Jordi Inglada

Posts tagged "internet":

07 May 2021

Comment mon banquier veut m'obliger à me faire surveiller par les GAFAM et tuer des ours polaires

tl;dr1 : Le nouvel mécanisme d'authentification des paiements en ligne risque de déclencher des achats massifs de smart-phones dotés des dernières versions d'Android et iOS, et ceci, parce que les banques le veulent bien.

Quand on fait des achats en ligne et qu'on paye par carte bancaire, la sécurité de la transaction est primordiale. Actuellement, après avoir rentré les informations de la carte bancaire sur le site marchand, on reçoit un SMS avec un code que l'on doit ensuite rentrer sur le site de la banque pour finaliser la transaction. Ce système nous protège en cas de vol de la carte, car le malfrat devrait aussi être en possession de notre téléphone portable pour réaliser le paiement. Cependant, ce système n'est pas infaillible, car on peut se faire voler le téléphone et la carte. Il suffit que le téléphone n'ait pas de système de verrouillage fiable pour que le voleur puisse consulter le SMS avec le code nécessaire pour la transaction. Il est aussi possible d'intercepter des SMS si on s'y connaît un peu.

Afin de rendre la procédure plus robuste, à partir du 15 mai, le code reçu par SMS ne suffira plus et il faudra utiliser un mode d'authentification forte. Cela veut dire qu'il faudra une étape supplémentaire dépendant de quelque chose plus difficile à voler.

La plupart des banques vont privilégier l'utilisation de l'application mobile sur smart-phone. Lors de l'installation de l'application, l'utilisateur rentrera un code fourni par la banque qui active le service de paiements. Ensuite, lors d'un achat, il recevra une notification sur l'application qui lui demandera un mot de passe (que seul l'utilisateur connaît et qui est permanent). Puis l'application enverra la validation à la banque pour confirmer la transaction. De cette façon, si la carte et le téléphone sont volés, la transaction ne peut pas être validée sans connaissance du mot de passe. Certaines versions des applications mobiles pourront permettre l'utilisation de biométrie (empreinte digitale, par exemple) à la place du mot de passe.

Cette solution semble très appropriée, mais elle suppose que les utilisateurs disposent d'un smart-phone adapté. On peut se dire que la plupart de clients de services bancaires qui font des achats en ligne sont équipés du téléphone approprié. Cependant, il s'agit d'une hypothèse grossière, car un smart-phone adapté est un dispositif équipé de la bonne version d'Android ou de iOS (les systèmes d'exploitation – OS – de Google et d'Apple respectivement). Que se passe-t'il si vous avez choisi d'être sobre numériquement et que votre appareil a une version un peu trop ancienne le l'OS? Que se passe-t'il si vous avez choisi de ne pas vous soumettre à la surveillance numérique des GAFAM et que vous avez un appareil équipé d'un OS alternatif (et libre, de préférence)?

Je suis dans un de ces cas. Comme tout un chacun, j'ai cherché conseil sur internet et j'ai trouvé ça :

«Que faire si vous ne souhaitez pas télécharger l’application mobile de votre banque ?

Il conviendra de contacter votre conseiller bancaire qui pourra vous renseigner sur les solutions alternatives mises en place par votre banque : achat d’un appareil pour lire un QR Code ou envoi d’un code par SMS doublé d’un code permanent comme celui pour accéder à son compte en ligne par exemple.»

Je me suis donc retourné (virtuellement, évidemment, gestes barrière obligent) vers mon conseiller bancaire (il n'a pas encore été remplacé par un chat-bot) et lui ai posé la question. Il m'a très gentiment répondu que ma banque allait proposer une alternative pour les clients ne disposant pas de smart-phone adapté. Après plusieurs relances de ma part, il est revenu vers moi avec une solution : ma banque me propose d'acheter (à ma charge!) un boîtier dans lequel on insère la carte bancaire et qui génère un code à rentrer sur le site de la banque lors de chaque paiement.

