Atelier-directive-dsp2 : Différence entre versions

De April MediaWiki
(Disponibilité d'alternatives)
(Adoption de protocoles interopérables)
 
(Une révision intermédiaire par un autre utilisateur non affichée)
Ligne 116 : Ligne 116 :
 
*** https://www.creditmutuel.fr/cmo/fr/particuliers/comptes/digipass.html
 
*** https://www.creditmutuel.fr/cmo/fr/particuliers/comptes/digipass.html
 
*** https://www.creditmutuel.fr/cmo/fr/particuliers/comptes-et-services/comment-activer-et-utiliser-digipass.html
 
*** https://www.creditmutuel.fr/cmo/fr/particuliers/comptes-et-services/comment-activer-et-utiliser-digipass.html
** Safetrans : boitier USB non compatible GNU/Linux d'après https://www.creditmutuel.fr/fr/identification/se-connecter-avec-un-lecteur-safetrans.html  
+
** Safetrans : boitier USB non compatible GNU/Linux d'après https://www.creditmutuel.fr/fr/identification/se-connecter-avec-un-lecteur-safetrans.html
 +
* Société Générale
 +
** Virements internationaux possibles uniquement via le service Pass Sécurité dans l'application de la Société Générale https://particuliers.societegenerale.fr/securite/pass-securite#lesoperationspossiblesaveclepasssecurite
  
 
Mais :
 
Mais :
Ligne 127 : Ligne 129 :
 
Protocoles :
 
Protocoles :
 
* HOTP/TOTP
 
* HOTP/TOTP
 +
* Certificat x509 présenté par le client (supporté par firefox depuis toujours)
  
 
==Notes 2020==
 
==Notes 2020==
 
* https://dsp2.fr/france/
 
* https://dsp2.fr/france/

Version actuelle datée du 5 octobre 2020 à 19:36

ATELIER DIRECTIVE DSP2[modifier]

En 2019, la problématique de la directive DSP2 est apparue. Un pad a été créé sur le sujet.

Le 09/09/2019 à 16:06, Christian Pierre MOMON a écrit :

> 
>  Bonjour,
> 
>  La directive DSP2 sur l'authentification forte pour les paiements par
> Internet, est un sujet d'actualité : obligation d'installer un logiciel
> non libre sur son téléphone pour faire des paiements par Internet…
> 
>  Afin de mutualiser les informations, questions, arguments et analyses,
> un pad a été créé :
> 
> https://pad.april.org/p/atelier-directive-dsp2
> 
>  N'hésitez pas à l'alimenter \o/
> 
>  Librement,
> 
>  Christian (Cpm).

Personnes[modifier]

  • Christian (Cpm), cmomon@april.org


Références[modifier]

Liens vers le texte ?

  • Directive UE
    • Document 32015L2366
    • Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE (Texte présentant de l'intérêt pour l'EEE)
    • https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32015L2366


Presse :

Autres :

Historique[modifier]

Retrouver les étapes et dates de la directive


PROBLÉMATIQUES[modifier]

Éthique[modifier]

Comment accepter l'obligation d'utiliser un logiciel non libre pour un « besoin fondamental » ?

Sécuritaire[modifier]

Comment faire confiance à une application non libre ?

Comment faire confiance à une application lorsqu'on ne peut pas faire confiance au système d'exploitation en dessous ?

Exemples :

  • les couches non libres dans Android ;
  • les sauvegardes automatiques dans ses datacenter pour Apple ;


Comment faire confiance à une application lorsqu'on ne peut pas faire confiance à l'ordiphone ?

Exemple :


Pratique[modifier]

Ne fonctionne pas sous LineagOs ? « Le Crédit Mutuel précise dans sa FAQ qu'un téléphone rooté/jailbreaké est incompatible avec son application mobile et qu'il faut retourner aux réglages usine du téléphone. » https://linuxfr.org/users/fcartegnie/journaux/l-authentification-molasse#comment-1796701


Disponibilité d'alternatives[modifier]

La directive impose un système d'authentification fort mais n'impose pas de passer par un téléphone. Ainsi, il existe déjà des solutions en dehors du téléphone.

La plupart s'appuient sur un boîtier externe où l'on met sa carte bleue pour obtenir un code à usage unique et temporaire. C'est un système très efficace et relativement simple.

Liste de banques proposant des alternatives :

Mais :

  • le proposent-elles toutes ?
  • Continueront-elles à le proposer ?

Adoption de protocoles interopérables[modifier]

L'adoption de protocoles ouverts permettrait la création d'applications libres d'authentification. Protocoles :

  • HOTP/TOTP
  • Certificat x509 présenté par le client (supporté par firefox depuis toujours)

Notes 2020[modifier]