C’est qui « ils »? C’est quoi « écriture »?
Ce n’est pas parce que j’ai accès à mon compte et que je peux faire des virements ou autres opérations que j’ai le pouvoir d’écrire ce que je veux dans le bilan de mon compte bancaire 
Pour comprendre comment cela fonctionne, il est nécessaire de comprendre tout le mécanisme, ce qui requiert un peu de patience et des recherches (voir bcp si on a pas familiarité avec ces sujets).
A défaut Powens ou qui on veut peuvent donc avoir le même niveau d’accès que l’utilisateur ou j’ai mal compris ton message ?
je n’ai pas dit ça, j’ai dit que:
rien de plus.
- je ne sais pas si l’établissement a moyen de faire distinction entre une personne physique ou un bot que se connecte vu que l’identifiant/MDP sont les mêmes
Si Powens utilise leur API mise à dispo, ils doivent pouvoir faire le distingo. Si c’est du scrapping qui est fait alors j’en doute effectivement…
- de toute manière même avec id/MDP dans la majorité des cas on ne peut pas faire d’opérations car il faut les valider avec un autre moyen
J’ai pas souvenir d’une banque qui te demande de valider un virement via 2FA ? 
Le scrapping est interdit si les API bancaires DSP2 existent et fonctionnent… Le scraping doit seulement être utilisé en backup d’une API dysfonctionnelle.
Sur les API exposées, il n’y a que de la lecture seule, aucune initialisation de virement par exemple (qui est un autre volet de la DSP2)
Merci de vos retours. AlexIT je comprends ce que tu veux dire. En fait pour moi, je différencie un accès login/mdp qui permet de consulter mes comptes/assets d’un autre accès qui permets de faire des virements ou autres opérations sur ces même comptes/assets (ce qui semble avoir été appelé par abus de language « écriture » plus haut).
Pour ma part je peux accepter de prendre le risque que Powens ou Finary se fassent pirater si au pire les login et mots de passe que pourrait récupérer un pirate ne permettent que de consulter les comptes.
@ClementT, du coup aucune banque n’a le droit d’autoriser des virement via ses API ? même avec login et mdp du compte bancaire ?
Le seul moyen pour un pirate serait alors de se connecter avec les logins et mdp récupérés directement sur le site de la banque mais il se heurterait alors au MFA ?
Si, les banques peuvent fournir des API de virement mais il s’agit d’un autre rôle défini par la DSP2.
D’un coté il y’a les AISP qui sont les agrégateurs (fonctionnalité qu’utilise Finary) et de l’autre les PISP qui sont les initiateurs de paiement (via virement). Il s’agit de 2 rôles différents bien que les sociétés qui offrent ces rôles sont les mêmes…
Par contre, le fait de demander le login/mot de passe pour agréger les informations bancaires est un abus des agrégateurs. Sur le principe, l’utilisateur doit ajouter une nouvelle banque sur le site de l’agrégateur, être transféré sur le site de sa banque où il doit entrer son login/mot de passe, puis il doit valider le fait d’autoriser l’agrégation de ses comptes. En échange, l’agrégateur reçoit un jeton qui lui permet de s’authentifier pour le compte de l’utilisateur. Les agrégateurs ne jouent pas le jeu sur ce point là sous prétexte d’expérience utilisateur dégradée ou d’API non disponible.
Pour le coup, ceci présente un risque de sécurité car les agrégateurs doivent stocker les logins/mot de passe des clients sous forme déchiffrable.
on est bien d’accord et c’est ce qui me semblait aussi
Alors si je comprends bien, en théorie, lors de l’ajout d’un nouvel organisme bancaire je devrais me connecter sur le site de la banque et valider l’émission d’un jeton AISP (consultation uniquement) pour Finary/Powens ? Du coup impossible pour quelqu’un d’utiliser ce jeton pour faire autre chose que de la consultation.
C’est bien ca ! Ca me plait.
Et Finary/Powens ne fonctionne pas comme ça ?
