DPS2 - Quand la sécurité des banques imposent de souscrire aux GAFAM sur son mobile - Décryptualité du 16 septembre 2019

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : Décryptualité du 16 septembre 2019 - DPS2 - Quand la sécurité des banques imposent de souscrire aux GAFAM sur son mobile

Intervenant·e·s : Nolwenn - Nico - Manu - Luc

Lieu : April - Studio d'enregistrement

Date : 16 septembre 2019

Durée : 14 min

Écouter ou télécharger le podcast

Revue de presse pour la semaine 37 de l'année 2019

Licence de la transcription : Verbatim

Illustration :

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Transcription : MO

Description

DSP2, la directive sur les services de paiement entre en vigueur et donne lieu à des applis propriétaires accessible uniquement depuis un store de GAFAM qui imposent de choisir entre ses libertés informatiques et la facilité d'accès à son compte bancaire.

Transcription

Luc : Décryptualité.

Voix off de Nico : Le podcast qui décrypte l’actualité des libertés numériques.

Luc : Semaine 37. Salut Manu.

Manu : Salut Nico.

Nico : Salut Nolwenn.

Nolwenn : Salut Luc.

Luc : Qu’a-t-on au sommaire ?

Manu : Une jolie revue de presse, relativement longue cette semaine.

Nolwenn : MacGeneration, « Apple membre d'une fondation pour la promotion de l'open source à Hollywood », un article de la rédaction.

Manu : Pas mal d’entreprises dont on va parler cette semaine et Apple en premier, les GAFA. Il se trouve qu’ils vont faire des choses qui semblent bien, promouvoir du logiciel libre pour être utilisé dans les studios de cinéma. C’est intéressant, mais ça fait toujours bizarre que ce soient des grandes boîtes comme Apple qui fassent ça.

Nolwenn : Le Monde.fr, « Ce que les «révélations Snowden» ont changé depuis 2013 », par Martin Untersinger.

Manu : C’est à l’occasion d’un livre de Snowden qui est en train de sortir en ce moment que l’on se rend compte de tout ce qui a été apporté par lui et sa sortie de la NSA. C’est considérable et, n’oublions pas, il est toujours bloqué en Russie, il ne peut pas sortir alors que pourtant il a demandé...

Luc : On est lundi 16 et il a à nouveau exprimé son souhait d’être accueilli par la France.

Manu : Il y a une ministre qui a dit oui.

Luc : La ministre de la Justice a dit oui. Une députée européenne de La République en marche a dit qu’elle était favorable aussi et, derrière, l’Élysée a fait : « Vous déconnez ! » Moi j’étais surpris parce que je me disais que la ministre n’a pas pu sortir ça de sa propre initiative, normalement un ministre ça obéit aux ordres !

Nolwenn : Ce n’est pas à un organisme indépendant de l’État de prendre cette décision ?

Luc : Oui ! Tu sais, l’indépendance c’est très relatif ! Qui les nomme ? Qui les paye ?

Nolwenn : tom's guide, « Huawei propose maintenant ses MateBook avec Linux », par Guillaume.

Manu : C’est un gros sujet international. Huawei, entreprise chinoise, est en quelque sorte poussée au banc des sociétés par Donald Trump ; il ne les aime pas.

Luc : Il les accuse d’espionner tout le monde.

Manu : On peut imaginer, effectivement, que ce soit peut-être le cas, parce que le dirigeant de Huawei est un ancien militaire chinois. N’empêche que ça fait beaucoup de mouvement au niveau des grosses entreprises, notamment ça veut dire que les logiciels faits par les Américains vont être de moins en moins utilisés par les Chinois, qui sont en train de se retrouver sur des logiciels libres.

Luc : On a failli le prendre comme sujet principal pour ce soir, mais finalement on s’est arrêtés sur autre chose.

Nolwenn : Numerama, « Bruno Le Maire refuse d'autoriser «le développement de Libra sur le sol européen» », par Julien Lausson.

Manu : Libra, c’est du logiciel libre, mais c’est quoi ?

Luc : C’est la cryptomonnaie de Facebook.

