BoursoBank

[d4rklynk]

Is there an existing issue for this?

• [x] I have searched the existing issues

App name

BoursoBank

Link to app

https://play.google.com/store/apps/details?id=com.boursorama.android.clients

App version

v7.2.8

Country of the app

France

Build Number

TQ2A.230305.008.E1.2023040400

Device

• [x] Pixel 6a
• [ ] Pixel 6 Pro
• [ ] Pixel 6
• [x] Pixel 5a
• [ ] Pixel 5
• [ ] Pixel 4a (5G)
• [ ] Pixel 4a
• [ ] Pixel 4 XL
• [ ] Pixel 4
• [ ] Pixel 3a XL
• [ ] Pixel 3a
• [ ] Pixel 3 XL
• [ ] Pixel 3

Google Play installed

• [X] Installed
• [X] Not installed

Google Play services Network permission revoked?

• [ ] Revoked
• [X] Not revoked
• [ ] I did not have Google Play services installed

SafetyNet Enforcement

• [ ] Enforced
• [X] Not enforced
• [ ] Unsure

Native code debugging

• [ ] Enabled
• [X] Disabled

Stock OS compatibility

• [X] Works
• [ ] Does not work
• [ ] Not tested

Profile app tested in

• [X] Main user profile
• [ ] Secondary user profile
• [X] I used a work profile device manager app (Please mention more details about it down below like the app)

Description of the app's functionality

Everything works correctly as far as I tested.

Are there any extra notes you think users should know about?

When you enter your PIN code to Boursorama Banque after unfreezing the work profile (with Shelter for exemple), it will fail, you click "cancel" and do it a second time, it will work just right.

The first time you install Boursorama Banque, it will probably tell you there are "security things" that couldn't be initialize correctly, you can skip that by restarting the app, it'll do only once.

ADB logcat of the app if necessary

No response

[Cl00e9ment]

Aurions-nous été entendus ? Je n'ai plus le message ce matin...

Pas de changement de mon côté (même version)

[Cl00e9ment]

Il est également possible d'écrire directement aux développeurs par la fonction "Menu/Mes commentaires sur l'appli".

Très bien. Plus on est de voix, mieux on est susceptible de se faire entendre. J'envoie donc de mon côté un message via "Mes commentaires" car la première réclamation n'a pas été plus loin que le service client. Voici mon message :

Bonjour,

Nous, utilisateurs de GrapheneOS et BoursoBank vous contactons pour vous demander de faire une exception pour GrapheneOS au blocage des ROM Android modifiés. GrapheneOS est un système mettant la sécurité au premier plan. Il s’agit d’un système utilisé par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Il s’agit d’un projet extrêmement sérieux dont les développements ont des retombés sur Android, Linux, LLVM et OpenBSD. Vérifier que le téléphone tourne sous une version de GrapheneOS officielle non-altérée est très simple : https://grapheneos.org/articles/attestation-compatibility-guide

Merci infiniment.

PS : discussion publique des utilisateurs de GrapheneOS relatif à BoursoBank : https://github.com/PrivSec-dev/banking-apps-compat-report/issues/147

[Saroumane]

Il est également possible d'écrire directement aux développeurs par la fonction "Menu/Mes commentaires sur l'appli".

Très bien. Plus on est de voix, mieux on est susceptible de se faire entendre. J'envoie donc de mon côté un message via "Mes commentaires" car la première réclamation n'a pas été plus loin que le service client. Voici mon message :

Bonjour, Nous, utilisateurs de GrapheneOS et BoursoBank vous contactons pour vous demander de faire une exception pour GrapheneOS au blocage des ROM Android modifiés. GrapheneOS est un système mettant la sécurité au premier plan. Il s’agit d’un système utilisé par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Il s’agit d’un projet extrêmement sérieux dont les développements ont des retombés sur Android, Linux, LLVM et OpenBSD. Vérifier que le téléphone tourne sous une version de GrapheneOS officielle non-altérée est très simple : https://grapheneos.org/articles/attestation-compatibility-guide Merci infiniment. PS : discussion publique des utilisateurs de GrapheneOS relatif à BoursoBank : #147

Je ne crois pas qu'il soit pertinent de présenter GrapheneOS comme une "ROM android modifiée". Elle n'est pas plus "modifiée" que l'implémentation de Google. Car c'est de bien de cela qu'il s'agit : il y a un projet "maitre" : Android Open Source Project (AOSP) et ici 2 vraies implémentations indépendantes : la version de Google, avec ses services propriétaires, et la version GrapheneOS, avec ses fonctionnalités de sécurité avancées (entre autres). Pour faire une analogie : on ne dit pas que Microsoft Edge est "une version modifiée de Google Chrome" : les 2 dérivent du même projet open source "Chromium" et sont (au départ) sur un pied d'égalité.

