Bonjour,
Je viens d’arriver a faire fonctionner l’appli :
Apres le reset du Smartphone (chez moi un OnePlus 5)
MicroG → Enregistrement du terminal → Choisir le profil → basculé de “natif” à “réel”.
Redémarrage
Ensuite, j’ai rajouté mon compte google dans MicroG.
Installation de Bourso Bank via “App Lounge”
Test de l’application Bourso bank : Echec !!
Retour Arriere : MicroG → Enregistrement du terminal → Choisir le profil → basculé de “réel” à “natif”.
MicroG → Google SafetyNet → Désactivation de “Autoriser l’attestation du terminal”
Redémarrage du téléphone
Test de l’application Bourso bank : Je me connecte !
…Ouf !
De ce que j’ai compris ce parametre est un des moyens utilisé pour “exiger une attestation de sécurité” de l’appareil hôte.
En gros en le désactivant, ben parfois, l’appli échoue parce que SafetyNet est simulé (et ca sonne faux ! pour l’appli).
Ce que j’en déduit c’est que l’échec pour l’appli Bourso Bank est plus tolérable… que l’activation d’une fausse réponse.
Je reste néanmoins très prudent,… l’équilibre semble fragile !
Salut,
pas très clair le fonctionnement de “Safety” et comment ca se passe sous /e ?
quand est-il des smartphones avec un point d’interrogation pour “safety” ?
d’ailleur il y a un ? sur oneplus 5T concernant "safety, mais pas sur le oneplus 5 !
lequel as tu ?
bref j’aurais aimé trouvé plus d’info sur “safety” sous /e…
Merci @nisagnel, ça a fonctionné aussi pour moi avec cette méthode ! (pas eu besoin de réinitialiser le téléphone, juste désactiver le SafetyNet). Ça soulage, mais comme tu dis il vaut mieux rester prudent. J’avoue que quand j’en aurai l’occasion je déménagerai sans doute vers une banque un peu plus éthique
Mon téléphone est un OnePlus 5 OnePlus 5 - Fiche technique - 01net.com
J’avoue que je suis tombé un peu par hazard sur ce parametre… Et Oui on manque clairement d’info.
En fit je me suis trompé: le oneplus5 est bien coché ok pour Safetynet, et pas le 5T.
danc le tien est ok.
je viens de lire le wikipédia, c’est goooogle qui est impliqué la dedans (le but étant de bloquer les roms alternatives…)
du coup comment fonctionnes safetynet sous /e ?
c’est pas terminé safety vas etre remplacé (encore gooogle) d’ici fin 2025 et:
Par conséquent, les applications qui exigent que l’API soit disponible peuvent refuser d’exécuter sur les versions AOSP.
Continuelle évolution de vérification +/- légitime …
Il n’y a qu’à voir revolut(safetynet mentionné rapidement)
Et l’issue gitlab pour évaluer les futurs changements dans /e/
Le problème de mon point de vue restera toujours le même, les sources des services google d’android ne sont pas là et les apps ne fournissent en gros pas les pré requis logiciels … Donc on ne sait pas si l’équipe de dev de l’app bancaire a choisi une nouvelle stratégie pour renforcer la sécurité en se basant sur les services Google ou d’autres checks …
IOS et android restent la peste et le choléra, il faudrait un changement drastique sur ce point (impulsion européenne par exemple associé à des fabricants) mais ce n’est pas demain la veille …
De ce que je comprends peu de banques changeront de politique, car Google leur offre un cadre “clef en main” pour la sécurité, et les banques suivent car ça les arranges bien.
En plus Google pousse fortement vers une attestation hardware, via le système Play Integrity API (remplaçant de SafetyNet).
Ce dispositif exigera un Android officiel certifié Google, non rooté… et les autres ROMs ne passeront jamais ce test, car elles ne pourront pas falsifier cette attestation.
Ce n’est pas un combat totalement perdu, mais c’est un rapport de force défavorable : Google verrouille, les banques suivent.
En effet, il n’y a qu’une réglementation qui pourra changer la donne !
Perso, je garde un second téléphone en Backup avec un Android Google pour ne pas me retrouvé coincé.
Bonjour , je ne comprends pas comment en desactivant Safetynet , vous avez réussi a connecter BoursoBank
Pour moi ils vérifient l’intégrité de la ROM via le stockage des clés Hardware :
Bon je confirme que BoursoBank ( meme avec compte google dans MicroG ) ne se lance plus : il vérifie que le hardware Key store est dispo ( si j’ai bien tout compris )
0:21.457 696-13441 keystore2 keystore2 E system/security/keystore2/src/error.rs:200 - system/security/keystore2/src/security_level.rs:623
Caused by:
0: system/security/keystore2/src/security_level.rs:621: While generating Key without explicit attestation key.
1: Error::Km(-10003)
Bonjour à tous,
Cela fait plusieurs semaine que je me bats avec Boursobank sur ce problème. Je viens d’avoir une réponse définitive de leur part: “La politique sécuritaire de la banque ne changera pas”.
Je penses comme il a été dit ici que Google est en train d’exercer une main-mise sur le système pour obliger, avec la complicité des banques, à utiliser leurs services.