Au premier abord, j'étais plutôt satisfait. Le boîtier ressemble à une GameBoy et ce côté mi-hipster mi-cyberpunk m'a plu. Le coût modique (à ma charge!!) serait acceptable. Mais plus tard, je me suis dit que ça n'allait pas : je garde le même smart-phone depuis des années pour réduire ma pollution numérique, je me rends ridicule en roulant à vélo non électrique pour protéger la biodiversité, j'utilise du shampooing solide pour être économe en emballages plastiques (et je suis chauve!!!). Je ne vais donc pas être complice de la fabrication d'encore un machin électronique qui n'est pas vraiment nécessaire.

Parce que, en fait, il y a d'autres solutions que ce boîtier ou que l'achat d'un nouveau téléphone qui aurait la bonne version de l'OS espion de Google ou d'Apple.

Une première solution est de coupler le code reçu par SMS à un mot de passe seulement connu de l'utilisateur et que l'on rentre sur le site de la banque lors de l'achat2. Mais on pourrait aussi imaginer que la banque fournisse une application installable sur n'importe quel ordiphone. Ça peut sembler fou, mais, si, c'est possible de faire des applications que marchent sur tous les systèmes d'exploitation, sur ordinateur, sur tablette.

Je suis donc revenu vers mon conseiller de la banque pour lui demander confirmation du fait que seulement l'application sur smart-phone et le lecteur GameBoy étaient proposés par son entité.

«Je suis surpris que la seule solution proposée par [le nom de ma banque] soit l'achat d'un dispositif électronique supplémentaire et à la charge du client.

De nombreuses banques proposent aussi l'authentification par mot de passe couplée au code reçu par SMS.

Pouvez-vous me confirmer que [le nom de ma banque] ne propose pas cette solution? Ce serait vraiment dommage, car elle est plus écologique (pas de dispositif électronique supplémentaire) et plus économique.»

C'est là où je me suis dit que j'avais à faire à un chat-bot, parce que sa réponse a été complètement à côté de la plaque :

«Justement, les banques sont dans l'obligation de renforcer la sécurité sur les opérations sensibles, l'envoi de SMS ne suffira plus à partir de fin juin.

D’où la nécessité d'avoir un smartphone ou d'un lecteur»

Il n'a donc pas répondu à la question et m'a donné une argumentation fallacieuse : nécessité de smart-phone ou lecteur de cartes. S'il y a une 3ème option, par définition, les 2 autres ne sont pas nécessaires.

Comme j'avais à faire à un chat-bot, je me suis dit que je pouvais insister sans qu'il se sente harcelé (banker lifes matter, tout de même) :

«Bonjour,

Apparemment, ma question n'était pas claire.

Il y a 3 options proposées par les banques :

  1. une application sur smart-phone qui demande un mot de passe permanent (qui ne change pas à chaque achat) et qui valide la transaction
  2. un lecteur pour la carte qui, après avoir rentré le code de la carte, génère un code à utilisation unique, l'utilisateur rentre ce code sur le site de paiement pour valider la transaction
  3. réception par SMS d'un code à utilisation unique + utilisation d'un mot de passe permanent (que l'utilisateur choisit sur son espace client sur internet, par exemple), les 2 informations sont à rentrer sur le site de paiement pour valider la transaction

J'ai bien compris que [le nom de ma banque] propose les options 1 et 2. Dans mon message précédent, je vous demandais de me confirmer que vous ne proposez pas l'option 3. Vous n'avez pas répondu à cette question.

J'espère que cette fois-ci ma question est claire et que vous pourrez la transmettre au service concerné. Je conçois parfaitement que le sujet de la sécurité informatique ne soit pas de votre ressort.

L'avantage de la 3è option est qu'elle ne nécessite pas de démarche particulière de la part des clients. Je suis persuadé que, à degré de sécurité égal, la satisfaction des clients est sans doute le souci principal de [le nom de ma banque].»