En tout cas, c'est bien de voir les utilisateurs se mobiliser et faire entendre leur voix ! Pour ma part, je n'ai jamais eu le message d'avertissement sur l'appli Boursobank, malgré des mises à jour régulières.

[arthuragone]

Commentaire également envoyé sur l'app en plus du service client. Après je pense que la masse critique d'utilisateurs de GrapheneOs + Boursobank est peut-être un peu faible pour les faire bouger.

[Cl00e9ment]

Je ne crois pas qu'il soit pertinent de présenter GrapheneOS comme une "ROM android modifiée".

Modifié dans le sens "pas la version d'usine", mais oui je vois exactement ce que vous voulez dire.

Pour ma part, je n'ai jamais eu le message d'avertissement sur l'appli Boursobank, malgré des mises à jour régulières.

Je pense qu'ils déploient la mise à jour progressivement. C'est classique pour une application de cette importance.

[Cl00e9ment]

Après je pense que la masse critique d'utilisateurs de GrapheneOs + Boursobank est peut-être un peu faible

Pas tant que ça. Parmis toutes les banques du monde entier recensées ici, BoursoBank est l'issue avec le plus de commentaires.

[PoorPocketsMcNewHold]

À commenté. J'ai fait une variante du message de @Cl00e9ment

Bonjour, Nous, utilisateurs de GrapheneOS et BoursoBank vous contactons pour vous demander de faire une exception pour GrapheneOS, et l'API d'attestation système, plus sûre. https://developer.android.com/training/articles/security-key-attestation L'application fonctionne bien, mais ne peut utiliser le paiement sans-contact NFC Google Pay. GrapheneOS est un OS Android mettant la sécurité au premier plan. Il s’agit d’un système utilisé par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). C'est un projet reconnu mondialement et sérieux, dont le développement ont des répercussions sur Android, Linux, LLVM et OpenBSD. Il est très simple de vérifier que le téléphone est compatible avec une version de GrapheneOS officielle non altérée : https://grapheneos.org/articles/attestation-compatibility-guide En vous remerciant beaucoup. PS : les utilisateurs de GrapheneOS ont eu une discussion publique concernant BoursoBank : https://github.com/PrivSec-dev/bank

Cela bloque évidemment toujours à l'activation de Google Pay depuis l'application.

[arthuragone]

Aurora Store me propose un mise à jour de l'app boursobank (7.11.0). Est-ce que vous avez testé? Je n'ose pas mettre à jour pour ne pas risqué d'être bloqué

[pled]

Fonctionne sans problème chez moi.

[d4rklynk]

Je l'ai mis à jour le 8 Février (7.11.0), aucun problème

[5C4R4B3]

Voici le retour de la part de BoursoBank:

Nous revenons vers vous suite à votre email du 2 février relatif à un message s'affichant sur votre Smartphone sous le système d'exploitation GrapheneOS. Après retour de notre service technique, celui-ci nous informe que GrapheneOS étant un système non officiel, celui-ci ne sera pas pris en charge. Nous sommes en effet contraints pour des raisons de sécurité, suite à des recrudescences de tentatives de fraudes depuis des systèmes d'exploitations ou magasins d'applications non officiels, de restreindre les accès. A noter cependant qu'aucune date de blocage n'est annoncée pour le moment. Lorsque ce sera le cas, vous aurez néanmoins la possibilité de consulter vos comptes par le Navigateur mobile

[d4rklynk]

Mais quel bandes de joyeux crétins 🤦 Merci pour l'info en tout cas.

[d4rklynk]

Nan mais dans ce cas-là il devraient aussi bloquer les navigateurs qui ne sont pas "Edge", parce que ce ne sont pas les navigateurs officiels de Windows. Et faudrait bloquer Linux aussi, parce que c'est pas officiel. Non mais ça veut rien dire. Je vais envoyer un mail également (oui je l'avais pas encore fait).

[5C4R4B3]

Je viens également d'envoyer le message de @cvlc12 par le biais de l'application

[d4rklynk]

@5C4R4B3 via "Mes commentaires sur l'appli" c'est ça ?

[5C4R4B3]

@5C4R4B3 via "Mes commentaires sur l'appli" c'est ça ?

oui

[d4rklynk]

Ca vous va ? (je suis très nul en rédaction de mail). Je suis limité à 1000 caratcères...

Bonjour, je suis inquiet quand à la nouvelle notification qui s'affiche quand j'ouvre l'application qui dit que "le téléphone n'est pas sécurisé ou utilise une ROM custom". J'utilise en effet le système d'exploitation GrapheneOS. Je comprends tout à fait que bloquer des OS tels que LineageOS ou autre est nécessaire car la sécurité sur ces OS est inexistent. Cela dit GrapheneOS est un projet extrêmement sérieux, conseillé par les experts en sécurité, utilisé par exemple par Edward Snowden. Faites une exception pour GrapheneOS, je vous garantis que si vous supportez officiellement GrapheneOS, ce sera un argument en béton pour de futurs clients sur GrapheneOS qui souhaitent choisir une banque compatible. Sachez également que GrapheneOS est le seul Android sur lequel vous devrez faire une exception, puisqu'ils n'existent aucun autre projet de la sorte. Si vous ne le faites pas, je n'aurai d'autres choix que de changer de banque.

Edit : C'est envoyé

[pled]

Je ne comprends même pas leur réponse : en quoi un "système officiel" empêcherait d'installer leur application d'un autre store ? Ou alors j'ai loupé une étape ? Ils doivent par contre pouvoir vérifier de quel store tu l'as installé ? Et dans ce cas, cette certification devrait suffire. J'ai installé l'application du Google Play Store, donc où est je problème ?

Est-ce que le retour de leur service technique a seulement du sens techniquement ?

[d4rklynk]

Ben non, parce que si j'ai bien compris, déjà de base, le système de "securité" est démenti par GrapheneOS qui dit que c'est du security theater https://twitter.com/GrapheneOS/status/1730492302412464174

[Mello7sh3i]

Je ne comprends même pas leur réponse : en quoi un "système officiel" empêcherait d'installer leur application d'un autre store ? Ou alors j'ai loupé une étape ? Ils doivent par contre pouvoir vérifier de quel store tu l'as installé ? Et dans ce cas, cette certification devrait suffire. J'ai installé l'application du Google Play Store, donc où est je problème ?

Est-ce que le retour de leur service technique a seulement du sens techniquement ?

Oui, une appli peut détecter depuis quel magasin on l'installe et ne pas fonctionner si ce n'est pas le playstore. C'est d'ailleurs étonnant qu'elle fonctionnait depuis aurora.

[Mello7sh3i]

Sinon c'est pas spécialement surprenant. Ici GrapheneOS souffre de la mauvaise réputation (mérité) des autres OS alternatifs, qui mettent en avant root, ne vérouillent pas le bootloader, contournent les vérifications, etc. Mais au-delà de ça, ils veulent juste pas s'embêter à ajouter un système, qui représente quelques utilisateurs sur des centaines de milliers j'imagine.

Tout l'argumentaire sur la sécurité s'effondre bien vite en réalité, puisque boursobank a un min sdk sur 23, ce qui veut dire que des appareils sur android 6 peuvent l'utiliser... Android 6, sorti en 2015, et dont la totalité des appareils ne doit pas avoir reçu une mise à jour de sécurité depuis 5 ou 6 ans... Donc bon, visiblement, ils ne sont pas non plus trop exigeants !

[Mobelhad]

Je l'ai mis à jour le 8 Février (7.11.0), aucun problème

Fonctionne sans problème chez moi.

@pled @d4rklynk

Hi guys, I also have version 7.11.0 installed and get the threatening message. Can you please share what security settings you have set? (Navitve code debugging, etc.) Thank you very much!

[pled]

@Mobelhad It is not related to any parameter. BoursoBank just inform you that "in the future" (no date planned yet), they will not be anymore compatible with GrapheneOS or such "non official OS".

[kumy]

Same issue for me, I've sent a message to the support yesterday. And just called them to remove the trusted device from my account. The guy from the support as very kind, and completely understood our issue here, and will escalate the request to the developers.