Manu : Ah oui, de Facebook ! Ça fait bizarre parce qu’il y a deux milliards d’utilisateurs potentiels derrière et ça fait plus que bizarre, ça fait peur aux États et l’État français a annoncé officiellement que jamais au grand jamais ce genre de monnaie ne fonctionnera sur le sol français ou européen.

Nico : Forcément ! Quand Facebook sort plein de conneries pour rentrer dans la vie privée des gens on laisse faire, sans problème, par contre dès qu’on touche à la monnaie de l’État c’est chasse gardée et là, ça mord !

Luc : La monnaie reste un truc très puissant. On peut aussi dire que constatant l’étendue des conneries faites par Facebook, leur laisser faire une monnaie ce n’est peut-être pas une bonne idée !

Nolwenn : Le Monde.fr, « Domestiquer les géants du numérique », un article de la rédaction.

Manu : On parle encore des entreprises, les GAFA toujours. Aux États-Unis, eh bien les institutions sont en train de regarder ce qui se passe dans ces grands monopoles, des monopoles de fait, et d’essayer un peu de les ouvrir aux marchés parce que c’est la théorie américaine, la théorie économique américaine, le marché est roi et il ne faut pas que des Google, des Amazon, puissent utiliser leur situation prédominante à leur avantage.

Luc : Il était temps de se réveiller !

Nolwenn : Next INpact, « La France affûte sa transposition de l'article 17 de la directive Droit d'auteur », un article de Marc Rees.

Manu : Je n’ai pas regardé en quoi elle était affûtée cette transposition, mais on sait que ça concerne le droit d’auteur et ça nous embête beaucoup dans le milieu du logiciel libre, parce que, simplement, ça met en place des systèmes de censure automatisée qui, en grande partie, sont gérés par les GAFA, encore une fois, et ça leur donne, de fait, du pouvoir.

Nolwenn : ZDNet France, « Microsoft organise la première conférence pour le sous-système Linux de Windows », un article de Steven J. Vaughan-Nichols.

Manu : C’est un incroyable sujet à trolls. On reparle encore d’une grosse entreprise américaine, Microsoft. Le sous-système, ce n’est pas une insulte, c’est simplement que maintenant Windows inclut de fait un noyau Linux. C’est un peu bizarre. Je pense qu’il y a des gens dans le monde du Libre qui sont très étonnés de cela et puis, n’oublions pas, la semaine dernière Richard Stallman était à Microsoft pour faire une conférence. Ça ne veut pas dire qu’il les aime, mais en tout cas il a accepté de discuter avec eux.
Le sujet de la semaine ?

Luc : C’est Nicolas l’expert, de quoi s’agit-il ?

Nico : Tout de suite les grands mots. Il s’agit de la DSP2.

Luc : Délégation de service public.

Nico : Non. La directive sur les services de paiement[1].

Luc : Rien à voir alors !

Manu : C’est un truc très récent dont tu nous parles en privé depuis déjà quelque temps parce c’est t’énerve !

Nico : Ce n’est pas que ça m’énerve, c’est qu’aujourd’hui je suis dans la merde à cause de cette directive-là et je pense qu’il y en a plein d’autres qui vont y passer dans pas longtemps.

Manu : De quoi il s’agit ?

Nico : En fait, il s’agit d’une directive qui a été décidée au niveau européen, qui a été votée quand même en novembre 2017, ça date depuis un petit moment. Ce sont les banques qui en ont marre de tous les problèmes de paiement, de fraudes à la Carte Bleue, de vol des données, des codes secrets et autres, donc ont décidé de durcir leurs règles et en particulier d’imposer l’authentification forte, donc la double authentification aux utilisateurs.

Luc : Du coup ça te met dans la merde parce que tu ne peux plus en voler, tu ne peux plus arnaquer les gens. C’est ça ?

Nico : Oui. Je ne peux même plus voler mon propre argent, en fait !

Manu : Il y a encore peu de temps, et encore pour l’instant, quand on veut faire des paiements sur Internet il y a du 3-D Secure, il y a des systèmes où on demande aux gens leur date de naissance, où on envoie un code SMS et on doit retaper ce code SMS ; ce sont les systèmes actuels qui sont en place. Donc ça, ça va évoluer, à priori, parce que c’est en train d’être mis en place, mais ce sont les banques donc elles ne vont peut-être pas y arriver.

