@mmu_man Le crédit mut menace de faire pareil soon 😕.
Faudra faire tourner les banques "téléphone portable normal" friendly

@modesmax le pb c'est que les banques ont fait du lobby à la Commission EU pour imposer ça, donc toutes les banques vont devoir s'y mettre (en fait c'est déjà obligatoire)… 🤷

@mmu_man @modesmax

Source?
J'ai jamais utilisais d'app de banque ça leur suffit pas d'avoir un site ???
@mmu_man @modesmax @aeris de ce que je lit c'est la DSP2 qui requière une authentifiation forte et y a un truc pratique et standard qui s'appel OTP pour ça…

@striker @modesmax @mmu_man J’ai déjà expliqué plus ou moins 42× que OTP n’est **PAS** compatible DSP2 🤣

@aeris @striker @modesmax @mmu_man les banques font ce qu'elles veulent. Je suis client de 2 banques qui font du MFA via leur appli mobile (vu le process, j'imagine qu'elles "seed" un certif. client dans leur app via un code envoyé par SMS, si si)... La CE continue de vérifier par SMS en prime, au cas où, juste comme ça tous les mois.

Ah on peut se moquer de la crypto des applis de chat, mais les banques françaises. 🤣

@oz @striker @modesmax @mmu_man Pas ce qu’elles veulent. L’authentification par SMS a été rejeté comme 2FA valide par EBA : eba.europa.eu/single-rule-book. Et possible uniquement jusqu’en mars.

@aeris
J'ai l'impression qu'on ne comprend pas la meme chose.
"In this context, a one-time password sent via SMS would constitute a possession element and should therefore comply with the requirements under Article 7 of the Delegated Regulation, provided that its use is ‘subject to measures designed to prevent replication of the elements’, as required under Article 7(2) of this Delegated Regulation."
Ça dit au contraire que c'est valide.
@oz @striker @modesmax @mmu_man

@thomas @oz @striker @modesmax @mmu_man Oui et non. « provided that its use is ‘subject to measures designed to prevent replication of the elements’ » est incompatible avec le SMS « classique ».

@thomas @oz @striker @modesmax @mmu_man Tu dois formellement identifier la SIM et empêcher son clonage. Ce qui est… impossible…

@thomas @oz @striker @modesmax @mmu_man En tout cas la possession du n° de téléphone ou du n° de SIM ne suffit pas : il suffit de se rendre dans une boutique Free avec 2-3 infos obtenu par ingénierie sociale pour obtenir un clone de la SIM et contourner la 2FA. Ça n’identifie pas une personne.

@thomas @oz @striker @modesmax @mmu_man En gros c’est « OTP over SMS c’est valide si tu arrives à empêcher/détecter un clone de la SIM ». Bon courage, c’est en pratique impossible.

@thomas @oz @striker @modesmax @mmu_man Et c’est renforcé ici : eba.europa.eu/sites/default/do
Et aujourd’hui il n’existe pas de solution « SMS/SS7 only » pour permettre à un émetteur de SMS de vérifier l’authenticité du récepteur. Il faudrait aussi… une application mobile ? 🤣

@aeris
Encore une fois le document que tu cites dit que l'utilisation de SMS est autorise pour faire un des deux facteurs (qui est la possession de la carte SIM).
Il n'y a dans le document AUCUNE référence a la possibilité de forger des cartes SIM et que donc ce n'est pas un facteur valide.
@oz @striker @modesmax @mmu_man

@thomas @oz @striker @modesmax @mmu_man SMS n’est **PAS** un facteur de possession parce que la SIM est clonable. C’est un moyen de possession **uniquement** si tu as **en plus** mis des mesures de protection contre le clonage. Ce qui n’est pas le cas et pas possible avec un SMS standard.

@thomas @oz @striker @modesmax @mmu_man Et cet article est d’ailleurs très bien, parce qu’il indique aussi bien qu’une chaîne CVV + SMS n’est de toute façon pas 2FA même avec un SMS acceptable, parce que les 2 reposent uniquement sur un facteur de possession (SIM & CB) et aucun facteur de connaissance.