Pour ma part, j’ai décidé de monter une alerte sur le site de la CNIL pour pratiques anti-concurrentielles et non respect du RGPD. Je vous invite à en faire tous autant, plus nous serons nombreux à alerter la CNIL, plus nous aurons de chances d’être entendu.
Si non, je crains malheureusement que e/OS ne soit rapidement condamné car si le verrouillage exercé par Google fonctionne, il l’étendront rapidement à d’autres domaines.
Vous l’aurez peut-être constaté, mais il n’est plus possible maintenant d’installer une application depuis Google Play Store, seuls App Lounge et Aurora le permettent, mais de plus en plus sont identifiées comme n’ayant pas été installées depuis Google Play Store ne fonctionnent pas … comme Boursobank, Revolut, et d’autres.
Gardons espoir, et essayons de sauver e/OS.
Amitiés à tous
Re-bonjour,
Je reviens sur ma réponse précédente, car j’ai tenté comme je l’avais suggéré de d’alerter la CNIL sur ce problème. Malheureusement, une fois de plus voilà une procédure administrative qui aurait était simple si elle ne s’avère finalement extrêmement compliquée.
Faute de temps, je n’ai pas réussi, mais je ne désespère pas. Je réessayerai.
Amitiés à tous
Les derniers messages reflètent bien la situation … Un utilisateur est perdu et ne sait pas à qui s’adresser dans ce cas !
Pour ma part, la CNIL, ça fait bien longtemps que c’est l’abandon et qu’il s’agit d’un organisme caduque totalement inutile
Bonjour,
Ce problème est parfois bloquant pour valider des paiements internet notamment.
Je viens de déposer un signalement auprès de la DGCCFR.
Les tutos indiqués sur ce fil n’ont rien changé à la situation
Merci pour votre aide,
Bien cordialement
Je suis également affecté par ce problème chez Boursobank. J’ai demandé la suppression de tous mes appareils de confiance, et après 3-4 appels ils ont fini par céder, manifestement à contre-cœur. Heureusement que j’avais encore un appareil connecté sur le web, parce que le site tenait à me faire utiliser l’application mobile (dysfonctionelle) pour valider les nouvelles connexions web, et il est nécessaire de passer par leur interface web pour les contacter . À noter aussi qu’ils refusent de supprimer les appareils de confiance par email.
IANAL, mais je vois mal comment la DGCCRF pourrait reprocher une quelconque pratique anti-concurrentielle à Boursobank ici. C’est même le contraire : elle s’inflige une perte de clients et une expérience dégradée pour des motifs pseudo-sécuritaires (et soyons honnêtes, probablement juridiques aussi ; s’il y a un problème un jour, ils pourront justifier le respect de leur obligation de moyens grâce à ça). Aussi, même si ça demande des efforts, il est possible de supprimer ses “appareils de confiance” pour rebasculer vers un système d’authentification par SMS+email, donc ça me semble conforme à la réglementation en vigueur sur l’authentification forte. (Contrairement à Revolut par exemple qui commence à pousser le même type de vérifications Play Integrity sans offrir de méthode d’authentification alternative).
Même si je ne peux que déplorer et trouver ridicule que Boursobank recommence à s’adonner à cette comédie sécuritaire (ils essayaient déjà de détecter les appareils rootés avant ça), s’il y a un acteur aux pratiques réellement anti-concurrentielles ici, c’est plutôt Google avec son framework Play Integrity. Ça ne me semblerait même pas complètement impossible (bien que légèrement complotiste) que ce soit en fait eux qui commencent à imposer aux applications bancaires d’utiliser ce framework pour avoir le droit de rester sur le Play Store. Si beaucoup d’applications essentielles requièrent Play Integrity, Google sera plus moins immunisé contre les tentatives en cours aux États-Unis (et probablement bientôt en Europe) de séparer Google et Android. Ils pourront toujours imposer leurs normes aux fabricants afin d’être certifié. AOSP pourra tranquillement continuer d’être développé dans son coin, et Google sera assuré de conserver sa mainmise parce que personne ne souhaitera partir à cause du préjudice.
Concrètement, la valeur ajoutée de Play Integrity pour une banque en terme de sécurité est nulle, voire négative. Le vrai et le seul fléau, c’est le phishing qui ne nécessite aucun droit particulier sur la machine cible. Les pirates peuvent tout aussi bien (voire mieux) compromettre un système considéré “intègre”. Pire : il existe des méthodes qui fonctionnent pour contrefaire l’attestation Play Integrity, mais elles consistent systématiquement en l’installation d’applications propriétaires qui ont un accès kernel (et dont certaines sont déjà des malwares authentifiés). Dans ces conditions, je pense qu’on peut facilement postuler que Play Integrity constitue plutôt un risque sécuritaire pour les applications bancaires qu’une solution (à quel problème d’ailleurs ?).
Si quelqu’un connaît des initiatives sérieuses pour attaquer Google et Play Integrity au niveau européen, ça m’intéresse beaucoup, même de contribuer (financièrement ou avec du temps). Je n’ai rien trouvé, j’ai l’impression que tout le monde est résigné.
)
. À noter aussi qu’ils refusent de supprimer les appareils de confiance par email.