même problème pour le KYC demandé par certaines banques en lignes : En dehors des applis mobile et d'un PC Windows avec Edge ou Chrome, bah... impossible de finaliser la procédure.

Je trouve que ça montre surtout le fait que les banques ont peu confiance dans l'opensource et les protocoles ouverts pour leurs client (tout en l'utilisant abondamment en interne...) et que le closed-source reste leur cheval de trait. Comment beaucoup de DSI , au final. Et ce malgré les pub de djeunz et les sponso des youtubers...
votre avatar
J'utilise beaucoup Aegis aussi pour la double authentification et ça me rend dingue aussi que cette option ne soit pas toujours proposée.
Côté banque, on va te répondre qu'ils ont besoin impérativement de maitriser le deuxième facteur d'authentification et la manière dont il est "sécurisé".
Avec une app comme Aegis ou autre, impossible de savoir si la personne a sécurisé ou non l'accès aux codes TOTP.

Mais bon certaines banques font encore moins bien à mon sens, la mienne par exemple quand il s'agit de sécuriser une opération comme ajouter un bénéficiaire via un navigateur de bureau par exemple, l'application me le notifie et me réclame de taper mon code principal d'accès au compte.
Si l'identifiant et le mot de passe principal sont compromis, le principe de sécurisation en place est sérieusement mis à mal.

Sans parler des claviers virtuels dont les vulnérabilités avaient été démontrées il y a quelques années.
votre avatar
Indépendamment du débat sur l’obligation d'utiliser l'appli de la banque, je précise que j'utilise celle de BoursoBank depuis des années sur un téléphone sous /e/OS avec MicroG et sans aucun compte Google.
votre avatar
Alors je sais pas ce qu'ajoute /e/OS à MicroG & tout mais tu n'es pas le 1er à me dire ça,
moi j'ai essayé avec un téléphone sous AOSP de base en GSI sans GMS et ajouté MicroG (https://developer.android.com/topic/generic-system-image/releases) et il n'y a jamais eu moyen.

Ça n'a jamais été très clair pour moi ce que bidouille /e/OS sur leur OS pour améliorer cette compatibilité pour plein d'appli du genre et ils ne sont pas très loquace dessus.
votre avatar
Cela marchait effectivement sur mon Mi 10T sous lineageos+ microg. Cela ne fonctionne plus sur mon one plus north 5. Une histoire de TEE bloqué sur le one plus en cas de bootloader dévérouiller. Et pas sur le xiamo
votre avatar
Si ça peut aider (ou vous réconforter), sur mon appareil FP3, l'application Boursobank ne fonctionnait pas sur eOS (Android 13) avant la version 3.4 de eOS.
votre avatar
Avec mon lineageOS (22.2, directement prise sur lineageOS et pas sur XDA), ca a été un peu galère avec Boursobank... Pénible.
J'utilise cet OS pour respecter ma vie privée, et ce n'est pas à la banque de décider que je dois me balader à poil au lieu de porter des vêtements.
votre avatar
Attention, ce message de OB (ci-dessus, à 17h26) a été généré par IA.

Si, si, il contient une liste à puces (6 bullet points !!!).

NON aux commentaires GenAI sur Next !
votre avatar
Merde je suis démasqué, je rédige aussi mal qu'une IA.... :santa_flock:
Ca met un coup à l'égo !
votre avatar
pour bourso sa marche encore sur un lineageos ootb sans gsf ou trafficotage & co chez moi mais jusqu'à quand... comme beaucoup d'autres services qui maintenant ne veulent plus..

et ca finiera soit avec un smartphone repli de tout le merdier google au forcing sans que cela soit forcement plus "securisé" ou aller souscrire ailleur. moi j'aime pas google.
votre avatar
Sans l'application mobile fortunéo force à entrer le mot de passe de gestion du compte bancaire lors du paiement sur les sites tiers, est-ce bien sécurisé ?
Je suis toujours un peu gêné d'entrer ce mot de passe dans une fenêtre intégrée en iframe sur un site douteux...
votre avatar
Moi, il ne me le demande pas, mais j'utilise des cartes virtuelles.
votre avatar
Il n'y a pas de lien direct entre carte virtuelle et l'exécution ou non du challenge 3-D Secure au sens de la DSP2. Cependant, ta banque peut être plus prompte à accorder une exemption au commerçant qui la demande ou de son propre chef en cas d'utilisation d'une carte virtuelle. Tout dépend de leur analyse de risque au moment du paiement.
votre avatar
Si c'est sur la même page ou iframe que le challenge 3-D Secure, alors c'est sans doute sur la page de l'ACS (Access Control server) qui gère justement le challenge. La plupart des banques françaises sous-traitent le service d'ACS à Worldline. C'est sécurisé.
votre avatar
Ça a été abondamment discuté sur https://linuxfr.org/users/zurvan-0/journaux/boursorama-semble-dorenavant-imposer-l-usage-d-un-smartphone-pour-utiliser-ses-services

