Commentaires : Apps bancaires : les mises à jour Android bientôt obligatoires?

Google renforce drastiquement la sécurité de son écosystème Android avec une nouvelle exigence qui pourrait bouleverser l’usage des applications bancaires. Les développeurs pourront désormais imposer des mises à jour de sécurité récentes pour accéder à leurs services, une décision qui soulève des questions d’accessibilité.

En gros, les ventes de Pixel 9 ne sont pas à la hauteur, donc on te force à changer de téléphone (car, bon, pour installer un LinageOS avec un smartphone récent impose de déverrouiller le bootloader, ce qui n’est pas forcément possible et qui fait automatiquement sauter le PlayIntegrity, bien vu, hein gogole?)

Mais comment éviter la grogne des utilisateurs qui n’en ont strictement rien à faire des « avancées » technologiques? En pondant ça:

Google recommande aux développeurs de prévoir des solutions de repli lorsque le niveau de sécurité « renforcé » n’est pas disponible. Les applications pourront notamment adapter leur comportement en fonction de la version Android de l’utilisateur, offrant ainsi différents niveaux de fonctionnalités selon le degré de sécurité de l’appareil.

Dit simplement, si ça marche pas, plaignez vous aux dev des appli bancaires. Et si tu es dev d’une telle appli, le message est « regarde le super système de sécurité que je t’impose sur ta porte blindée, par contre, laisse une fenêtre ouverte à côté, c’est mieux ».

Ce qui va, au final, sans être devin, être détourné en 2s, les appli root vont simplement faire mentir la détection de la version Android du téléphone pour ces applications pour pouvoir utiliser la fenêtre ouverte.

2 « J'aime »

J’ai basculé sur Android lorsque mon iPhone 4S est devenu un brique. Les applications demandaient un os récent et je ne pouvais plus upgrader mon 4S car Apple ne faisait plus le support.
Su mon Android actuel, impossible d’utiliser certaines applications quand il n’y a pas de sécurité à l’ouverture (pas de code, pas d’empreintes, pas de reconnaissance faciale…)
Obligé d’avoir un second téléphone pour prendre en photo des écrans car le screenshot ne fonctionne pas…
J’aime la technologie quand elle ne m’embête pas, ça devient insupportable.
C’est de ma responsabilité, j’assume !

1 « J'aime »

il y a une logique, mais dans ce cas il faut IMPOSER aux fabricants une période de MAJ de sécurité GARANTIE pour les appareils. et pas juste 2 ans.
et une reactivité dans la publication de ces MAJ… qu’on reste pas bloqué 6 mois en attendant que la marque publie les maj.

Ça tombe bien, c’est prévu :slight_smile:

À partir de mi-2025, les smartphones devront bénéficier d’au moins 5 ans de mise à jour dans l’UE. C’est encore un poil court, mais ça évolue dans le bon sens :slight_smile:

Les mises à jour devront en outre être proposées dans un délai maximum de 6 mois après publication du code source si c’est de l’open source (donc Android par exemple) ou la disponibilité sur un autre appareil de la marque si c’est pas de l’open source (donc par exemple une marque qui aurait un OS propriétaire et sort un nouveau modèle avec une nouvelle version de l’OS doit dans les 6 mois mettre à jour ses anciens modèles de moins de 5 ans vers la nouvelle version de l’OS). Ce délai est réduit à 4 mois quand la mise à jour est relative à la sécurité.

https://eur-lex.europa.eu/FR/legal-content/summary/ecodesign-requirements-smartphones-mobile-phones-other-than-smartphones-cordless-phones-and-slate-tablets.html

3 « J'aime »

Le problème c’est d’utilisé une application pour accéder à une banque qui est de l’hérésie sécuritaire.
Perso depuis 2 ans je ne peu plus accéder à mes comptes, car l’application de la banque refuse de se lancer sur mon samsung

Et pourquoi ? C’est plutôt plus sûr que d’utiliser un simple navigateur…

2 « J'aime »

c’est en rien plus sur.
Utilisé un objet qui peut se perdre facilement, qui est facilement exposé car n’importe quel développeur peut s’accaparer bon nombre d’information sur l’utilisateur et son téléphone, etc…
Et un véritable hacker c’est comme tout voleur de maison, en quoi multiplier les clefs et donc les risques renforce la sécurité ? Puisque dans les deux cas ils leurs suffit juste d’éclater ou contourner la serrure.
Donc en conclusion au nom d’une fois de plus d’une sois disant sécurité, google et ses copains va encore renforcé la main mise sur des systéme et nous rend dépendant en s’assurant que plus personne ne puisse accéder à des services de la vie de tout les jours sans devoir acheté son téléphone, un réseau internet et donc pisté nos vie en prime…

2 « J'aime »

L’objet est facile à perdre, oui. Mais sur les smartphones dignes de ce nom, tout est chiffré, celui qui le trouvera n’arrivera pas à en sortir grand chose (c’est pas pour rien que des sociétés spécialisées dans ça se sont montées pour vendre leur service aux forces de l’ordre : c’est un niveau d’expertise très pointu, et qui se paie donc très cher, personne ne va payer ça pour aller regarder tes comptes bancaires…), et les espaces de stockage privés des différentes applications sont correctement isolés.