@thomas @oz @striker @modesmax @mmu_man Eh oui, sur un paiement en ligne tu ne saisis pas ton mot de passe bancaire 🤣

@aeris @thomas @oz @striker @modesmax @mmu_man

et sur le fait que la banque t'oblige a avoir un compte google ou apple c'est pas problématique ? elles devraient deja devoir fournir l'application hors store, impossible pour apple mais possible pour android

@LovisIX @mmu_man @modesmax @nschont @thomas @oz @striker Ça c’est la branche « pub » de ad4screen. Ils font aussi du suivi d’engagement par exemple. Légitime et sans consentement.

@LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker Exodus confond moyen et finalité. Un moyen n’est jamais per se illégitime du point de vue RGPD. Il y a 6 bases légales. Pas une seule.

@aeris

La finalité est de m'envoyer de la pub que ce soit pour un service de la banque ou pour des capotes usagées et de savoir si j'ai tapoté ou pas. La pub n'est pas un motif légitime.

La pub est l'un des cancers qui rongent notre société…

Et si le loi dit le contraire, la loi est mauvaise et il faut la changer.

@modesmax @oz @thomas @nschont @exodus @mmu_man @striker

@LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker La finalité est de suivre les campagnes d’engagement et les cohortes d’utilisateur. Et pour le coup, c’est légitime.

@aeris @LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker

NON MERDE !!!
C'est peut-être légal, mais ce n'est pas LÉGITIME

La loi ne défini que la légalité, pas la légitimité.

Et par ces actions les banques se compretenet en aggresseurs de leurs clients. Même si ce sont des aggressions légales.

Suivre

@aeris @LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker

Le sjuivi de campagnegne d'engagement EST UNE AGGRESSION !!
Mon épicier n'a pas à savoir comment je cuisine la bouffe que j'achète.

@R1Rail @LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker Tu considères ça comme une aggression. Le RGPD dit que c’est légitime (sous condition, qui peuvent être en soi respectées par la CE)

@R1Rail @LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker Tu as parfaitement le droit d’utiliser Google Analytics à partir du moment où tu le mets en œuvre de manière compatible avec le RGPD. Ce n’est pas en soi incompatible avec le RGPD. Ça va être compliqué de l’être mais la présence de GA dans une app n’est pas *en soi* illégitime et illégale (au sens RGPD).

@LovisIX @modesmax @oz @thomas @R1Rail @nschont @exodus @mmu_man @striker En attendant c’est ce texte qui s’applique et du coup ce que fait la CE est éventuellement légale.

@LovisIX @modesmax @oz @thomas @R1Rail @nschont @exodus @mmu_man @striker Et autant je trouve que le RGPD est aussi parfois laxiste, autant ce que les « libristes » voudraient à la place est beaucoup trop extrême (et c’est bien moi qui dit ça 🤣)

@LovisIX @modesmax @oz @thomas @R1Rail @nschont @exodus @mmu_man @striker Typiquement le choix d’une prestation ou d’un produit sur étagère, j’aurai quand même un peu de mal à vouloir l’interdire. Donc des trucs tiers comme ad4sense ou GA, ça restera légale et légitime (si fait correctement).

@LovisIX @modesmax @oz @thomas @R1Rail @nschont @exodus @mmu_man @striker On passe trop souvent sous silence qu’en pratique, une application « parfaite » serait tout aussi inutilisable. Personne n’est en capacité d’internaliser de la répartition de charge, du suivi d’audience, du CDN et cie. Une app aura forcément des dépendances tierces.

@LovisIX @modesmax @oz @thomas @R1Rail @nschont @exodus @mmu_man @striker On parle de machin qui encaisse des millions de clients à chaque maj, donc à devoir gérer du rolling upgrade sur un parc de 60 millions de consommateur. En gérant les pics de charge, la haute dispo…

@LovisIX @modesmax @oz @thomas @R1Rail @nschont @exodus @mmu_man @striker C’est *PAS* le boulot d’une banque de gérer ça pour le coup. C’est plus légitime d’être externalisé qu’internalisé.

@aeris @LovisIX @modesmax @oz @thomas @R1Rail @nschont @exodus @striker tout comme c'est pas le boulot d'une banque de faire le maçon. Pourtant quand elle embauche un maçon celui-ci n'inclus pas ses propres écrans publicitaires dans les murs de la banque.

@aeris @LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker

Parceque demander d'être laissé tranquille, de ne pas être un produit c'est trop extrème ?