Merci à Next pour l'enquête auprès des services clients quand même, ça rajoute un peu de solidité.
votre avatar
Les appli de bourso et sogé ne sont pas top, et que dire de cette fichue manie des banques à ne pas permettre d’utiliser un gestionnaire de mot de passe et d’obliger à utiliser leur clavier virtuel avec agencement aléatoire !
votre avatar
Je ne comprend pas que les banques ne proposent pas systématiquement la double authentification par TOTP (Time-based One-Time Password), qui est un protocole ouvert et il existes beaucoup d'applications/extensions qui l'implémentent.

A ma connaissance, seuls les Crédits Municipaux (accessibles aux particuliers), le permettent via leur plateforme commune CCMDirect
votre avatar
Merci pour le pointeur du Wiki April, ça va me servir si Bourso ne change pas ses pratiques …
votre avatar
J'ai reçu le courriel de Boursorama avec leur passage en force de l'application (banque que je n'ai pas "choisi" d'ailleurs,, étant ex ING Direct, j'ai été migré dessus), le jour même c'était migration vers une autre avec portabilité bancaire (et la raison bien indiqué dans leur "enquête de sortie").

Me font rire les banques en ligne qui sont en retard là dessus alors que ma banque traditionnelle offre une alternative au téléphone depuis des années au travers d'un boîtier physique qui scan un QR-Code propriétaire, donc encore moins de risque de piratage (facturation unique à 25 €, donc pas gratuit mais au moins l'alternative existe).

Ils ne veulent pas forcer en Europe l'utilisation du standard 2FA en alternative à l'application ? Parce que mon téléphone n'est déjà plus compatible vu que j'ai viré Google et dans l'avenir je vais sans doute quitter Android aussi.

Enfin, c'est pas plus mal car Bourso n'était pas sur le réseau Français des Cartes Bancaires, donc j'ai trouvé une autre banque en ligne, sans application et compatible CB.


D'ailleurs, quelqu'un veut pas mettre sur un Gitlab une liste des banques et des solutions qui existent ? Parce que généralement, sauf à devenir client, tu ne sais pas s'il y a une alternative à l'application.
votre avatar
Je gère deux comptes pour deux membres de ma famille, un à la Banque postale, l'autre à la Caisse d'épargne : pas besoin d'appli, seulement un code sur SMS pour certaines opérations, pas toutes. Un dumbphone suffirait.

Edit (rien à voir avec l'article) : Au Pakistan, les téléphones à touches font leur grand retour
votre avatar
Je ne sais pas comment tu as fais, car moi avec ces deux banques, je n'ai pas eu le choix.
votre avatar
Il faut leur dire que ton téléphone n'est pas compatible (et menacer de quitter si jamais ils insistent trop).
Ils ont récemment forcé la main pour les cartes virtuelles : plus de site web, uniquement sur l'application. J'ai annulé l'option et j'ai ouvert un compte chez fortuneo pour en avoir via site web…
votre avatar
Oui, j'ai aussi (Crédit Mutuel + Caisse d'Épargne en banque classique sans application, bientôt plus Bourso mais HelloBank en compte en ligne sans application et N26 pour l'auto-entreprise mais l'application est obligatoire j'ai l'impression).