Oui la théorie c’est ça, sachant que le jeton est lié à un AISP et un client bancaire et qu’il y’a une authentification de l’AISP par la banque via des certificats. Donc même en cas de fuite des jetons, ils ne devraient pas pouvoir être utilisés si les certificats ne sont pas eux aussi compromis.
Si tu as rentré ton login/mot de passe directement sur l’interface de Powens non… Mais c’est des réglages qu’ils doivent faire par établissement bancaire, ce n’est pas un comportement global.
Attention, ce fonctionnement ne régule que les banques, il n’est donc pas valables pour d’autres types d’acteurs qui sont quand même gérés par Powens.
Bonjour @TommyWM,
Cela dépend des établissements (bancaires ou autres) : pour certains cela fonctionne avec des jetons comme @ClementT l’a très bien expliqué, pour d’autres les agrégateurs doivent stocker les identifiants.
Ca fait partie de leur métier de les stocker et de les utiliser de façon sécurisée, mais en effet le risque zéro n’existe pas. Si c’est un frein pour vous, ce que je peux comprendre, nous vous permettons aussi de rentrer les valeurs de vos comptes et assets manuellement : c’est moins pratique mais cela vous permet quand même de suivre votre patrimoine et de bénéficier des fonctionnalités de Finary.
Merci Mence et Clement,
Je comprends mieux.
Mence, est-il possible d’avoir la liste des établissements qui fonctionnent avec Powens selon la méthode de jeton décrite par Clement ? Au moins pour ceux-là je pourrais avoir la mise à jour automatique ;o)
Malheureusement pour avoir travaillé avec ces acteurs là (Powens & Bridge) dans une ancienne vie, c’est le genre de données qu’ils ne veulent pas communiquer publiquement pour ne pas se froisser avec les établissement bancaires qui ne les aiment déjà pas beaucoup…
Mais je laisse @Mence te faire une réponse.
Pas mieux 
Bonjour,
Avez-vous des demandes provenant de l’Etat pour récupérer les données de vos utilisateurs et la liste de leur assets ?
Êtes-vous autorisé à répondre à la question ?
Comment pouvons-nous etre informé si cela devait se produire ?
ces sont des questions à poser plutôt à un avocat : une adresse mail est une donnée personnelle et pareils pour les informations financières qui en plus sont plus strictement protégés car dans la catégorie des données sensibles. Les cas dans lesquels cette protection tombe (sauf autorisation explicite de l’utilisateur/trice) sont définis dans les lois et pas à discrétion du traitant.
par exemple:
Ceci-dit Finary ne fonctionne que agrégateur : si jamais un juge veut connaître combien j’ai dans mes contrats, il va le demander à mes banques car eux seules peuvent certifier l’exactitude de l’info.
Bonsoir,
J’ai une question sur la sécurité concernant Finary Invest : Est ce qu’il est demandé une validation avec le 2FA (Google Auth) en cas de retrait sur une adresse crypto ou via un virement bancaire ?
Bonjour @Quentin11,
La 2FA est bien demandée au moment d’envoyer des fonds vers un wallet.
On ne la demande pas pour les virements bancaires car on les restreints aux IBANs que vous avez utilisés pour provisionner votre compte Finary Invest.
Bonjour,
Quelle est la securite des cryptos sur finary invest?
Ne vaut il mieux pas les loger sur sa ledger au fur et à mesure?
Bien à vous, Davy
Bonjour @Davy2,
Les cryptos sont conservées par Bitstamp (au nom de l’utilisateur) qui est un acteur de confiance, enregistré et régulé en France.
Il sera plus facile pour un utilisateur débutant dans les cryptos de les laisser sur Finary Invest (et donc Bitstamp), le temps d’apprendre les concepts associés à ce type d’actifs et à leur conservation.
Un utilisateur plus expérimenté ou avec une allocation plus importante aura plus intérêt à retirer ses cryptos sur un cold-wallet, ce qui lui permettra d’être responsable de la sécurité de ses actifs de bout en bout.