La souveraineté numérique est-elle possible ?

[g4lly]

il y a 11 minutes, Alzoc a dit :

Je l'ai fait aujourd'hui sur mon compte. Ça a littéralement pris 5 min.

Téléchargements de l'appli puis sélection de ta banque. Ça ouvre automatiquement l'appli de ta banque qui te demande une vérification de sécurité pour lier le ou les comptes courants de ton choix à Wero.

Ensuite tu peux associer ton e-mail et/ou ton numéro de téléphone (avec code de vérification envoyé par mail/sms) à ton compte Wero pour que les gens puissent te retrouver plus facilement. En pratique tu n'est même pas obligé de le faire cette opération si tu n'en a pas envie. L'appli permet d'éditer des QR codes à scanner pour faire un transfert direct si la personne est dans la même pièce que toi.

Une fois que j'ai eu parametré tout ça une personne a pu me faire un transfert dans la minute qui a suivi.

Franchement c'est encore plus simple d'utilisation que son prédécesseur Paylib qui était restreint aux principales banques françaises. Maintenant ça devrait aussi pouvoir fonctionner avec les banques européennes qui sont rentrées dans le programme.

Paylib marchais pas mal mais était effectivement limité pr le nombre de banques adhérentes.

[FATac]

Il y a 14 heures, Manuel77 a dit :

Qui parmi vous utilise Wero, l'alternative à Paypal etc. développée par les banques européennes ? En ce moment, on en fait beaucoup de publicité à la télévision en Allemagne.

Il n'est pas encore activé sur mon compte courant chez ING Allemagne. On peut soi-disant envoyer de l'argent à un numéro de téléphone (ou aussi, comme avec Paypal, à un e-mail ?), on n'a pas besoin d'IBAN.

Wero marche très bien. C'est la fusion des différentes solutions bancaires de micro-paiement/virement instantanés qui existaient auparavant (Paylib, Lyfpay, etc.).

En fait, il n'y a pas besoin d'IBAN pour faire le paiement (vers un numéro de téléphone). C'est le destinataire du paiement qui doit enregistrer, de son côté, son IBAN pour récupérer les fonds. Mais le payeur n'a plus à en avoir connaissance.

[lm2]

On 6/4/2025 at 10:46 PM, Manuel77 said:

Qui parmi vous utilise Wero, l'alternative à Paypal etc. développée par les banques européennes ? En ce moment, on en fait beaucoup de publicité à la télévision en Allemagne.

Il n'est pas encore activé sur mon compte courant chez ING Allemagne. On peut soi-disant envoyer de l'argent à un numéro de téléphone (ou aussi, comme avec Paypal, à un e-mail ?), on n'a pas besoin d'IBAN.

wero n'est que la suite "marketing" de l'anciennement paylib.

j'ai deux problématiques avec wero :

-ca ne remplace pas visa/mastercard, vu que les flux financiers sont entièrement entre particuliers (hors cadre familial je fais jamais de transactions, donc rib uniquement et en famille)

-c'est dépendant de google/apple, vu que cela exige de facto un smartphone pour fonctionner. C'est un peu le paiement "à la whatsapp" adopté par l'europe, à l'origine belge.

 

pour ma part, comme cela ne peut fonctionner que sur ios/android, c'est exclu de ma vie, aucune surprise.

On 3/24/2025 at 11:51 AM, g4lly said:

https://lasuite.numerique.gouv.fr/

pour fonctionnaires uniquement ;)

On 3/24/2025 at 1:03 AM, rogue0 said:

L'intention est louable , la mettre en pratique est loin d'être simple.
Parce que les GAFAM ne sont que la partie émergée de l'iceberg en terme de l'omniprésence des US dans la tech dans sa globalité (du hardware (brevets, conception, fabrication), software au cloud).

Pour l'illustrer, voici un petit billet du 7 mars 2025 : où un journaliste de next inpact a tenté l'exercice de lister toutes les dépendances à la tech US dans sa journée de travail, et de tenter de trouver des alternatives non US.

https://next.ink/173798/boycotter-la-tech-americaine-cest-theoriquement-possible-mais-ca-ne-va-pas-etre-simple/

Spoiler : grosso modo, c'est à peu près aussi dur que de tenter de se passer du made in china pour les objets du quotidien.
Ce n'est pas une mission impossible, mais disons que ça ressemble plutôt un triathlon + une course d'obstacle pour certains monopoles de fait.

-----------------------

N'empêche que les acteurs français et européens continuent leurs efforts (il est vrai trop progressivement, et de façon trop discrète).