D'ailleurs, le conseiller Caisse d'Épargne n'était pas au courant car dans son discours, l'application semblait obligatoire mais une fois les codes reçus, j'ai accès à l'interface web sans problème.
votre avatar
Crédit mutuel : pas trop eu le choix, appli.
votre avatar
Au Credit Mutuel il existe une solution pour se passer du smartphone : le DigiPass.
29euros à payer 1 fois.
votre avatar
c'est ce que j'utilise (le digipass)
votre avatar
Je suis chez eux, et j'ai une "zapette" Digipass depuis des années : je n'ai pas installée l'appli et ca marche super bien.
votre avatar
Ah ? La CE à imposé à ma maman (malvoyante…) leur appli de merde (non adaptée aux déficients visuels)…
votre avatar
Si on en juge par les différents commentaires, les situations sont très variables, même concernant la même banque. D'où la difficulté de répondre à la question de @benspx :
trouver une banque n’imposant pas l’application pour valider les paiements en ligne m’intéresse fortement. Si quelqu’un est dans la [même] situation et/ou dispose de retours récents, je suis preneur !
votre avatar
Faut vraiment le demander et la plupart des conseillers ne sont pas au courant je suppose : https://www.creditmutuel.fr/fr/particuliers/comptes/authentification-forte-digipass.html

En plus t'as de la chance, c'est gratuit provisoirement car ils suppriment le SMS, moi j'ai du le prendre au prix normal donc fonce.

Ça ressemble à ça :

!Digipass Crédit Mutuel


EDIT : tiens marrant, la prévisualiser d'une image en markdown fonctionne mais une fois le commentaire validé, l'image ne s'affiche pas.
Petit bug sur Next :bigssourire:
votre avatar
là aussi j'avais eu un bug d'affichage en postant alors que ok en prévisualisant next.ink Next
votre avatar
La poste et la caisse d'épargne m'ont obligé à y passer. Et ça me fait bien chier de devoir utiliser une appli.

D'ailleurs, la caisse d'épargne a eu un problème avec son appli, il y a quelques mois, et il leur a fallu presque une semaine pour réparer. Pendant ce temps, impossible de faire des virements, et des paiements qui avaient besoin de validation. :censored:
votre avatar
A l'époque, il était possible d'avoir une alternative à la Caisse d'Epargne (un lecteur carte comme pour les professionnels, je suppose).
Pour la ministre déléguée, « l’égalité d’accès de nos concitoyens qui ne possèdent pas de smartphone à leurs informations bancaires est donc assurée ».
Sauf que quand tu le fais depuis internet, c'est généralement gratuit .
S'il te faut l'appli de ta banque pour ajouter un bénéficiaire pour tes virements et que tu es obligé de passer par ton conseiller qui te facture l'opération, il n'y a pas réellement une égalité .

Le jour où le TOTP arrivera pour les paiements bancaires (même s'il faut acheter un jeton physique à la banque) ... <3
votre avatar
Perso à la Caisse d'Épargne, utilisateur, mot de passe et SMS ça fonctionne toujours pour l'instant en tout cas pour la connexion à ton compte et la visualisation (je viens de faire ce test mais j'ai pas testé virement ou autre).
votre avatar
Ça marche encore pour moi.
votre avatar
Ce n'est pas pour défendre les banques, mais d'un autre côté, la législation (française en tout cas) est assez rude, notamment en cas de piratage. La banque est responsable SAUF à pouvoir prouver une négligence grave de la part de son client.

L'application bancaire, c'est un moyen pour elle d'avoir toutes les informations nécessaires : le terminal utilisé, la date et l'heure, potentiellement le lieu, le moyen d'authentification utilisé, etc.

Les méthodes alternatives, même sécurisé comme le TOTP, ne permettent pas d'avoir autant d'informations. Ce n'est donc certainement pas pour rien qu'elles poussent leur propre application au détriment d'autres méthodes...
votre avatar
Après quid d'un piratage ? Si t'as un smartphone à jour mais que tu te prends un zeroday/zeroclick, ce n'est plus de la négligence du client vu que son terminal répondant au pré-requis donc faute à la banque de toute façon ?
votre avatar
Il faut qu'il y ait négligence grave. Une faille zéro day / zéro click, ce n'est pas ce qui caractérise une négligence grave. Par contre, tu devras sans doute passer par la case justice (et expertise judiciaire de ton téléphone !) pour prouver cela... Donc cela risque de prendre encore plus de temps et d'argent...

Après, je ne sais pas s'il y a une jurisprudence sur le sujet ou pas, mais à mon avis, il risque d'y avoir une différence entre un smartphone avec ROM officielle et un autre avec une ROM custom et rooté.
votre avatar
J'ai écrit au support Bourso quand j'ai reçu cette information. On m'a répondu :

« Nous faisons suite à votre mail du 12/02/2026, relatif à la modification des modalités de validation de vos opérations sensibles.