Nico : Elles sont déjà complètement à la bourre. C’était censé être mis en œuvre le 14 septembre, c’était samedi dernier. Il y a quelques banques qui l’ont fait mais la plupart sont complètement en retard, donc elles ont réussi à gratter encore 18 mois supplémentaires pour y passer. C’est comme le RGPD [Règlement général sur la protection des données], un truc voté en 2017, applicable en 2019 et puis on verra éventuellement pour des sanctions en 2021.

Luc : Du coup, toi tu voudrais que ça arrive plus tôt ?

Nico : J’aurais bien aimé qu’ils fassent ça proprement parce que c’est vrai que ça part d’un bon sentiment, mais le diable est dans les détails et là, ils ont complètement foiré.

Manu : En gros, ils veulent s’assurer que les gens, quand ils payent par Internet notamment, ce sont bien les bonnes personnes qui ont le droit de payer qui vont le faire et pour cela ça va passer par quel genre de mécanisme ?

Nico : Ça impose, en fait, la double authentification.

Manu : C’est quoi la double authentification ? Déjà authentification c’est compliqué, on le sait !

Nico : La double authentification : en fait vous connaissez votre mot de passe, vous avez besoin le donner et ils ont besoin d’avoir un autre moyen qu’ils appellent soit la possession soit un attribut, en gros quelque chose qui soit propre à vous-même, ça serait de la biométrie par exemple. La possession c’est : est-ce que vous êtes détenteur de votre carte de paiement, de votre téléphone mobile, vraiment quelque chose de physique, matériel.
Du coup, la plupart des banques ont fait le choix de se baser sur les téléphones mobiles, d’intégrer ça dans leurs applications à elles, et c’est là que les ennuis commencent parce que les applications réclament des téléphones propriétaires avec du Google Apps dedans, avec tout plein de saletés. En tant que personne utilisant du logiciel libre, eh bien on ne peut pas utiliser ces applications-là et on se retrouve à la porte de nos propres comptes bancaires.

7’ 12

Nolwenn : Tu parles des gens qui utilisent le logiciel libre, mais les gens qui n’ont pas de smartphone, tout simplement, soit par choix, soit parce que, de toute façon, la technologie leur fait peur et ils se sentent complètement dépassés avec un smartphone. Qu’est-ce qui va arriver à ces gens-là ?

Nico : La même chose. Les banques disent : « Achetez un téléphone, passez au numérique, etc. »

Luc : Du coup ça touche quoi ? C’est-à-dire que quelqu’un comme moi qui veux accéder à ses comptes bancaires depuis son ordinateur et pas son téléphone ?

Nico : Ça touche ça, ça touche l’authentification. Tous les 90 jours minimum vous allez avoir l’authentification forte à passer, donc à chaque fois que vous vous connectez sur votre ordinateur portable, sur votre téléphone mobile ; ça touche aussi à chaque fois que vous allez faire un paiement en ligne donc avec votre numéro de carte bancaire. Il y a quelques exceptions qui ont été prévues genre les paiements mensuels toujours du même montant du coup ça passe sans problème jusqu’à avoir dépassé les 100 euros cumulés et là on va se taper une authentification forte. Sinon tous les paiements ponctuels en ligne, pareil.

Luc : Plus de 30 euros, je crois. C’est cela ?

Nico : C’est tous les paiements récurrents de moins de 30 euros, mais moins de 100 euros cumulés. En gros, si vous faites un paiement de 25 euros, eh bien au bout de trois-quatre mois vous allez avoir une authentification à remplir.

Manu : Donc quand je suis sur mon ordinateur, que je veux me connecter au compte de ma banque, je vais déjà rentrer mes identifiants, mais mon téléphone va vibrer à côté de moi et je vais devoir interagir en plus avec mon téléphone pour confirmer que je suis bien là, que c’est bien mon téléphone et comme ça mon ordinateur va s’ouvrir et va me permettre d’accéder.

Nico : C’est ça.

Luc : C’est un peu comme quand aujourd’hui on reçoit un SMS avec un code, sauf qu’au lieu d’envoyer ça par du SMS que tout le monde est capable de recevoir...

Nico : Ils sont passés par leur application.

