Oui la théorie c’est ça, sachant que le jeton est lié à un AISP et un client bancaire et qu’il y’a une authentification de l’AISP par la banque via des certificats. Donc même en cas de fuite des jetons, ils ne devraient pas pouvoir être utilisés si les certificats ne sont pas eux aussi compromis.
Si tu as rentré ton login/mot de passe directement sur l’interface de Powens non… Mais c’est des réglages qu’ils doivent faire par établissement bancaire, ce n’est pas un comportement global.
Attention, ce fonctionnement ne régule que les banques, il n’est donc pas valables pour d’autres types d’acteurs qui sont quand même gérés par Powens.
Cela dépend des établissements (bancaires ou autres) : pour certains cela fonctionne avec des jetons comme @ClementT l’a très bien expliqué, pour d’autres les agrégateurs doivent stocker les identifiants.
Ca fait partie de leur métier de les stocker et de les utiliser de façon sécurisée, mais en effet le risque zéro n’existe pas. Si c’est un frein pour vous, ce que je peux comprendre, nous vous permettons aussi de rentrer les valeurs de vos comptes et assets manuellement : c’est moins pratique mais cela vous permet quand même de suivre votre patrimoine et de bénéficier des fonctionnalités de Finary.
Mence, est-il possible d’avoir la liste des établissements qui fonctionnent avec Powens selon la méthode de jeton décrite par Clement ? Au moins pour ceux-là je pourrais avoir la mise à jour automatique ;o)
Malheureusement pour avoir travaillé avec ces acteurs là (Powens & Bridge) dans une ancienne vie, c’est le genre de données qu’ils ne veulent pas communiquer publiquement pour ne pas se froisser avec les établissement bancaires qui ne les aiment déjà pas beaucoup…
Bonjour,
Avez-vous des demandes provenant de l’Etat pour récupérer les données de vos utilisateurs et la liste de leur assets ?
Êtes-vous autorisé à répondre à la question ?
Comment pouvons-nous etre informé si cela devait se produire ?
ces sont des questions à poser plutôt à un avocat : une adresse mail est une donnée personnelle et pareils pour les informations financières qui en plus sont plus strictement protégés car dans la catégorie des données sensibles. Les cas dans lesquels cette protection tombe (sauf autorisation explicite de l’utilisateur/trice) sont définis dans les lois et pas à discrétion du traitant.
par exemple:
Ceci-dit Finary ne fonctionne que agrégateur : si jamais un juge veut connaître combien j’ai dans mes contrats, il va le demander à mes banques car eux seules peuvent certifier l’exactitude de l’info.
J’ai une question sur la sécurité concernant Finary Invest : Est ce qu’il est demandé une validation avec le 2FA (Google Auth) en cas de retrait sur une adresse crypto ou via un virement bancaire ?
La 2FA est bien demandée au moment d’envoyer des fonds vers un wallet.
On ne la demande pas pour les virements bancaires car on les restreints aux IBANs que vous avez utilisés pour provisionner votre compte Finary Invest.
Bonjour @Davy2,
Les cryptos sont conservées par Bitstamp (au nom de l’utilisateur) qui est un acteur de confiance, enregistré et régulé en France.
Il sera plus facile pour un utilisateur débutant dans les cryptos de les laisser sur Finary Invest (et donc Bitstamp), le temps d’apprendre les concepts associés à ce type d’actifs et à leur conservation.
Un utilisateur plus expérimenté ou avec une allocation plus importante aura plus intérêt à retirer ses cryptos sur un cold-wallet, ce qui lui permettra d’être responsable de la sécurité de ses actifs de bout en bout.
Serait-il possible de me (faire) joindre par M.P.? Depuis des semaines je peux accéder au forum qu’en utilisant le navigateur de mon ancien PC (cookie de session qui skippe l’auth) mais pas à partir d’autre ni accéder à l’app finary (web ou mobile) : je reste sur l’écran du logo.
Utilisateur et mot de passe sont bons car si je mets quelque chose de différent je reçois bel et bien un message d’erreur.
J’ai envoyé un mail à [email protected] le 12 mars mais pour le moment pas de réponse et le fait de ne pas pouvoir tout court accéder à mon compte me semble assez étrange et potentiellement dangereux. Peut-être serait-il une bonne idée de mettre en place une adresse séparée pour des soucis de connexion?