Nous vous informons que seules les opérations sensibles sont concernées par cette modification : la gestion et la consultation de vos comptes restent opérationnelles sur votre ordinateur.

Cette modification des modalités de validation de vos opérations sensibles prendra effet le 6 avril 2026. Elle vise à vous assurer le meilleur niveau de sécurité et de confort.

La validation d’opération depuis l’application BoursoBank est simple et rapide : lors de la réalisation d’une opération sensible vous recevrez une notification sur votre smartphone, qu’il vous appartiendra de valider ou non (dans le cas où vous ne l’auriez pas, personnellement, sollicitée).

Une solution temporaire sera mise en place en contactant le Service Client. Une communication vous sera adressée prochainement. »

Tout est dans la définition d'une "opération sensible" : est-ce en fonction d'un montant ?

J'ai l'impression qu'ils ne veulent pas répondre, car dire "si vous ne voulez pas d'appli, contactez le service client", et que ce service répond ensuite "on fera une communication prochainement", on tourne en rond.

Peut-être qu'ils veulent juste voir combien de clients vont râler : pour 20% ils proposeront une alternative, pour 1% ils les laisseront partir ailleurs (et ailleurs ce sera pareil, donc départ pas certain).
votre avatar
Ils répondent ça en boucle et en mode copié-collé. Normal j'imagine pour un support client de cette taille mais ça ne nous avance à rien.

Opération sensible pour moi c'est tout ce qui demande actuellement une authentification par SMS + e-mail donc paiement carte par Internet, ajout de bénéficiaire pour les virements etc. Donc on ne pourrait plus rien faire sans application.
votre avatar
Il y a quelques temps, Revolut forçait aussi ses clients à tout faire sur mobile, leur site ne renvoyait que vers les stores d'Apple et de Google. Il semble qu'ils aient remis en service un site web, mais c'est vraiment juste pour la blague, il n'y pas même pas 10% des fonctionnalités présentes, c'est presque juste un listing des dernières opérations, pas moyen de faire un virement, d'y déposer de l'argent, de générer une carte éphémère, etc.

Ça me saoule un peu, et visiblement je ne suis pas le seul ici. Mais je crois hélas qu'il va falloir se faire une raison, les banques n'ont pas envie de gérer plusieurs moyens d'accès, et les règlements européens vont effectivement dans ce sens ...
« les prestataires de services de paiement sont donc invités à offrir au moins une méthode alternative et gratuite à l’application mobile sécurisée »
« Invités », pas obligés. Donc ils ne le feront pas.
« les prestataires de services de paiement sur internet devraient proposer, dans la mesure du possible [...] »
Bah voilà, on leur offre même l'excuse sur un plateau pour ne pas le faire : quoi que soit la méthode alternative, ça sera :
☐ trop difficile à mettre en œuvre
☐ pas assez sécurisé
☐ un surcoût inévitable, dont la banque en question ne pourrait pas se permettre sinon elle vendrait ses prestations à perte. À perte vous dis-je !
☐ la réponse D
votre avatar
Chez Fortuneo en fait ça dépend.
Il m'arrive de temps en temps de devoir valider un achat via l'app mobile, c'est impossible par le fonctionnement "SMS".

Et c'est obligatoire quand je fais un virement ou ajoute un compte à partir de leur interface Web.

Je précise que vu que je suis grognon et têtu, j'aime pas quand on m'oblige à qqch, donc l'appli bancaire est désactivée et temporairement réactivée quand obligation.
votre avatar
Ce n'est pas tout à fait nouveau de la part de Boursorama, ils ont fermé mon compte pro en septembre dernier (changement d'offre = on ferme votre compte et vous en ouvrez un nouveau, sans portabilité du RIB ; super pour mes clients). Je n'arrivais pas à ouvrir le nouveau compte, et le service client m'a répondu le 27 juin 2025 : « Nous vous informons que l'ouverture d'un compte Bourso Business n'est possible que sur l'application BoursoBank, sur téléphone ou ordinateur, aucune alternative n'est possible. »
N'ayant pas de smartphone, le nouveau compte a été ouvert chez Fortuneo.
Côté compte perso, La Banque Postale ne m'a jamais enquiquiné, c'est SMS et ça restera comme ça le plus longtemps possible.
votre avatar
Côté compte perso, La Banque Postale ne m'a jamais enquiquiné, c'est SMS et ça restera comme ça le plus longtemps possible.
Après, la Banque Postale, de mes souvenirs (jusqu'en 2015) et des échos de gens que je connais qui sont encore là bas, c'est toujours coincé en 1999 :transpi:
votre avatar
Ça tombe bien, moi aussi je suis bloqué en 1999 avec mon Nokia :phibee: Qu'ils y restent !
votre avatar
Moi, La Banque postale, dans les années 2010, m'a quasi obligé d'utiliser « Certicode+ » (à La Banque postale, on aime donner des noms marketing aux services vendus). Ça a été la goutte d'eau qui a fait déborder le vase. Même si aujourd'hui, j'utilise des applications bancaires, c'est une plaie de voir les banques agir en forçant les usages. Je n'accorde maintenant plus aucun crédit à ce que raconte une banque (et encore moins à ce que fait ou dit un conseiller bancaire).