Luc : Donc si on n’a pas cette appli, qui sera accessible sur le Play Store de Google ou comment ça s’appelle chez Apple ?

Nolwenn : L’App Store.

Luc : L’App Store d’Apple.Donc si on n’a pas ces applis, on ne pourra effectivement pas bénéficier de ces trucs-là et donc plus d’accès aux services, y compris sur son ordinateur ?

Manu : Ces applis, ce sont des applis comme il y en a plein, qu’est-ce qui m’empêche de les installer sur un téléphone libre, libéré, sur lequel je n’aurai pas un compte Google, sur lequel je n’aurai pas un accès au Play Store, ces choses-là, parce que, après tout, on peut installer des applications d’autres manières !

Nico : Oui. Sauf que ce sont plutôt des choix technologiques et des mauvaises pratiques de la part des banques. Pour avoir cette double authentification on a besoin d’une preuve de possession et ils ont besoin d’aller beaucoup plus bas dans l’accès au téléphone. Donc ils utilisent les briques privatrices de Google, les Google Apps qui sont installées sur la plupart des téléphones vendues sur le marché.

Manu : Pas les téléphones qu’on va dire libérés ?

Luc : Ils font la même chose chez Apple ?

Nico : Il y aura certainement la même chose chez Apple, mais là, quand on est chez Apple, on est chez Apple ! On n’a pas d’équivalent de LineageOS côté Apple.

Nolwenn : Une petite question qui me taraude depuis tout à l’heure : est-ce que c’est RGPD compatible ou pas ?

Nico : Je n’en suis pas encore là. C’est vrai qu’en passant par Google Apps, il y a de grandes chances que ça finisse quelque part dans la nature.

Nolwenn : Il n’y a pas seulement l’utilisation des Google Apps, c’est l’imposition d’utiliser un smartphone avec une application dédiée.

Luc : Parmi nous, qui n’a pas les applis Google sur son téléphone ?

Nico : Moi je ne les ai pas.

Nolwenn : Je ne les ai pas non plus.

Manu : Moi, j’ai !

Luc : Moi je ne les ai pas.

Manu : Voilà ! Donc moi je pourrai accéder à ma banque encore quelque temps, normalement.

Nolwenn : À priori je peux encore y accéder à la mienne mais apparemment ce n’est pas le cas de tout le monde.

Nico : Et tu avais eu de problèmes pour l’activer ! Il a fallu bricoler le téléphone pour réussir à faire fonctionner ça ; à la fin ça marchait. Moi, le 14 septembre, ma banque y est passée et je me suis retrouvé à la porte de mon compte. Je les ai contactés et ils m’ont dit : «  On ne peut rien faire pour vous, vous n’avez qu’à acheter un nouveau téléphone. »

Manu : Ils ont essayé de t’en vendre un. Tu sais que les banques font ça des fois, ils ont essayé ?

Nico : Ouais. C’est une banque N26 en Allemagne qui ne vend pas de téléphones. Ils m’ont dit : « On ne peut rien faire pour vous ». J’ai été obligé de résilier mon compte, je n’avais mème plus accès. Ça devenait même assez marrant parce qu’ils me demandaient de prouver que j’étais moi, en me demandant des informations auxquelles je n’avais accès qu’en me connectant à mon compte, genre les cinq derniers paiements que j’avais faits, « mais je ne peux pas , je ne peux pas me connecter ! »

Manu : Il fallait t’en rappeler, la mémoire !

Luc : Du coup ils ont gardé l’argent ?

Nico : Ils vont me le rendre, j’espère. Mais on peut se retrouver du jour au lendemain...

Luc : Ça pose aussi la question de toutes ces applis souvent pour des services publics, qui sont des applis uniquement disponibles sur les Play Store et tous ces machins. On rappelle, quand on a un compte chez Google, on est nécessairement surveillé, c’est leur business modèle. On pourrait tout à fait considérer que le service offert par Google pour héberger, installer et maintenir toutes ces applications, donc leur Store, on le paye au travers de nos données personnelles. On ne leur verse par d’argent, mais ils se servent sur nos données personnelles pour financer le service. Donc quelque part on a des services publics qui sont financés par la pub et par des services associés chez Google.

