« Atelier-directive-dsp2 » : différence entre les versions
(→Historique : Précision sur le décalage entre le prévisionnel et le réel à date) |
(→Disponibilité d'alternatives : ménage et préparation de l'arrivée des nouvelles infos recueuillies en Mars 2021) |
||
Ligne 100 : | Ligne 100 : | ||
La plupart s'appuient sur un boîtier externe où l'on met sa carte bleue pour obtenir un code à usage unique et temporaire. C'est un système très efficace et relativement simple. | La plupart s'appuient sur un boîtier externe où l'on met sa carte bleue pour obtenir un code à usage unique et temporaire. C'est un système très efficace et relativement simple. | ||
Liste de banques proposant des alternatives : | Liste de banques proposant des alternatives (préciser la date de mise à jour de chaque point et ne pas oublier le découpage en caisses régionales pour les banques concernées): | ||
* Caisse d'épargne, | * Caisse d'épargne, | ||
* | ** Rhône Alpes (Mars 2021) : annonce qu'elle va imposer (sans donner de date butoir) son application propriétaire et en propose pas d'alternative bien qu'elle l'ait fait avec son terminal physique auparavant | ||
* Banque Populaire | * Banque Populaire (Proposait historiquement un terminal physique appelé Pass Cyberplus https://aide.bpalc.fr/articles/pass-cyberplus/) | ||
* Banque Postale (certicode : validation par SMS, Certicode Plus : via l'applicatif non-libre de la banque) | |||
* Banque Postale | |||
* Crédit Mutuel | * Crédit Mutuel | ||
** Digipass : lecteur de | ** Digipass : lecteur de QRcode https://www.creditmutuel.fr/cmo/fr/particuliers/comptes/digipass.html https://www.creditmutuel.fr/cmo/fr/particuliers/comptes-et-services/comment-activer-et-utiliser-digipass.html | ||
** Safetrans : boitier USB non compatible GNU/Linux d'après https://www.creditmutuel.fr/fr/identification/se-connecter-avec-un-lecteur-safetrans.html | ** Safetrans : boitier USB non compatible GNU/Linux d'après https://www.creditmutuel.fr/fr/identification/se-connecter-avec-un-lecteur-safetrans.html | ||
* Société Générale | * Société Générale | ||
** Virements internationaux possibles uniquement via le service Pass Sécurité dans l'application de la Société Générale https://particuliers.societegenerale.fr/securite/pass-securite#lesoperationspossiblesaveclepasssecurite | ** (date???) Virements internationaux possibles uniquement via le service Pass Sécurité dans l'application de la Société Générale https://particuliers.societegenerale.fr/securite/pass-securite#lesoperationspossiblesaveclepasssecurite | ||
===Adoption de protocoles interopérables=== | ===Adoption de protocoles interopérables=== |
Version du 10 mars 2021 à 14:00
ATELIER DIRECTIVE DSP2
En 2019, la problématique de la directive DSP2 est apparue. Un pad a été créé sur le sujet mais il est fermé et maintenant persisté dans la présente page.
Le 09/09/2019 à 16:06, Christian Pierre MOMON a écrit :
> > Bonjour, > > La directive DSP2 sur l'authentification forte pour les paiements par > Internet, est un sujet d'actualité : obligation d'installer un logiciel > non libre sur son téléphone pour faire des paiements par Internet… > > Afin de mutualiser les informations, questions, arguments et analyses, > un pad a été créé : > > https://pad.april.org/p/atelier-directive-dsp2 > > N'hésitez pas à l'alimenter \o/ > > Librement, > > Christian (Cpm).
Personnes
- Christian (Cpm), cmomon@april.org
Références
Liens vers le texte ?
- Directive UE
- Document 32015L2366
- Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE (Texte présentant de l'intérêt pour l'EEE)
- https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32015L2366
- Transposition en droit français :
- Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur
- https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000035394629\&dateTexte=20180112
Presse :
Autres :
Historique
Retrouver les étapes et dates de la directive
- 09/2019 : report en vue :
- 14/09/2019 : date prévisionnelle d'entrée en vigueur mais en Mars 2021 cela ne semble toujours pas obligatoire ni encore imposé par une banque commerciale.
- 21/09/2019 :
PROBLÉMATIQUES
Éthique
Comment accepter l'obligation d'utiliser un logiciel non libre pour un « besoin fondamental » ?
Sécuritaire
Comment faire confiance à une application non libre ?
Comment faire confiance à une application lorsqu'on ne peut pas faire confiance au système d'exploitation en dessous ?
Exemples :
- les couches non libres dans Android ;
- les sauvegardes automatiques dans ses datacenter pour Apple ;
- …
Comment faire confiance à une application lorsqu'on ne peut pas faire confiance à l'ordiphone ?
Exemple :
- puce téléphonie maître sur la mémoire et les processeurs ;
- puces sans spécifications fournies ou garanties (wifi…) ;
- carte SIM duplicable :
- …
Pratique
Ne fonctionne pas sous LineagOs ? « Le Crédit Mutuel précise dans sa FAQ qu'un téléphone rooté/jailbreaké est incompatible avec son application mobile et qu'il faut retourner aux réglages usine du téléphone. » https://linuxfr.org/users/fcartegnie/journaux/l-authentification-molasse#comment-1796701
Disponibilité d'alternatives
La directive impose un système d'authentification fort mais n'impose pas de passer par un téléphone. Ainsi, il existe déjà des solutions en dehors du téléphone.
La plupart s'appuient sur un boîtier externe où l'on met sa carte bleue pour obtenir un code à usage unique et temporaire. C'est un système très efficace et relativement simple.
Liste de banques proposant des alternatives (préciser la date de mise à jour de chaque point et ne pas oublier le découpage en caisses régionales pour les banques concernées):
- Caisse d'épargne,
- Rhône Alpes (Mars 2021) : annonce qu'elle va imposer (sans donner de date butoir) son application propriétaire et en propose pas d'alternative bien qu'elle l'ait fait avec son terminal physique auparavant
- Banque Populaire (Proposait historiquement un terminal physique appelé Pass Cyberplus https://aide.bpalc.fr/articles/pass-cyberplus/)
- Banque Postale (certicode : validation par SMS, Certicode Plus : via l'applicatif non-libre de la banque)
- Crédit Mutuel
- Digipass : lecteur de QRcode https://www.creditmutuel.fr/cmo/fr/particuliers/comptes/digipass.html https://www.creditmutuel.fr/cmo/fr/particuliers/comptes-et-services/comment-activer-et-utiliser-digipass.html
- Safetrans : boitier USB non compatible GNU/Linux d'après https://www.creditmutuel.fr/fr/identification/se-connecter-avec-un-lecteur-safetrans.html
- Société Générale
- (date???) Virements internationaux possibles uniquement via le service Pass Sécurité dans l'application de la Société Générale https://particuliers.societegenerale.fr/securite/pass-securite#lesoperationspossiblesaveclepasssecurite
Adoption de protocoles interopérables
L'adoption de protocoles ouverts permettrait la création d'applications libres d'authentification. Protocoles :
- HOTP/TOTP
- Certificat x509 présenté par le client (supporté par firefox depuis toujours)