EDIT:
80 acteurs européens de la tech lancent un appel ... en gros "à se réarmer" aussi pour la souveraineté de la tech européenne.

https://next.ink/175658/eurostack-les-acteurs-de-la-tech-appellent-a-un-sursaut-de-souverainete-europeenne/

L'appel est plutôt justifié, même si c'est aussi une demande à la Commission Européenne de lancer un plan (avec des gros sous) pour financer tout ça ...
Avant que notre dépendance à la tech US soit utilisée par les USA comme chantage (encore plus radical que la dépendance aux armes US).

-------------------------------

La division numérique du gouvernement français a lancé une suite bureautique alternative (à Office 365, Teams, Outlook), sur la base d'outils libres, et logés dans le cloud souverain.

https://www.frandroid.com/culture-tech/web/2549907_voici-la-solution-francaise-publique-pour-vous-faire-oublier-google-docs-gmail-et-meet

https://lasuite.numerique.gouv.fr/

C'est tout neuf, c'est actuellement réservé aux entreprises, y aura certainement des (gros) plâtres (et failles de sécurité) à essuyer les premières années, tout le monde va râler à l'usage ...
Est-ce que ça va affecter le quasi monopole de office 365 ? Non
Est-ce que cette tentative va se solder par un échec ? Probablement.

Mais seuls ceux qui ne font rien ne se trompent jamais...

1. prendre frandroid pour comptant j'éviterais.. comme presse citron, tribunal du net et autres closer...

2. lasuitenumerique est destinée aux fonctionnaires

 

 

3.

ce commentaire est plutot intéressant :

 

Quote

https://next.ink/brief_article/google-developpera-desormais-android-en-interne/#comment-2182522

OB

Modifié le 28/03/2025 à 10h17
Il y a quelques années déjà il me semble que c'était Huawei qui avait perdu le droit d'intégrer Android sur ses téléphones et était reparti bon gré mal gré sur sa propre couche logicielle.

Dès actuellement on a des solutions techniques : l'AOSP actuel, déjà, qui donne lieu à énormément de variantes.
Mais aussi de tête il y a Sailfish OS, PureOS , Mobian, Ubuntu Touch...

Certain ont des couches de compatibilité avec les appli android (après tout, malgré les différences de plus en plus prononcées, ça reste du userland Linux qu'on pourrait virtualiser)

A mon sens le seul vrai gros problème qu'il y a c'est l'écosystème et surtout les applications, qui se jettent avec bonheur dans les liens très doux (mais de plus en plus serrés) des API proprio Google, les "systèmes de sécurité" qui bloquent les applis (bancaire notamment), ...

Pour moi ici il y a un vrai sujet de souveraineté & d’interopérabilité. Si, demain, il y a un vrai gros conflit ouvert avec les USA, on avait parlé des outils bureautique, mais on peux imaginer qu'un matin quand on se lève, t'ai plus de notifications (ça passe par Google), plus d'authentification, plus de gestion cloud donc plein d'app qui démarrent plus.... Pas mal de blocages, très rapidement.

C'est "rigolo" car il n'y a, encore aujourd'hui, pas cet effet-là sur PC.
Même sans liaison au mothership microsoft, on pourra continuer à démarrer ton PC , imprimer des PDF & autre, quitte parfois à aller télécharger Firefox ou - horreur - installer Linux :-)
Et à condition de bloquer Windows Update qui peux planter tout un parc en une nuit ... :-)

=> Bref, pour moi le contexte actuel serait idéal pour que la France & l'EU se penche sur cette question de l’interopérabilité des terminaux, et oblige certains services essentiels (comme les applis lié aux banques, aux impôts, ....) à fonctionner même dans l'hypothèse où les USA font défaut, et ce avant que ça arrive pour de vrai.

https://next.ink/brief_article/google-developpera-desormais-android-en-interne/#comment-2182522

 

Pour moi l'absence de smartphone me permet d'être complètement en retrait des GAFAM.

une appli ios/android = un lien forcément avec l'oncle SAM (apple ou  google)

meme lineageos est complètement dépendant de facto de google.

je fais tout mon informatique sur ordi, et jamais ailleurs. Mais comme mes concitoyens adorent bouffer gafam à longueur de journée, voire en dépendre complètement pour leur activité pro, mon discours ne concerne que moi et n'est pas du tout représentatif, bien qu'il est en pleine indépendance des dits gafam.

[g4lly]

il y a 17 minutes, lm2 a dit :

Pour moi l'absence de smartphone me permet d'être complètement en retrait des GAFAM.