NB: d'ailleurs, il se pourrait que je fasse comme vous, en adoptant un terminal moins "intelligent" mais je me dit que l'internet mobile n'est pas forcément voué à devenir un système d'applications ?
votre avatar
Pour ma part, j'ai trois banques différentes : Caisse d'Épargne, Revolut et Bourso.

Bourso est la seule à me permettre d'utiliser mes Yukibey en MFA.

Sauf sur l'appli smartphone ¯_(ツ)_/¯
votre avatar
Je souhaitais déjà quitter BoursoBank compte tenu de leur refus obstiné de proposer des cartes cobadgées CB (même BPCE va s’y remettre, c’est dire !), voilà qui me conforte dans cette position.

Souhaitant aussi switcher sur GrapheneOS, trouver une banque n’imposant pas l’application pour valider les paiements en ligne m’intéresse fortement.

Si quelqu’un est dans la même situation et/ou dispose de retours récents, je suis preneur ! 👍

(j’envisage Hello Bank! mais apparemment pour les nouveaux clients l’app serait nécessaire pour valider les paiements en ligne 😞)
votre avatar
votre avatar
Merci.

Cependant le lien pointe vers la présentation des cartes virtuelles qui - sauf erreur de ma part - nécessitent tout autant qu’une carte physique une authentification forte pour le paiement (type 3DS); authentification qui passe généralement par l’application propriétaire de la banque (problématique au coeur de l’article)…

… à moins que Fortuneo ne propose d’autres moyens de s’authentifier pour les paiements en ligne (sms etc), spécifiquement pour les cartes virtuelles ? (Ces dernières sont également proposées chez Boursobank, mais soumises aux même contraintes d’authentification via l’appli).
votre avatar
Je suis chez Fortuneo et je me passe très bien de leur app : toutes les opérations sensibles sont validées par SMS (action sensible sur fortuneo.fr ou paiement en ligne).
votre avatar
Je confirme, je suis chez Fortuneo et pas besoin de l'appli (pour le moment...). Je suis client depuis un paquet d'années par contre, c'est peut-être différent pour les nouveaux ?
Et à propos de GrapheneOS, l'appli Bourso fonctionne bien sur un profil sans compte Google mais avec les services Google sandboxés. Faut aussi désactiver l'API Play Integrity sinon l'appli veut pas se lancer.
votre avatar
c'est peut-être différent pour les nouveaux ?
Je suis client chez eux depuis 2 mois, et donc c'est bien pareil pour les nouveaux 😁
votre avatar
J'avais déjà cette envie vu qu'effectivement ils ne sont pas sur le réseau Français des Cartes Bancaires mais j'avais la flemme.

Le courriel du l'obligation de l'application m'a donné le coup de pied donc portabilité bancaire dans la journée :D
votre avatar
Souhaitant aussi switcher sur GrapheneOS, trouver une banque n’imposant pas l’application pour valider les paiements en ligne m’intéresse fortement.
Un des points forts de GrapheneOS est justement qu'il permet d'utiliser des applications nécessitant les services Google, et que ça peut être dans un profil séparé que tu n'ouvres que quand tu as besoin d'une de ces applications.
votre avatar
Je suis bien intéressé par la situation en Suisse à ce sujet...