Le dernier paragraphe, était mon test de Turing, car j'avais toujours le doute concernant le chat-bot. La réponse a été claire, ce n'est pas un chat-bot, mais quelqu'un qui se soucie bien peu des clients et qui pourrait donc être facilement remplacé par une IA bon marché :

«Bonjour ,

comme dit précédemment, les deux solutions proposées sont :

Rien d'autre»

Donc, les «solutions» proposées par ma banque (bon, OK, c'est la Caisse d'Épargne) sont, soit l'achat forcé du lecteur GameBoy, soit l'installation d'une application qui demande un smart-phone très récent contrôlé par les GAFAM. Une alternative économe, écologique et non intrusive n'est pas à l'ordre du jour.

On pourrait se dire que le développement logiciel n'est pas le métier d'une banque et donc qu'il est normal qu'ils soient incompétents dans le domaine. Mais en fait, ce serait faux. Les banques ne font que du logiciel, ne vivent que grâce au logiciel. Le monde financier n'est que du logiciel. Et ceux qui développent du logiciel savent qu'il est plus simple de faire un logiciel qui tourne chez soi, dans une infrastructure maîtrisée, plutôt que de faire du logiciel qui tourne chez le client (le smart-phone ici). Donc la raison pour ne pas proposer d'alternative logicielle à l'appli ne peut être qu'un choix délibéré avec des objectifs précis.

Comme le signale 60 millions de consommateurs dans son article récent sur le sujet

«Beaucoup de banques ne communiquent pas sur cette option du code SMS couplé à un mot de passe, et semblent inciter par tous les moyens au téléchargement de leur appli.»

Quel est l'intérêt de nous forcer à utiliser l'application mobile? Nous surveiller? Remplacer complètement les agences? Faire que l'usager s'occupe personnellement de tout gérer au lieu d'embaucher des «conseillers»? Tiens, c'est cohérent avec le remplacement de mon cher conseiller par un chat-bot.

Ou s'agit-t'il simplement de proposer des solutions qui donnent une impression de sécurité (un smart-phone dernier cri, ou un bidule où on insère sa carte pour ceux atteints d'illectronisme) tout en sachant que la plupart d'usagers sont habitués à accepter des technologies qu'ils ne comprennent pas et sur lesquelles ils n'ont aucune prise?

En tout cas, la conséquence de tout ça est l'obsolescence programmée systémique. C'est la même logique qui fait que les anciennes versions de Windows et des OS d'Apple et de Google ne sont plus maintenues, et que les nouvelles versions ne tournent que sur des machines plus puissantes. Et nous en sommes tous complices parce que nous acceptons ça comme si c'était une fatalité.

Et le 16 mai, on changera de smart-phone, parce que grâce aux confinements répétés (et en prévision de ceux à venir), nous avons pris goût aux courses en ligne3 et les ours polaires, ça commence à bien faire.

Merci mon banquier.

Édition du [2021-05-16 Sun]

Quelqu'un d'averti en sécurité informatique m'a expliqué que la solution code SMS + mot de passe permanent est moins sécurisée que la solution basée sur l'application mobile, car le code SMS ne voyage pas par un canal chiffré. Ceci remet en question une des solutions que je demandais à mon banquier. Mais cela remet aussi en question la solution GameBoy, car les boîtiers actuels ne sont pas conformes non plus. En conséquence, la seule solution serait bien une application qui ne soit pas liée à une version particulière d'un OS.

Il est important de noter que les applications mobiles des banques n'ont pas forcément besoin d'accès au réseau mobile. Cette fois-ci, je ne me suis pas limité à lire sur le net et j'ai fait le test. J'ai emprunté un dispositif équipé d'Android 5.04, mais sans carte SIM. J'y ai installé l'application mobile de ma banque, je l'ai configurée pour accéder à mes comptes et ai activé l'option magique pour les paiements méga-sécurisés. Ça a marché. Si je comprends bien, l'application identifie la machine sur laquelle elle est installée et la banque n'acceptera que les validations des paiements issus de cette machine. La même fonctionnalité peut donc être fournie par une application installée sur l'ordinateur sur lequel l'utilisateur fait ses achats en ligne (là on peut supposer que quelqu'un qui fait des achats en ligne a un ordinateur).

