Sécurité de la synchronisation des comptes

Salut à tous,

Travaillant depuis longtemps dans la sécurité informatique, je ne suis pas à l’aise avec l’idée de mettre mes mots de passe bancaire chez un tiers, aussi sécurisé soit il. Même lastpass, pourtant une boîte dédiée à la gestion des mots de passe, s’est fait hacke il y a peu,donc ça peut arriver à tt le monde.

Ce qui me paraîtrait pertinent, ce serait de créer des comptes "read only " (juste autorisés à consulter les comptes mais pas à faire des virements…) sur sa plate forme bancaire pour ensuite les renseigner dans des apps comme finary. C’est une approche en mode api. Savez vous si ce genre de solution existe déjà ?

Merci

1 « J'aime »

C’est globalement ce qui est fait ici non ? Et avec le 2FA tu n’as pas grand chose à craindre ?

non je n’ai pas l’impression que c’est ce qui est fait, ici on met les accès complets qui permettent de tout faire avec le compte, après il y a le 2FA pour confirmation des actions importantes c’est vrai, mais j’aime quand même pas :slight_smile:

Nous avons bien un accès read-only sur les comptes puisque nous n’avons jamais les identifiants. Dans un monde idéal, tout fonctionnerait par clé API, mais les banques ont d’autres challenges techniques à résoudre avant cela :slight_smile:

On présente la gestion des identifiants dans cet article :point_down:

Bonjour,
Je viens de rejoindre Finary et j’avoue que c’est également un aspect qui me bloque (pourtant je trouve le projet de Finary génial).
J’ai lu votre article et vois que vous y indiquez faire régulièrement l’objet d’audits sur la sécurité des données. Pourriez-vous nous indiquer la date du dernier audit et éventuellement nous partager les conclusions du rapport d’audit?

Bonjour @JonathanG,
Le dernier audit date de l’année dernière et n’a rien remonté de critique, et nous en avons un de planifié sous peu (1 par an minimum).
Nous avons également un programme de bug bounty sur Hackerone : des hackers éthiques testent en permanence la plateforme et sont récompensés pour les potentielles failles ou erreurs de configurations remontées - rien de critique non plus remonté à ce jour.
Pour celui à venir nous pourrons éventuellement partager un document du prestataire d’audit qui certifie que nous avons patché les potentiels soucis qu’il nous auraient remontés, mais pas les détails techniques initiaux qui pourraient donner trop d’informations sur la stack technique et l’architecture de la plateforme (dans l’optique de la protéger d’attaquants potentiels toujours).
J’éspère que cela répond à votre question !