Sur ton PC, avec ton navigateur, une simple extension peut déjà aller récupérer des données, une autre application peut aller taper dans les données du navigateur également, etc…

En quoi multiplier les clés multiplie les risques ?

Ça augmente certes le risque qu’une clé soit corrompue. Mais ça réduit le risque que l’accès soit ouvert.

Quand il n’y a qu’une seul clé, il suffit qu’une clé soit corrompue pour avoir l’accès.
Quand il y a deux clés, il faut réussir à corrompre les deux, en corrompre une seule ne suffit plus.

3 « J'aime »

C’est surtout qu’il est préférable d’utiliser un ordinateur car c’est bien plus sécurisé qu’un smartphone. Ne serait-ce déjà qu’au niveau antivirus/antimalwares : tous les PC sont protégés (au moins par windows defender, voire par d’autre logiciels), mais qui a un antivirus sur son smartphone ? Ensuite, un PC se ballade moins et passent moins souvent entre des mains étrangères (exemple : Ecran du téléphone cassé et le réparateur qui me demande le code PIN pour vérifier si tout est ok après la réparation (je n’ai rien donné)). Enfin, si l’écran (donc le tactile aussi) de ton android est mort, tu es bien dans la merde pour transférer sur un autre android (toutes les appli nécessitent de valider certaines demandes sur le smartphone endommagé, ce que tu ne peux pas faire)

tu a un mode « maintenance » sur les smartphone pour justement laisser libre suffisement l’access pour des test fonctionels, sans laisser acceder au contenu de l’appareil

Et le même Google ne met plus à jour mon pixel 4a qui a à peine 4 ans et que je compte bien garder le double, car contrairement à une croyance populaire tenace (et peu responsable), un smartphone est un bien d’équipement et non un consommable.

1 « J'aime »

Si tu ne changes pas de machinphone tous les trois ans t’es un mauvais client… donc il faut te punir !

Ils vont donc tous adopter la stratégie Samsung : rendre le téléphone plus lent au fil des màj jusque ça devienne insupportable et qu’on en change

Justement sur les Pixel, il t’est possible de reverouiller ton booloader, et je crois les fairephone. C’est pourquoi d’ailleurs t’installer grapheneOS qui t’oblige à avoir le bootloader vérouiller.

Après tout est une question du besoin absolu ou non de l’appli bancaire. Cela a toujours été galère avec les Android. Maintenant pour jeter un oeil vite si besoin, ma manque propose l’accès au site avec son navigateur en mode responsive. Donc plus de problème à ce niveau là.

Et sinon pour les achats en ligne, la banque est dans l’obligatoire de proposer des alternatives pour valider. Tout le monde n’est pas censé avoir un smartphone, ou un smartphone compatible avec l’appli de sa banque.

Oui, sur les pixels tu peux reverrouiller le BL, mais si tu changes l’OS (genre si tu installe un GrapheneOS), tu n’auras plus la certification PlayIntegrity qui se base sur une empreinte de l’OS justement. Le principe de cette certification, contrairement à l’ancien SafetyNet, c’est de faire signer, par Google, les OS fournis par les fabricants, donc impossible de modifier ton OS ou d’utiliser un OS open source.

En gros, d’un côté on fait du OpenSource washing, Android c’est open source, c’est pas comme iOS. Mais en fait, la majorité des applications ne peuvent pas fonctionner sur un téléphone Open Source justement, car la majorité des applications dépendent des services Google qui ne sont, justement pas, open source. Pire, elles obligent à avoir un OS signé (et pas juste des applications de confiance), ce qui de facto t’empêche de modifier quoique ce soit sur l’OS.

Heureusement, il y a quelques irréductibles qui fournissent une implémentation des services Google (type microG) en open source, mais, avec les nouvelles astuces du playintegrity, même ça ne tiendra pas dans le temps. D’où l’intérêt de garder vos smartphones le plus longtemps possible, plus de temps passe, et plus vos libertés se restreignent (et toujours, sous couvert de plus de sécurité… pour le compte bancaire de Google).

1 « J'aime »

Tu veux vivre avec ton téléphone c’est ta vie, pourquoi devrais supporté ce que je trouve une contrainte d’avoir un téléphone don je me passe, car j’estime vouloir vivre librement.
Je vais me répèter, mais un hacker n’a rien à faire de tes clefs, il lui suffit de d’éclater la serrure ou de la contourner.
D’ailleurs tu n’auras sans pas ignoré que nos hacker sont de plus en plus actif et que l’on voie de plus en plus des piratages de données et autres et non pas du compte du monsieur et madame michou qui pense etre le nombril du monde et ou bien sûr leur accès ne permet pas d’acceder a ce don qui intéresse le hacker.
Donc en conclusion c’est totalement sans intérêt d’avoir un système de clef don le seul but est d’obliger l’utilisateur a consommer et a devenir un produit de consommation,
cela fait 40ans que je suis sur le Net et les problèmes de sécu ne sont pas là ou ont veux le faire croire…

1 « J'aime »