Il y a donc bien une solution logicielle qui ne nécessite pas de mettre à la poubelle le matériel actuel. Il suffit un peu de bonne volonté des banques. On peut toujours rêver.

Footnotes:

1

Résumé pour ceux souffrant d'un déficit d'attention dû à la consommation de contenu sur Twitter, Instagram et autres réseaux dits sociaux.

2

Comme précisé dans l'édition du [2021-05-16 Sun] cette solution n'est pas compatible avec la nouvelle réglementation. La seule vraie solution est donc un outil multi-plate-forme (Android, iOS, Linux, Windows, MacOS) et qui ne soit pas lié à une version trop récente de ces OS.

4

Oui, je sais, c'est limite. Mais je me dévoue pour la science et je me suis désinfecté les mains avec du gel hydro-alcoolique à la fin de l'opération.

Tags: fr freesoftware internet banque
13 Sep 2020

The end of e-mail

e-mail is great

e-mail is a great form of communication.

For starters, it is asynchronous, which means that one can choose to deal with it when desired and not to be victim of unwanted interruptions (unlike phone calls).

e-mails can be of any length, from just one word in the subject line and an empty body (unlike a letter), up to several pages of arguments and ideas. They can be accompanied by attached documents and richly formatted1 (unlike the limits of SMS or some «social media» platforms).

e-mails have some kind of permanence, since they can be stored by the sender or the receiver as they want (unlike most modern «social media»).

e-mail is decentralized, in the sense that anybody can have their own server and send and receive e-mails without going through a central server or authority (unlike most of the means of electronic communications we use today, be it SMS, WhatsApp, etc.). e-mail can be considered as the first service in the Fediverse.

e-mail also allows to personalize how one wants to appear on the internet, since an e-mail address can show the belonging to a group, a company, just one's own name or even a chosen nickname.

e-mail sucks

Of course, most people have learned to hate e-mail with an attitude which has become rather hipster.

  • We get lots of e-mail (but much less than what we get on Twitter, Instagram, WhatsApp, etc.)
  • Lots of e-mail is spam (not unlike the ads one gets on all other media)
  • Long e-mail threads with many people in CC are close to spam (not unlike Twitter threads)

All these issues can be solved by using a good e-mail client or MUA which allows us to filter and archive messages to suit our preferences (unlike the algorithms implemented by Twitter, Facebook and even Gmail, which choose what one can see). We can also have a good electronic hygiene by unsubscribing from useless newsletters, implementing «Inbox zero» (if that works for us), shutting off e-mail notifications and using different e-mail addresses for different purposes2.

A monopolistic view of e-mail

Many have predicted, wanted and even worked towards the end of e-mail. You may remember Wave, a Google project presented as the perfect replacement for e-mail. It was discontinued after a very short life, then the Apache Foundation tried to resuscitate it, but it was finally abandoned.

Google was criticized for trying to implement this e-mail substitute as a way to capture all those electronic communications which where happening between people not using Google services. Indeed, despite the popularity of Gmail, both as an e-mail provider (with lots of storage for free) and as an e-mail client (with a very good anti-spam filter, and other useful features to deal with lots of e-mail), this service uses the standard e-mail protocol and therefore, it is difficult to have a monopoly on it.

Why would Google want to have all the e-mail on the internet go through their servers? Because being able to parse and inspect all these messages allows to extract lots of information which is useful to train AI models which in turn can be used to understand what people think, want and need3. Then one can select which ads to show them and how to keep them «engaged» in their platform.

I am picking on Google because it was the first player on this game, but Microsoft is doing the same with the Office365 platform, where Outlook is the Gmail equivalent.

The network effect and the silo

Just providing a complete platform with an online office suite, e-mail (server, storage and client) does not seem enough to force all users to stay permanently on the platform. What should Google and Microsoft do to get people to do all their electronic communications on their platforms?

Until now, they have succeeded in capturing lots of users: nearly everybody has a Google account because of Android and YouTube; and an increasing number of people, at least in the enterprise and academic sectors, are Office365 users because of the «need» of collaborative distributed editing (think SharePoint and the move of Microsoft Office itself to the cloud).