Ayant récement changé de banque (coucou UBS), je suis aussi bloqué car je n'arrive pas à faire fonctionner leur app sur mon Fairphone 5 avec IodéOS (base Android 15). Je n'avais pas de soucis avec ma banque précédent (Postfinance)
votre avatar
Pareil que d'autres ici : je suis client Boursobank un peu par hasard (j'étais chez ING), et l'obligation de l'appli me gonfle (comme si un téléphone était plus sécurisé qu'un PC...), d'autant plus qu'un jour sur deux l'appli pédale dans la semoule pour l'authentification... Entre la dépendance à Google et la disparition du logo CB sur leurs cartes, et donc la dépendances à Visa, on se demande s'ils sont bien au courant que la mode est à la souveraineté. À ce moment-là, autant prendre une banque américaine, ce sera plus clair.
votre avatar
ING Boursobank (les banques en ligne, les néobanques, etc) sont des offres "discount", "lowcost". Les CB co-badgées utilisent 2 réseaux, donc double-coût pour la banque.

NB: on me répondra : oui mais Fortuneo, Hellobank. Hellobank est une offre de BNP Paribas (un peu comme Sosh d'Orange). Seul Fortuneo (et aussi Monabanq) peuvent être citées comme moins "discount" parmi les banques en ligne car elles tentent d'attirer des publics moins adeptes des services numériques ou plus bancarisés (minimum de revenus, grosse épargne, sans être dans des services de banque privée).
votre avatar
Certes, mais les opérations sur le réseau CB sont moins chères que sur le réseau Visa.
votre avatar
La SG fait partie du GIE CB. Donc BoursoBank n'a pas d'excuse si ce n'est le gros chèque qu'elle a dû recevoir de la part de Visa afin d'abandonner le co-badging. Car leurs cartes l'avaient encore il y a quelques années.
Pour les neo-banques étrangères, la question ne se pose pas.
votre avatar
Si j'en crois l'article de Next, Boursobank est devenue une banque mobile en plus d'être sans frais bancaire pour les opérations les plus courantes. Boursobank est une banque discount et lowcost.

Aucune excuse. Nickel fait partie du groupe BNP Paribas, pourtant Nickel propose son propre réseau de distribution et commercialise des services hors du réseau BNP Paribas. Une filiale n'est pas forcément cliente des services du groupe bancaire qui investit sur elle. BPCE a eu aussi un partenaire d'exclusivité avec Visa et pourtant elle fait aussi partie du gie CB. C'est pas incompatible.
votre avatar
Merci d'en parler. J'aurai aimé que l'article aille plus loin en démontrant à quel point l'argument de la sécurité pour imposer les apps sur smartphone est bidon, pour tout un tas de raisons, sans parler de la dépendance forcée à Google/Apple.

Aussi parler davantage de TOTP, si oui ou non ça permettrait de remplacer le SMS. Certains disent que non à cause du manque de contexte, mais est-ce vrai ? De toute façon, je pense que Boursorama avait justement la solution en ayant la possibilité de valider un paiement depuis son compte: le 2FA est alors déplacé à l'accès au compte et TOTP devrait être suffisant pour ça.

Quand à moi, si je n'utilise pas l'application Boursorama, ce n'est pas seulement par idéologie: je doute qu'elle fonctionne son mon smartphone, je dirais même que ce serait préférable: il est vieux, pas à jour, et je ne veux d'ailleurs pas en changer pour plusieurs raisons (malheureusement, l'arrêt de la 2G/3G m'y forcera mais c'est un autre sujet).

Je n'ai pas encore contacté le service client, et à moins à moins que Boursorama ne propose une alternative, que faire ?

  • waydroid ? L'app Boursorama semble fonctionner dessus même si je n'ai pas pu accéder à mes comptes car il y a une étape que je n'ai pas fait pour valider mon identité. Le principal souci, c'est que une solution aussi exotique pourrait bien ne plus fonctionner du jour au lendemain, sans être prévenu à l'avance et j'ose pas imaginer la merde dans laquelle je serais.

  • Fortuneo ? Souvent mentionné mais jusqu'à quand l'app ne sera pas obligatoire ? App que je n'arrive d'ailleurs pas être faire tourner sur waydroid.

  • Autre banque qui ne coute pas une fortune à l'année (frais de tenue de compte + CB) ?

votre avatar
Personnellement, je fuyais les banques qui imposaient l'application (ou qui semblaient l'imposer, il y a toujours des banques qui sont prêtes à proposer une alternative pour capter un client qu'elles estiment devoir garder).