De ne pas être obligé de fournir à un adversaire des informations qui lui permettront d'agir contre mes intérêts ?

Parceque tous ces suivis sont bien là pour que la banque pousse vers les produits qui l'arrange ELLE, pas ceux qui arrangent son client.

@aeris @LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker

Et là on a complètement vicié la relation entre un professionnel et son client. L'obigation de conseil ça existe. Celle de loyauté aussi

@R1Rail @LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker Ce qui serait tout aussi problématique avec des solutions « libres ». Tout produit commercial n’a que vocation à pousser ses intérêts.

@R1Rail @LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker Et même si on voulait pousser « ce que les utilisateurs veulent », encore faudrait-il le savoir… 😑

@R1Rail @LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker En tout cas de manière générale, on a tendance à oublier plein de point de détail à la con quand on pond nos solutions magiques.

@R1Rail @LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker Rien que de savoir si la version 1.0.1 a plus de succès ou non que la 1.0.0, c’est pas la même quand tu as 10.000 clients ou 1 million de clients. Ton upgrade de 6h le matin de x millions de téléphone suite à ta livraison du week-end, si t’as pas un CDN tu es juste complètement mort.

@R1Rail @LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker Alors oui il y a de (très) mauvaises pratiques aujourd’hui, mais arrêtons de croire qu’on ferait vachement mieux qu’eux 🤣

@R1Rail @aeris @LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man vous pouvez m'exclure des gens à @ je ne lis plus les notifs (j'en ai 25 en retards)

@aeris @LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker et subordonner un service à la conclusion du contrat avec un tiers c'est légitime ? Surtout quand ce tiers commence par t'assigner un identifiant publicitaire qui te suis partout...

@aeris @R1Rail @LovisIX @modesmax @oz @thomas @nschont @exodus

C'est contraire à mon intérêt légitime à moi.

(heureusement que striker vous a demandé de le démentionner…)

@R1Rail @LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker On parle aussi de banque. Donc où « obligation légale » arrive beaucoup plus rapidement que partout ailleurs…

@aeris @R1Rail @LovisIX @modesmax @oz @thomas @nschont @exodus

Justement, on paye déjà la banque (et cher), donc y a absolument aucun intérêt légitime à foutre de la pub dans une appli qu'on a déjà payée.

@aeris @R1Rail @LovisIX @modesmax @oz @thomas @nschont @exodus quant à l'obligation légale, c'est quand ils veulent, parce que l'obligation de conseil, ça fait un moment qu'ils ont oublié…

@mmu_man @aeris @LovisIX @modesmax @oz @thomas @nschont @exodus d'autant qu'il y'a en France obligation légale à avoit un compte en banque pour toucher un salaire

@mmu_man @R1Rail @LovisIX @modesmax @oz @thomas @nschont @exodus Si. Parce que le suivi d’audience, la segmentation ou l’A/B-testing font parti de choses « techniquement nécessaires » à la vie d’une application.

@mmu_man @R1Rail @LovisIX @modesmax @oz @thomas @nschont @exodus VLC ne fait pas de segmentation. VLC ne remonte pas automatiquement ses erreurs. VLC ne fait pas d’A/B testing. Etc.

Déplier

@R1Rail @LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker Moi aussi. Ce n’est pas une vente subordonnée. Ils ne te vendent pas le tracking…

@aeris @LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker ils ne te fournissent un service que si tu en souscris un autre qui n'a officiellement rien à voir

@R1Rail @aeris @LovisIX @modesmax @oz @thomas @nschont @exodus théoriquement non puisque le tracker n'est pas forcément actif, sauf qu'on a aucun moyen de le savoir.
Donc on est forcé de supposé qu'il peut l'être.

@R1Rail Ouais mais bon le plus genant c'est que ces données se ballade là ou elles ne devraient, si on sais ou elle sont, mais pas qu'on s'en serve pour te servir de la pub.
Si c'était celui qui preleve les données et lui seul qui te sert la pub ben ou est le problème ?
Tu cède forcement a ce que la pub te vend ? Non..Ben pense a autre chose en attendant que ca passe... @aeris @LovisIX @modesmax @oz @thomas @nschont @exodus @mmu_man @striker

Inscrivez-vous pour prendre part à la conversation
Mastodon - Gougère Network

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !