Sécurité de la synchronisation des comptes

Salut à tous,

Travaillant depuis longtemps dans la sécurité informatique, je ne suis pas à l’aise avec l’idée de mettre mes mots de passe bancaire chez un tiers, aussi sécurisé soit il. Même lastpass, pourtant une boîte dédiée à la gestion des mots de passe, s’est fait hacke il y a peu,donc ça peut arriver à tt le monde.

Ce qui me paraîtrait pertinent, ce serait de créer des comptes "read only " (juste autorisés à consulter les comptes mais pas à faire des virements…) sur sa plate forme bancaire pour ensuite les renseigner dans des apps comme finary. C’est une approche en mode api. Savez vous si ce genre de solution existe déjà ?

Merci

3 « J'aime »

C’est globalement ce qui est fait ici non ? Et avec le 2FA tu n’as pas grand chose à craindre ?

non je n’ai pas l’impression que c’est ce qui est fait, ici on met les accès complets qui permettent de tout faire avec le compte, après il y a le 2FA pour confirmation des actions importantes c’est vrai, mais j’aime quand même pas :slight_smile:

Nous avons bien un accès read-only sur les comptes puisque nous n’avons jamais les identifiants. Dans un monde idéal, tout fonctionnerait par clé API, mais les banques ont d’autres challenges techniques à résoudre avant cela :slight_smile:

On présente la gestion des identifiants dans cet article :point_down:

Bonjour,
Je viens de rejoindre Finary et j’avoue que c’est également un aspect qui me bloque (pourtant je trouve le projet de Finary génial).
J’ai lu votre article et vois que vous y indiquez faire régulièrement l’objet d’audits sur la sécurité des données. Pourriez-vous nous indiquer la date du dernier audit et éventuellement nous partager les conclusions du rapport d’audit?

Bonjour @JonathanG,
Le dernier audit date de l’année dernière et n’a rien remonté de critique, et nous en avons un de planifié sous peu (1 par an minimum).
Nous avons également un programme de bug bounty sur Hackerone : des hackers éthiques testent en permanence la plateforme et sont récompensés pour les potentielles failles ou erreurs de configurations remontées - rien de critique non plus remonté à ce jour.
Pour celui à venir nous pourrons éventuellement partager un document du prestataire d’audit qui certifie que nous avons patché les potentiels soucis qu’il nous auraient remontés, mais pas les détails techniques initiaux qui pourraient donner trop d’informations sur la stack technique et l’architecture de la plateforme (dans l’optique de la protéger d’attaquants potentiels toujours).
J’éspère que cela répond à votre question !

1 « J'aime »

Bonjour,

Moi-même travaillant en sécurité informatique depuis de très nombreuses années, je rejoins le message d’Alex13. Pour moi, le problème n’est pas au niveau de Finary. Je ne doute pas que vous n’ayez pas accès aux différents comptes en écriture directement, ni que vous ne preniez pas en compte la sécurité sérieusement (bugbounty, pentest, audit…). Mais vous déléguez simplement cette responsabilité à Powens pour de nombreuses intégrations qui ne sont pas possibles via API en lecture.

En d’autres termes, pour de nombreux services comme la majeure partie des banques institutionnelles (Crédit Agricole…) ou des courtiers sans API (Saxo, eToro…), Powens se charge de stocker le login et le mot de passe de l’utilisateur et d’accéder au service en simulant une connexion regulierement avec des pleins pouvoirs (écritures). Si Powens se fait compromettre, il sera ainsi possible pour l’attaquant d’accéder au mot de passe de tous les services de tous les utilisateurs de Finary et potentiellement de faire des actions sur le compte comme vendre/acheter des titres ou initier des transferts.

Bien sûr, Powens fait sûrement attention à leur sécurité également, mais comme illustré avec l’exemple de LastPass récemment (200 millions de revenus avec une infrastructure sécurité très avancée et beaucoup d’ingénieurs très talentueux), il s’agit d’une question de temps avant qu’un système ne soit compromis. Le problème ici est simplement le design de la solution : les mots de passe de l’utilisateur ne doivent pas être stockés sur un serveur tiers. L’utilisateur ne devrait pas être obligé de donner l’accès total à un tiers (en partageant son mot de passe) pour des simples actions de lecture.

Je ne suis pas là pour critiquer Finary, mais j’aimerais juste partager mes craintes et observations pour améliorer le produit. Malheureusement, ce problème m’empêche clairement d’utiliser Finary. J’estime que le risque d’avoir les mots de passe de toutes mes banques et tous mes courtiers stockés chez Powens est juste énorme. Il s’agit de tous mes actifs. Aussi, en cas de compromission, la responsabilité sera à la charge de l’utilisateur car il a volontairement donné ses identifiants à un tiers et il est peu probable que la banque/le courtier ne couvre les éventuelles pertes.

3 « J'aime »

Quand j’ai voulu tester Finary pour la première fois en décembre 2022, j’ai tout suite bloqué à l’étape de synchronisation de compte. Je n’avais trouvé aucun message sur le forum à ce sujet, je suis rassuré de ne pas être le seul à être déranger par ce système.

Lorsque vous ajoutez un compte Fortuneo sur Boursorama (pour être agrégé par exemple), Bourso vous redirige sur Fortuneo, vous vous connectez et Fortuneo vous renvoie sur Boursorama en lui fournissant un accès API.

Ici, Powens sauvegarde mes accès Boursorama pour se connecter lui même!

Si je comprend bien, Powens se connecte et scrape les différents sites. Je comprend l’intérêt pour eux et Finary puisqu’ils ont surement accès à beaucoup plus d’informations mais à mon avis, le risque en terme de sécurité est trop élevé.

J’ai quand meme ajouté des comptes pour tester ce matin mais je ne pourrais malheureusement pas continuer à utiliser Finary. Je vais changer tous les mot de passes rapidement.

Absolument TOUTES les boites qui se sont fait pirater et ont perdu des données clients ont commencé par assurer à tous leurs clients qu’elles étaient au top de la sécurité. LastPass est effectivement un excellent exemple. (et oui, j’utilise un password manager malgré tout)

J’adore Finary mais le risque me parait trop grand.

1 « J'aime »

Bonjour @julienbourdeau et @Nicolas_SG, je n’avais pas vu vos réponses avant.
Si vous ne voulez pas transmettre vos identifiants vous pouvez tout de même utiliser Finary en rentrant les valeurs de vos assets manuellement. C’est plus de travail à maintenir, mais vous pouvez ainsi bénéficier de la vision globale et des fonctionnalités en étant moins inquiets.

Directeur informatique, je rencontre également de grandes réservations sur ce sujet (c’etait mon 1er jour a tester Finary mais je vais arreter directement). C’est vraiment dommage, car pour tirer pleinement parti de Finary, je serais prêt à souscrire à l’abonnement Pro (comptes Professionnels et Personnels). Cependant, je ne vois pas l’intérêt si je n’ai pas accès à une API en lecture simple. Le fait d’avoir mes mots de passe chez un tiers ne justifie pas le marketing que Finary ne les enregistre pas. Cela revient simplement à déplacer le problème vers trois de vos sous-traitants.

Pourriez-vous simplement proposer le téléchargement des comptes aux formats MT940 ou CAMT.053 ? Cela permettrait d’obtenir toutes les informations tout en laissant à l’utilisateur la possibilité de télécharger ses transactions lui-même.

Bonjour, votre analyse est très pertinente. J’aimerais bien que Finary se prononce là-dessus, car je pense tout comme vous qu’en cas de fuite de données chez Powens, la responsabilité de l’utilisateur serait engagée et il ne récupèrerait pas ses fonds (identifiant + mot de passe = transfert possible sur un compte pirate). Mieux vaut oublier la synchronisation automatique, et donc quel intérêt finalement de Finary par rapport à Meilleurs Agents + une bonne vieille feuille Excel ?