[kumy]

Answer:

Nous faisons suite à votre réclamation n°xxxxx relative à la possibilité de pouvoir accéder à l'application BoursoBank avec un smartphone sous GrapheneOS.

Nous vous informons que le sujet en est cours d'étude afin de permettre l'accès aux smartphones sous GrapheneOS.

Actuellement, nous ne pouvons vous garantir un retour favorable.

Nous clôturons votre réclamation compte tenu de la prise en charge par nos équipes techniques.

Nous vous remercions de votre confiance.

So that time it's not a hard NO

[d4rklynk]

Yes, ça c'est une sacré bonne nouvelle.

[b00731976]

Il est également possible d'écrire directement aux développeurs par la fonction "Menu/Mes commentaires sur l'appli". Je vous propose le message type suivant :

Je souhaite exprimer ma préoccupation quant à la récente annonce de la fin de support pour le système d'exploitation GrapheneOS dans votre application bancaire. GrapheneOS est reconnu pour sa robustesse en matière de sécurité, offrant une protection accrue contre les menaces potentielles. En tant qu'utilisateur soucieux de la sécurité, je valorise les avantages que GrapheneOS apporte, notamment son renforcement de la confidentialité, la gestion des autorisations granulaires et les mises à jour régulières. Ces caractéristiques essentielles contribuent à créer une expérience utilisateur sécurisée et fiable. Je vous encourage vivement à considérer l'intégration continue du support pour GrapheneOS afin de répondre aux attentes croissantes des utilisateurs soucieux de leur sécurité. Je vous invite à consulter le guide d'attestation de compatibilité de GrapheneOS via le lien suivant : https://grapheneos.org/articles/attestation-compatibility-guide

@pled @d4rklynk @arthuragone @davidv92 @bobmorane06 @timefrance @5C4R4B3 @Saroumane @Mello7sh3i @Cl00e9ment

Merci pour le message, j'ai envoyé de mon côté aussi. Je note que le message initial sur le besoin d'un appareil non altéré ne s'affiche plus. Par contre il est remplacé par le message précisant qu'un store autre que googleplay ne sera plus supporté prochainement (j'utilise Aurora), mais ce n'est peut être pas lié à l'issue actuelle.

v.7.19.2 com.boursorama.android.clients 138722208

[cvlc12]

Pas de de message d'erreur non plus avec la dernière version 7.20

[samuelion]

Bonjour,

Juste pour ajouter ma pierre à l'édifice :

• Avec les google play service, je n'ai vraiment constaté aucun soucis particulier (sauf les limitations connues gpay et compagnie)
• Sans les google play service, j'observe un peu le même comportement que tout le monde à savoir : => des difficultés de login (souvent besoin de m'y reprendre à 2 fois). => impossibilité de valider les paiements en ligne via secure 3D.

J'ai lu dans un des commentaires que se loguer dans une app delog du site web, c'est vrai avec ou sans les services google, et cela n'empêche pas le fonctionnement du 2FA avec les google play service (j'ai l'impression que la notification android valide le 2FA et ne log pas explicitement dans l'application).

A noter qu'il devrait être possible de retirer le téléphone des appareils de confiance, et (ou?) se rabattre au final sur la validation par SMS pour le secure 3D (sécurité pas forcément extraordinaire du coup, mais fonctionnel). Cela ne couvre peut-être pas les opérations "sensibles". J'ai fait la demande hier matin (pas eu de retour donc peut-être juste une coincidence), et hier soir j'ai reçu un SMS pour valider un paiement, et étonnamment, le 2FA est passé pour un second paiement (?) mais j'attends de le revoir pour le croire.

A noter aussi que la "localisation" de l'appareil (je pense son IP) influe le process en particulier en et hors France (et j'ai l'impression que la réception sms a marché dès l'arrêt de mon VPN).

Ce sont justes qq billes que je partage pour faciliter l'utilisation de chacun de cette appli sur GrapheneOS, je continue moi-même de tester, chercher et paramétrer =).

Bonne journée !

[Eirikr70]

Pour une bonne utilisation de BoursoBank, suite à la mise à jour de GrapheneOS permettant de contrôler les exécutions de code téléchargé, j'ai dû autoriser "Dynamic code loading via memory". Les options "Webview JIT" et "Dynamic code loading via storage" peuvent être désactivées sans problème à ce jour.