If a large number of business and universities have moved to cloud services like G-suite and Office365, this means that many e-mail messages have a receiver on these platforms. What can these platforms do to get more users? The easiest thing is to make communications with users outside these platforms difficult. For instance, redirect to spam all e-mails coming from domains which are not linked to the platforms. Google will accept messages from Microsoft servers and vice-versa, but will likely flag as spam messages coming from other sources.

Spam is your friend

Fewer and fewer people maintain their own e-mail servers. It is not a matter of lack of technical skills. Easy solutions like Mail-in-a-Box exist, so nearly anybody can install their own server. The problem is that these servers are often blacklisted and the messages they sent are trashed by the receivers4. This makes many sysadmins choose e-mail services hosted by cloud providers, like Gandi, OVH, or Ionos in Europe.

Unfortunately, some of those, like OVH, have chosen to replace the technology they used which was based on Free Software (postfix or sendmail, etc.) by Exchange. Are they loosing their technical skills and prefer to use a commercial product with commercial support? Or are they choosing a solution which is less likely to be flagged as spam? After all, a Russian spammer will use free software instead of buying a Microsoft license.

Regardless, these providers will have a hard time competing with complete integrated solutions as those from Google or Microsoft5.

Break the standards

Now that everybody uses Google or Microsoft servers, there is still one thing that bothers these companies. As e-mail uses a set of open protocols (SMTP for sending and IMAP or POP for getting the messages from the server), there is still the possibility to access Google and Microsoft servers with clients running locally on the users computers. It is therefore impossible for the provider to display ads or monitor how the user interacts with e-mail. This is a loss of potential revenue.

Both Google and Microsoft have announced that they will be shutting down the standard user authentication for SMTP and IMAP. The only way to send and receive e-mail will be to implement an authentication which needs to register the client application with a secret token which may change periodically. That means that only applications for which Google and Microsoft will have given their blessing will be able to communicate with Gmail and Outlook accounts.

Of course, getting a Free Software e-mail client registered with Google or Microsoft should be possible, but their terms of service forbid making public the registration token, which means that it can not be embedded in the free software. Thunderbird and KMail seem to have gotten an exception, but for how long?

The end of e-mail?

So that is a nifty theory about evil corporations working to destroy our dear internet. I am probably wrong and even a little paranoid here, but the fact is that it is increasingly difficult to self-host an e-mail server and use local e-mail clients.

If you have a different point of view or any ideas on how to preserve e-mail as a decentralized and open means of electronic communication, please get in touch. Contact information is available at the bottom of the page.

The sad thing is that most people don't care about these issues. Most people think that the internet is the web. From those, the majority things that the internet is Google or Facebook.

Even most people who are into politics don't care or don't understand. Left-wing anti-capitalists are on Facebook and use Gmail and then they complain when they are censored. Conservative patriotic nationalists in Europe live in Microsoft environments to write and discuss about sovereignty. What a joke!

Footnotes:

1

Although there are drawbacks to that: HTML e-mail is usually twice the volume of a plain text one and it is often used for phishing attacks.

2

Personal and professional, of course, but also having a specific address to give to any commercial entity pretending to need our e-mail contact.

3

"I think of Google as a set of overlapping things. It's a consumer platform, consumer phenomenon of which search is its fundamental activity, but there are many other things you can do than search… I think of Google as an advertising company who services the broader advertising industry in the ways that you know." Eric Schmidt

4

If Gmail has the best anti-spam filter, how come there are so may false positives?

5

Again, free software solutions exist, like those based on Nextcloud and the associated ecosystem of applications, but most business and universities choose to go with Google and Microsoft instead of fostering in-house skills or supporting local companies which can provide maintenance for these solutions.

Tags: free-software internet standards email
Other posts
Creative Commons License
jordiinglada.net by Jordi Inglada is licensed under a Creative Commons Attribution-ShareAlike 4.0 Unported License. RSS. Feedback: info /at/ jordiinglada.net