Juste pour donner suite à la communauté : j’avais déjà un très bon ressenti sur @Mence pour ses réponses ici (même en réagissant à mes provocations) mais là j’ai pu constater en 1ère personne, suite à un souci que je lui ai présenté en privé, à quel point elle est:
compétente dans plein de domaines complexes (Sécurité, RGPD, serveurs/réseaux)
professionnelle (malgré ma « réputation » elle a réagi rapidement et avec précision, sans se disperser)
efficace (elle a su très bien faire la part des choses entre ce qui pouvait être utile ou pas pour se concentrer sur les bons aspects et a communiqué régulièrement avec transparence).
précise et factuelle
Chapeau à elle (et aussi à ceux/celles qui ont reconnu son talent et l’ont embauchée) !
J’ai noté que la plus part des interconnections avec les comptes bancaires/trading se font via Powens (et autre 3rd party) qui garantie que les login/mot de passe ne sont ni connu ni stocké par Finary. Parfait.
Qu’en est-il des interconnections n’impliquant pas Powens (ou autre 3rd party) par exemple : qu’en est il de Trade Republic ?
Sur la page « Sécurité - Finary » il est indiqué " Finary n’a pas connaissance de vos identifiants bancaires.". Or, lors de l’ajout d’une connexion vers Trade Republic, il est clair que les identifiant passent par Finary via un POST fait a « https://api.finary.com/users/bank/init/me ». Finary semble donc avoir connaissance des identifiants (d’au moins) TradeRepublic ?
Comment Finary fait il ensuite pour se synchroniser avec TradeRepublic sans avoir a demander à nouveaux ces identifiants ? Où sont ils stockés ?
Merci de bien vouloir apporter des précisions sur les modalités de l’interconnection avec Trade Republic.
J’aurais également une question concernant les accès en « lecture seule ».
Je viens d’essayer de connecter mon compte Interactive Brokers, et il m’est demandé d’approuver les mentions légales recopiées ci-dessous, qui stipulent notamment que j’autorise Finary à « placer des ordres » sur mon compte. Est-ce que Finary aurait vraiment la possibilité de placer un tel ordre ? Ou est-ce juste un document générique ?
En vous remerciant
« IB has only authorized FINARY to allow IB account holders to access their IB accounts directly through the FINARY Platforms. Subject to the security protocols and user verification procedures of FINARY, you or your authorized agent(s) may transmit instructions via the FINARY Platforms for your IB account to be further transmitted to IB by FINARY. By signing this Account Access Agreement, you authorize FINARY to communicate instructions for your IB account to IB and you instruct IB to accept instructions for your IB account from FINARY. Instructions transmitted to IB through FINARY could include instructions to: a) access information regarding your IB account; b) place orders for your IB account; and c) send other account instructions for your IB account via FINARY (« Account Access »). This Agreement applies to all account instructions and orders transmitted for all your IB accounts by or through FINARY. »
Bonjour @YannickTrading,
Nous gérons la connection et la récupération des comptes d’investissement Trade Republic : ce sont des comptes qui ne sont pas couverts par la DSP2 et Trade Republic ne fournit pas d’API, nous stockons donc les identifiants (chiffrés). La re-synchronisation nécessite de fournir d’un code envoyé via l’appli Trade Republic, ce qui rend les identifiants seuls peu utiles.
@Simon : Nous utilisons l’API officielle d’IBKR. On récupère un jeton de session qu’on stocke également de façon sécurisée; ils ne permettent pas de générer des jetons en lecture seule, donc oui “techniquement” on pourrait. C’est un choix technique d’IBKR.
Pour rester simple et concis, je dirais simplement que contrairement à ce qui est annoncé, vous stockez mes identifiants bancaire et vous disposez également d’un accès total en lecture/écriture sur (au moins) mon compte Trade Republic.
Ici également vous disposez d’un accès total au compte IBKR. Ce qui est d’autant plus regrettable puisque IBKR fournis une interface en lecture seule via les Flex Web Services (voir: Flex Web Service)
Il me semble que le contenu de votre site web est, au minimum, incomplet à ce sujet et nécessiterait une mise à jours afin que chacun puisse prendre les bonnes décisions en connaissance de causes.
