Le mois dernier, la néobanque mettait enfin en place un service attendu par nombre de ses utilisateurs : l'accès en ligne à la gestion des comptes.
Depuis, l'accent a été mis sur l'application qui gagne en fonctionnalités en ce mois de décembre. La page d'accueil peut ainsi être personnalisée, les abonnements à paiement récurrent bloqués depuis une page dédiée, les paiements entre amis concernent ceux qui ne sont pas clients de Revolut, etc. Tous les détails sont par ici.
Commentaires (17)
#1
seulement 3 pisteurs, c’est rare parmi les appli mobile bancaires…
mais 26 permissions et pas des moindres.
https://reports.exodus-privacy.eu.org/fr/reports/154857/
#2
Pour accéder au compte sur le web il faut s’authentifier… dans l’application
#2.1
idem chez N26. Plus généralement, la DSP2 européenne exige une double authentification pour les opérations en ligne. La plupart des banques utilisent le SMS par dérogation encore quelques temps, mais selon mes propres recherches, toutes les banques incitent fortement leurs clients à utiliser l’appli mobile bancaire pour s’authentifier (achats en ligne, virements en ligne). Sécur’Pass et autres dénominations.
Personnellement, ce système ne me convient pas du tout. Je n’ai pas mon ordiphone à côté de moi quand je suis sur mon ordinateur. Il existe pourtant d’autres systèmes d’authentification forte que permettrait la DSP2…
#2.2
Boursorama vient de mettre en place une authentification par clé de sécurité comme une Yubikey. Ça permet de passer outre la validation sur un smartphone
#2.5
Yubikey c’est très bien. Mais il existe d’autres solution acceptables selon la DSP2, ça exige que la banque fournisse un appareil dédié à ses clients (par ex. chez BPCE, il y avait un lecteur “CAP”, une sorte de “calculette” dans laquelle on enfichait une carte à puce). C’est sûr que la banque préfère que ses clients achètent eux-même un ordiphone ou une Yubikey plutôt que de fournir un appareil dédié (avec toute la logistique que ça demande). Mais on paie pourquoi sa banque au juste ?
#2.6
T’inquiète pas, le lecteur de carte ne doit pas couter bien cher. Ça fait au moins 15 ans que ça existe et les banques britanniques qui l’utilisent (RBS, NatWest, Ulster Bank et Nationwide, au moins) l’envoient gratuitement, même si tu n’as qu’un compte gratuit. Le plus marrant, c’est que comme ça repose sur la puce de la carte, tu peux utiliser le lecteur d’une banque avec une carte d’un autre banque sans souci.
#2.7
En fait Boursorama a fait un truc plutôt standard, ce n’est pas limité à la Yubikey mais à tout appareil d’authentification biométrique standard. J’ai pas trouvé d’info mais c’est probablement du WebAuthn qui est un standard du W3C s’appuyant sur FIDO U2F.
Pour ma part j’ai réussi sans soucis à utiliser comme “clé” l’authentificateur Windows Hello de mon PC (capteur d’empreinte). Cela doit aussi fonctionner avec TouchID sur Mac et iOS.
Pour le coup je trouve que c’est une super alternative pour quiconque n’a pas envie d’utiliser son smartphone : les authentificateurs FIDO U2F sont des trucs standards que tu peux utiliser pour plein de services.
#2.3
Si on utilise le browser de son mobile, puis qu’on utilise l’appli sur le même mobile pour le 2FA, en fait, c’est encore plus pourri que le SMS quand on utilise le browser sur le PC, vu qu’il suffit que le mobile soit compromis.
#2.4
Je ne sais pas, il me semblait que l’appli se basait sur le numéro de téléphone et la carte SIM (élément physique) qui s’ajoute à l’identifiant et au mot de passe. Mais, j’imagine bien qu’il y a toujours matière à corrompre un système d’authentification. Et c’est sûr qu’un ordiphone mal sécurisé et qui traine souvent dans des endroits plus ou moins publics est plus vulnérable.
#3
Oui, enfin il faut avoir sa Yubikey sur soit. L’un dans l’autre, sauf si tu n’as qu’un seul PC sur lequel tu la laisse connecté, c’est pas forcément plus pratique.
#4
“mobile” veut dire “posé là où j’en ai le plus besoin”. Pour moi, c’est avec les clés de mon logement et surtout pas collé à moi comme une sangsue. L’informatique/numérique doit s’adapter aux usages de chacun, pas obliger les gens à se greffer un appareil à la main parce que ça arrange la banque (d’autant que d’autres solutions d’authentification forte existent ou existaient).
#5
De nos jours, presque tout le monde se balade avec son téléphone. Que tu ne veuille pas le transformer en outil de sécurisation c’est une chose, mais tu ne peux pas dire que l’informatique ne s’est pas adaptée. C’est plus adapté que d’acheter un objet dédié qu’il faut se trimbaler en plus de ceux que tu balades déjà. Demander aux gens d’acheter des Yubikey serait bien plus contraignant pour un plus grand nombre de personnes…
C’est pas une question d’arranger la banque, c’est une obligation pour eux, et ils utilisent le moyen le plus répandu et le plus simple. Qui n’est, certes, pas adapté à tout le monde, clairement ! Mais il doit y avoir des alternatives…
#6
Toi, c’est ton avis. Moi, Je ne souhaite rien imposer à personne. Seulement, je suis loin, très loin du nomophobe. Mon téléphone me sert quand j’en ai besoin, et surtout pour communiquer, pas pour m’authentifier ou sécuriser un compte bancaire (la banque est payée pour ça, si je souhaite une Yubikey ou autre, ça me regarde et je paie ma banque pour ça).
Et oui, la banque ça l’arrange de te faire télécharger son appli mobile : elle peut mieux te connaître, elle te propose des services à partir de l’appli, elle fait de l’auto-promo dans son appli. Google ou Apple ne t’a pas appris ça avec sa panoplie de services faciles d’accès et fortement imbriqués ? Moi, je n’ai pas besoin d’une appli bancaire, seulement d’un accès web qui me permet d’utiliser les services bancaires dont j’ai réellement besoin.
Et c’est tellement bête d’avoir besoin de son mobile pour se connecter au web sur ordinateur. C’est con : quand je me connecte sur ordi, c’est justement parce que mon mobile est loin de moi (voire que je l’ai perdu).
Je comprends qu’une banque mobile comme Revolut ou N26 n’offre qu’un accès mobile (c’est le principe). Mais je suis en droit d’attendre un vrai service adapté d’une banque généraliste.
#7
Petite question : Est-ce que ce genre d’appli (et même celles d’autres banques) fonctionne dans un environnement virtualisé android sous pc ?
Si c’est possible, on bloque tout le superflu avec un firewall pour les ip et pi-hole pour les traqueurs.
Je n’ai pas cherché mais il existe peut-être déjà un environnement android dockerisé mais dans ce cas de figure, il faut aussi faire confiance à toute la chaîne.
#8
Le problème de ce genre d’appli, c’est que ce sont des mouchards de banques non open-source avec des droits étendus sur ton téléphone. Pas d’alternative. Moi je reste à la validation SMS tant que possible.
#9
Ca je ne dis pas le contraire, mais ton application de banque l’est déjà. Après, si tu es dans une banque depuis longtemps, s’il y a bien un organisme qui sait déjà presque tout sur toi c’est bien ta banque…. Déjà avec les données de base, et ensuite avec tous les paiements que tu vas faire, donc tes habitudes, tes moyens, tes déplacements, tes abonnements, ton logement, etc…
#10
J’utilise pas d’application pour ma banque. La version web suffit bien.