Comment tu gères tes authentifications à double facteur imposées par l'union européenne - DSP2 - ?!

[lm2]

6 minutes ago, g4lly said:

Comment tu gères tes authentifications à double facteur imposées par l'union européenne - DSP2 - ?!

comme expliqué ici :

 

 

2FA par SMS, sinon je passerai à la  yubikey. Zéro appli, zéro problème.

une banque, avant, permettait l'idée ingénieuse de remettre des fiches A4 de "bataille navale", aka quel chiffre est en B3? et l'idée était parfaite.

malheureusement la banque ayant supprimé ce fonctionnement et imposé l'appli, beaucoup ont simplement réagi en fermant leur compte.

 

1. les banques n'ont aps d'obligation d'applis, la 2FA ne parle meme pas de smartphone

2. les banques sont supposées fournir une alternative à l'appli, comme pour certaines un petit boitier indépendant, parfois facturé (mais elles n'ont pas le droit de forcer sa vente)

3. la plupart des banques FR mettent à fond en avant leur appli bancaire, mais c'est loin de faire l'unanimité : la plupart de mes connaissances sont en 2FA par SMS comme moi, on trouve ça bcp plus flexible. Ca dépend d'un opérateur FR, et d'aucune entité étrangère (pour la 2FA)

3bis : la plupart des applis bancaires sont vraiment pas terribles, d'après mes retours... j'en vois chaque jour s'en plaindre sur internet

3ter : le piège de l'appli bancaire : bientot l'appli pourra exiger de tourner uniqueemnt sur la dernière version d'ios/android, ça fait piquer.

4. il existe également les yubikey.

 

rien que par ex si on prend l'exemple de la BNP, ils ont énormément de clients en 2FA par SMS. 2FA très bien organisée puisqu'il faux deux codes, dont l'un définit lors de l'ouverture du compte, qui n'est jamais transmis par SMS.

9. et quelques irréductibles que je connais qui n'ont pas de mobile, et qui font tout en passant par des tiers (et ils sont pas tous vieux, loin de là), et remboursent en liquide/chèque derrière ;)

 

je sais pas si le DSP2 prévoit de rendre illégal l'envoi de SMS d'ici 2027, mais j'en connais beaucoup qui ne passeront pas/jamais à l'appli (la plupart possèdent un smartphone, et cette obligation va certainement les convaincre à jeter "le précieux" pour imposer leur établissement une alternative)

 

donc voilà la problématique : si demain pour telle ou telle raison, google/apple et la france sont en bisbille (plus microsoft), ça va swinger sur l'applicatif hexagonal. Un peu comme les cycliste qui font un check de loin aux voyageurs bloqués sur le quai lorsque le train est annulé ;)

pour te faire comprendre mon opinion des applications en tout genre :

 

[g4lly]

il y a 1 minute, lm2 a dit :

2FA par SMS, sinon je passerai à la  yubikey. Zéro appli, zéro problème.

La plupart des banques ne font plus par SMS c'était une solution temporaire jusqu'à la mise en pace des solutions biométrique ...

[lm2]

6 minutes ago, g4lly said:

La plupart des banques ne font plus par SMS c'était une solution temporaire jusqu'à la mise en pace des solutions biométrique ...

lesquelles ne permettent plus du tout le SMS?

j'en connais aucune qui interdit la 2FA par SMS, et qui sied en france (sauf une)

 

 

biométrique dans quel sens?

pour ma part, jamais je passerai par un système type empreinte digitale, ou reconnaissance faciale.

Modifié le 6 juin par lm2

[g4lly]

il y a 10 minutes, lm2 a dit :

lesquelles ne permettent plus du tout le SMS?

j'en connais aucune qui n'a pas son siège en france.

CM/CIC sauf si tu fais une demande spéciale expliquant ta situation ... genre t'es trop vieux pour comprendre ton smartphone. Pendant un temps ils te laissait le choix mais depuis 2024 c'est devenu l'exception. A priori au CA c'est pareil, j'ai pas fouillé chez les autres.

De toute façon le probleme risque d'etre réglé avec DSP3 en 2026. C'est sensé renforcer l'accessibilité ... Mais ca sera le top de l'emmerdement puisqu'il faudra à la fois le générateur de Token ET le SMS OTP ...

Sinon effectivement il y a encore les générateurs de token ... en général ils sont payant, et pas très pratique si tu dois le balader constamment avec toi.