Depuis quelques mois, je me suis laissé aller à un test des applications mobiles en tout genre, dont les applications bancaires. Mon constat est que les applications bancaires sont des « couteaux suisses » pour les banques. Elles ne servent pas seulement à sécuriser les achats en ligne ou à payer en "sans contact". Bien sûr, ça collecte des données sur leurs clients, et aussi ça permet de souscrire des contrats (signature électronique sur le smartphone par exemple, même si lire un pdf de 10 pages sur un petit écran est une fumisterie), ça permet de placer des informations importantes de sécurité, des informations de promotion commerciale, etc.

Pour ma part, je ne renonce pas à chercher à me libérer des ordiphones et de ces applications mobiles. Une chose à changer dans ma vision : le web des années 2000/2010 est terminé ou a radicalement changé. Et c'est peut-être l'angle mort des raisonnements qu'on a à propos de l'application TikTok et des grandes plateformes de réseaux sociaux.
votre avatar
Ce qu'il faut savoir, c'est que les espaces clients des banques sont majoritairement affichés sur des smartphones. À partir de là, le choix est vite fait : il faut d'abord développer pour ces plateformes : mobile first.
D'autre part, développer une application sur ces appareils permet d'accéder à des ressources inaccessibles depuis un site Web : puce NFC pour le paiement sans contact, appareil photo pour scanner les chèques ou les justificatifs quelconques, etc.
(À noter que pour l'appareil photo/caméra, les navigateurs le permettent depuis quelques années, bien après l'arrivée des smartphones.)
Ceci explique cela.
votre avatar
Concernant Boursorama comme indiqué dans un autre message, je n'ai pas ( encore eu Autre message de la banque indiquant que l'application devenait obligatoire, esperont que ca dure. J'avais essayer une fois de l'installer sur /e/ os ca fonctionnait pas.

Cela étant ecris, j'ai aussi tester d'utiliser une clef Nitrokey ca fonctionnait pas. L'initialisation partait en erreur avec Fierfox sur ArchLinux.
Je sais pas si d'autre personnes ont testé? Il parrait que ca fonctionne avec les Yubikey.
votre avatar
Mouais, le second facteur d'authentification par SMS, va falloir songer à l'arrêter un jour

Sim Swap
votre avatar
Je lis des commentaires qui vont dans tous les sens concernant l'authentification forte.

Le but premier est de limiter la fraude qui impact en premier lieu les clients des banques et derrière les banques, dans la mesure où ce sont elles qui dans la plupart des cas vont prendre à leur charge les montants de la fraude, bien que certaines rechignent à le faire de temps en temps.

Le SMS n'est aujourd'hui pas sécurisé, tout comme l'email, c'est la principale raison pour laquelle les banques l'excluent plus ou moins rapidement.
De plus en plus de cas remontent de non réception du SMS/Mail et derrière la nécessité d'un code "personnel" est souvent deviné au mieux par ingénierie sociale, voir par un formulaire qui permet aux fraudeurs de faire tous les achats qu'ils veulent ensuite sur le dos du pauvre client.

L'application mobile n'est pas la panacée, mais pour les banques, c'est le moyen le plus économique (et pas uniquement en terme d'argent pure, mais de logistique) pour mettre à disposition de leurs client un moyen d'authentification forte.
Certaines banques ont tenté le CVV dynamique, peine perdue lors des changements d'heure et autre joyeusetés du genre, d'autres ont proposé un tokeniser avec des sessions de 30 secondes, mais la problématique de synchronisation et de disponibilité du matériel au moment du besoin du client pose problème.

Je veux bien qu'on mette la faute sur les banques, mais aujourd'hui, y'a pas de solution idéale pour répondre aux problématiques de l'authentification forte en dehors du smartphone pour la majorité des usages.

Le cas des petits vieux en campagne est hélas problématique, certe, mais comme l'usage de la carte bancaire pour aller retirer de l'argent pour lagénération d'avant.
votre avatar
La dernière ligne du commentaire est étrange. Ce n'est pas un problème de génération (en tout cas, la corrélation est peut-être statistique mais pas une causalité) même si j'ai bien compris que ça sert votre propos. C'est un problème de choix du client (qui n'est pas forcément le choix de sa banque). C'est comme les poncifs sur les problèmes que poserait la vie à la campagne ou le mal-vivre des zones péri-urbaines (où il y a malgré tout des populations qui vivent avec des revenus confortables), mais je vais m'arrêter là.
votre avatar
C'était pour reprendre les exemples de certains :chinois:

Après on peut argué que malgré tout il y a une touche "générationnelle" à chaque "évolution" des habitudes de "consommations" et qu'une partie de la population est laissée sur le carreau pour une raison ou une autre.
La disparition de la Tecktonik ne m'a pas vraiment manqué contrairement à d'autres :oops:

Par exemple, certains vont se plaindre que les services publiques dématérialisent à mort (enfin, essaient) parce qu'on y perd en "relation humaines" alors que d'autres vont s'en plaindre à l'inverse parce que ce n'est pas assez rapide, et répendu, et que "perdre" du temps à un guichet c'est une perte de temps qu'ils auraient pu passer à faire autre chose.

Bref, y'aura jamais 100% d'heureux chez les français, et chaque évolution fera râler plus ou moins de monde parce que "c'était mieux avant"
votre avatar
Entre mettre ma confiance dans les mails/SMS certes pas sécurisés et mettre ma confiance dans les mains des GAFAM avec des contrats d'utilisation incompréhensibles, des briques logicielles obscures et aux ordres d'un canard à l'orange complètement siphonné, mon choix est fait et j'aimerais bien qu'on ne m'impose pas autre chose « pour ma sécurité ».
Bonjour d'un petit vieux en campagne, même si j'ai pas 40 ans...
votre avatar
Ce qui est nécessaire, c'est une second facteur n'étant pas dépendant de la téléphonie, jugée trop peu fiable.

Concernant la téléphonie, c'est un sujet intéressant de non-authentification des numéros, qui rejoint le scandale sur lequel l'ARCEP a (enfin) décider de se bouger.
On pourrait trouver étonnant de se dire quand dans des réseaux aussi verrouillé propriétairement, le contrôle des sources & destinations n'est pas mieux fait. De l'attentisme profitable aux opérateurs ?

Ce sujet mis à part, le second facteur ne devrait pas être un moyen imposé, à l'ancienne, histoire de forcer dans le gosier son propre gadget et enfermer les utilisateurs.
L'open architecture, puis Internet, ont démontré que l'on peut fonctionner sur la base de normes communes interopérables en laissant l'implémentation libre à ceux qui le souhaitent.

Aujourd'hui, un second facteur découplé de tout équipement, implémenté librement selon le choix de l'utilisateur qui n'a comme contrainte que de correspondre à un protocole normé existe par exemple avec du TOTP.

Pourquoi donc certaines banques prétextent-elle une quelconque sécurité dans leur propre application, certainement plus bloatware qu'autre chose, et qui a la désagréable possibilité de collecter des informations sur des équipements et/ou des habitudes ? La vérité est ailleurs.

Exigeons une véritable sécurité, laissant toute liberté à l'utilisateur pour répondre correctement au seul défi solide, sans chantage à divulguer quoi que ce soit d'autre.
votre avatar
https://s.brsimg.com/content/pdf/conditions-generales/conditions-generales.pdf

Titre 1. Article 3.9
3.9 En complément du mot de passe et de l’identifiant, BOURSORAMA a mis en place différents systèmesd’authentification renforcée pour la réalisation d’opérations dites sensibles (exemples non exhaustifs : commande de chéquier, déblocage de carte bancaire, référencement de RIB, augmentation des plafonds carte bancaire, certains paiements carte en vente à distance, retrait exceptionnel carte bancaire, souscription à un Prêt Personnel, signature d’une offre de crédit immobilier, virement sortant d’un certain montant…). Selon la sensibilité de l’opération, pour valider et confirmer l’opération, le client devra confirmer son consentement via son Application mobile BOURSORAMA. A cet effet, le Client s’engage à télécharger l’Application mobile de BOURSORAMA sur son Terminal. En cas d’indisponibilité de l’Application mobile de BOURSORAMA ou si l’Application n’a pas été téléchargée, une alternative sera proposée.
votre avatar
There is no alternative (the appropriate slogan)

Banques et authentification forte : l’application mobile n’est (en théorie) pas une obligation

  • BoursoBank : « La validation dans l'application sera indispensable »

  • Quid des autres banques ?

  • Qu’est donc cette « DSP2 » dont parlent les banques ?

  • Une seule obligation : fournir deux éléments d’identification

  • 82 % des paiements authentifiés via les applications mobiles

  • La question du smartphone pour accéder à ses comptes s’invite au Sénat