Nico : Et puis c’est une situation qui va certainement empirer avec le temps. Là on parle des banques qui ont une contrainte réglementaire, mais la plupart des développeurs d’applications ne sont absolument pas respectueux de ça et on trouve de plus en plus de fonctionnalités qui ne sont disponibles que dans les applications mobiles. Si vous n’êtes pas capable d’installer leurs applications privatrices sur votre téléphone, eh bien vous n’avez plus accès à certaines fonctionnalités. Par exemple j’ai le cas de la Société Générale, là c’est encore une banque, mais vous ne pouvez pas contacter votre conseiller par le Net. Ils ont supprimé l’option, elle n’est disponible que dans l’application mobile. L’application mobile je ne l’avais pas, je ne pouvais pas l’installer. Impossible de contacter mon conseiller !

Manu : En théorie ils vont perdre des clients.

Nico : Oui !

Luc : Non, pas des masses. Ils vont en perdre quelques-uns, mais on n’est pas très nombreux à s’embêter à avoir uniquement des applications libres dans notre téléphone et à ne pas installer le Play Play. C’est absolument minoritaire, donc je pense qu’ils s’en foutent.

Nolwenn : Oui. Enfin une personne qui a juste un stupide phone et qui n’a pas envie de dépenser 400 ou 500 euros dans un nouveau téléphone dont elle ne va, de toute façon, pas savoir se servir, est-ce qu’on n’est pas, quand même, un certain nombre en France à être dans ce cas-là ?

Luc : Je pense qu’il n’y en pas tant que ça. Et, en plus de ça, je ne serais pas étonné qu’ils fassent le calcul de se dire que d’avoir des gens au téléphone et tous ces trucs de services qui coûtent cher pour entretenir une relation client, ça leur coûte finalement plus cher que ce que ces gens-là rapportent et se dire pfft ! OK ! On peut les perdre, on s’en fout !

Nico : Je me suis pas sûr que ce soit qu’on n’est pas si minoritaire que ça dans le cas des banques. On parlait de Huawei tout à l’heure, mais on a interdit à Huawei l’accès à Google Store, donc ils n’auront pas les Google Apps sur leurs téléphones. Ce sont quand même des marques de téléphones qui se vendaient plutôt pas mal

Manu : Quasiment numéro un au monde. Ils ont raté la place de peu.

Nico : En tout cas ils sont dans le top 3 sans problème. Ça fait quand même beaucoup de terminaux. Il y a toutes les personnes avec des déficiences visuelles ou auditives ou autres qui ont du mal à utiliser les téléphones mobiles ; il y a toutes les personnes plus âgées qui n’ont pas du tout de téléphone et qui, aujourd’hui, fonctionnent uniquement dans les banques

Manu : En théorie elles pourront utiliser des tablettes qui sont quand même plus faciles d’accès notamment parce que l’écran est plus grand.

Nico : Ça reste compliqué pour beaucoup de monde au final. , Luc : Peut-être que ce sont des gens qui vont de toute façon en agence donc ils se disent qu’ils ne vont pas les perdre.

Nico : Agences qu’ils suppriment de plus en plus. Maintenant toute opération en agence est facturée ; la mise en place d’un prélèvement SEPA c’est 3,50 euros en agence. Aujourd’hui vous avez le choix entre utiliser du logiciel privateur partout ou être un citoyen de seconde zone et payer plus cher pour avoir accès à tous les services, à galérer à trouver une banque. Avant on galérait pour trouver un PC portable et maintenant on galère pour tous les services.

Manu : Il va falloir trouver une banque qui fasse des services sympathiques, qui soient autant que possible libres. Il y a des services alternatifs par exemple dans l’électricité ou dans les accès à Internet, on en connaît, on en utilise. Peut-être que dans les services bancaires on pourrait trouver des acteurs qui soient plutôt de valeur.

Nico : Sinon on monte notre propre banque. Je pense que ça doit être faisable.

Manu : La semaine prochaine !

Nico : Ça sera peut-être un peu tendu quand même !

Luc : Tout de suite tu recules devant la difficulté. C’est un défi qu’on te lance. On se retrouve la semaine prochaine et tu nous présentes ta banque.

Manu : À la semaine prochaine.

Nolwenn : Salut.

Nico : Salut.