[mehari]

5 minutes ago, g4lly said:

La plupart des banques ne font plus par SMS c'était une solution temporaire jusqu'à la mise en pace des solutions biométrique ...

On notera que la 2FA par SMS n'est pas du tout sûre. Il n'y a aucune mesure de sécurité dans le protocole SMS.

C'est mieux que rien mais pas vraiment au niveau des autres méthodes.

[lm2]

2 minutes ago, g4lly said:

CM/CIC sauf si tu fais une demande spéciale expliquant ta situation ... genre t'es trop vieux pour comprendre ton smartphone. Pendant un temps ils te laissait le choix mais depuis 2024 c'est devenu l'exception. A priori au CA c'est pareil, j'ai pas fouillé chez les autres.

De toute façon le probleme risque d'etre réglé avec DSP3 en 2026.

Sinon effectivement il y a encore les générateurs de token ... en général ils sont payant, et pas très pratique si tu dois le balader constamment avec toi.

toutes les banques traditionnelles proposent en effet le boitier, mais beaucoup l'ont eu gratos car smartphone non compatible.

 

que je sache, chez :

boursobank

hellobank/BNP

fortuneo

N26

les SMS par 2FA sont encore chez bcp de clients, pendant encore longtemps (nombreuses années)

 

seul le credit mut fait croire que l'appli est obligatoire (ils se bouffent des remontrances à ce sujet) alors qu'ils proposent également le petit boitier.

 

pour moi le boitier est clairement plus avantageux qu'une appli mobile, y'a pas photo : indépendant du tel, pas les problemes courants du smartphone, etc ,etc.. le seul inconvénient est de l'avoir sur soi, mais bon : je fais jamais d'achat sur internet à l'extérieur de chez moi, c'est une précaution.

[lm2]

1 minute ago, mehari said:

On notera que la 2FA par SMS n'est pas du tout sûre. Il n'y a aucune mesure de sécurité dans le protocole SMS.

C'est mieux que rien mais pas vraiment au niveau des autres méthodes.

à part être intercepté? quel risque?

suffit de pas être au téléphone lors de la transaction, et malgré que le truc passe en clair, de ne pas le donner à un tiers.

j'en connais énormément qu'ont la 2FA par SMS, ils ont jamais eu de pb. Enfin bcp moins que les escroqués à l'arnaque au faux banquier via l'appli parce qu'ils ont décroché.

 

mais le principal sujet, reste la dépendance outrancière aux gafam du pays, notamment le trio apple/google/fb. J'ai aucune confiance en ceux ci, personnellement.

Modifié le 6 juin par lm2

[lm2]

21 hours ago, g4lly said:

CM/CIC sauf si tu fais une demande spéciale expliquant ta situation ... genre t'es trop vieux pour comprendre ton smartphone. Pendant un temps ils te laissait le choix mais depuis 2024 c'est devenu l'exception. A priori au CA c'est pareil, j'ai pas fouillé chez les autres.

 

Comme le CM impose l'appli ou le boitier partout, à priori ils ont un bon destockage du second pour les réticents aux applis, selon mes retours :

Quote

" le digipass ? Les frais de licence pour l’utilisation sont offert en ce moment. "
trop de clients qui menacent de fermer leur compte?

 

[mehari]

21 hours ago, lm2 said:

à part être intercepté? quel risque?

suffit de pas être au téléphone lors de la transaction, et malgré que le truc passe en clair, de ne pas le donner à un tiers.

j'en connais énormément qu'ont la 2FA par SMS, ils ont jamais eu de pb. Enfin bcp moins que les escroqués à l'arnaque au faux banquier via l'appli parce qu'ils ont décroché.

Tu présentes ça comme très simple mais les gens se plantent quand même. Le 2FA par SMS, outre sa vulnérabilité au social engineering, est vulnérable aux interceptions à cause de failles dans le protocole SS7 (en gros, les SMS peuvent être détournés).

Ça veut dire que quelqu'un qui dispose du password nécessaire à la connexion peut aussi intercepter le SMS fournissant l'OTP utilisé par le 2FA.

Le risque est purement et simplement de voir son compte en banque drainé par un attaquant. Alors certes, tu connais plein de gens qui utilisent le 2FA par SMS et n'ont jamais eu de problème mais (outre le fait qu'ils s'agisse d'une généralisation abusive), c'est un scénario d'attaque qui a déjà été mis en œuvre. En 2017, plusieurs client d'une banque allemande ont vu leur comptes vidés à cause de cette vulnérabilité.

https://cylab.be/blog/171/sms-based-2-factor-authentication-is-insecure