HSBC bloque son application à cause de Bitwarden installé via F-Droid

 (mastodon.neilzone.co.uk)
2 points par GN⁺ 2026-01-01 | 1 commentaires | Partager sur WhatsApp
  • Un cas a été signalé où l’application mobile HSBC bloque son exécution en raison de Bitwarden installé via F-Droid
  • L’utilisateur avait installé Bitwarden via une build F-Droid et non la version officielle du Google Play Store
  • L’application HSBC considère cela comme un facteur de risque de sécurité et bloque l’accès
  • Il a été confirmé que, pour une même application Bitwarden, la politique de sécurité est appliquée différemment selon la source d’installation
  • C’est un exemple qui illustre le durcissement des politiques de sécurité et de vérification des applications tierces dans les apps financières

Cas de blocage de l’application HSBC

  • L’application mobile bancaire de HSBC détecte Bitwarden installé depuis F-Droid et bloque son exécution
    • Bitwarden est un gestionnaire de mots de passe open source, et F-Droid est un catalogue d’applications open source
    • L’application HSBC classe cette combinaison comme un environnement à risque du point de vue de la sécurité
  • Bien qu’il s’agisse de la même application Bitwarden, la version Google Play n’est pas bloquée
    • La politique de sécurité est appliquée différemment uniquement en raison d’une source d’installation différente

Différences de politique de sécurité

  • L’application HSBC semble inclure des fonctions de détection du root ou d’installation d’applications non officielles
    • Les applications issues de F-Droid utilisent une clé de signature ou un canal de distribution différent, et ne passent donc pas la vérification de sécurité
  • En conséquence, les utilisateurs subissent la contrainte d’un usage limité d’applications pourtant légitimes

Sens et implications

  • Cela montre que les applications d’établissements financiers ont tendance à ne pas faire confiance aux canaux de distribution d’applications open source
  • Développeurs comme utilisateurs doivent prendre conscience des différences de chaîne de confiance selon la signature d’application et le canal de distribution
  • C’est un cas qui met en évidence le risque de conflit entre l’écosystème open source et les politiques de sécurité du secteur financier

À lire aussi

1 commentaires

 
GN⁺ 2026-01-01
Réactions sur Hacker News

  • C’est un problème de SafeNet de Google. HSBC a choisi un certain niveau, ce qui provoque cette situation. C’est Google qui gère la liste noire des applications
    Nous perdons peu à peu notre liberté selon la volonté des entreprises. Même si ce n’est pas interdit par la loi, si elles ne le veulent pas, elles peuvent le bloquer
    En Suisse et dans l’UE aussi, sous la pression des États-Unis, des banques utilisant l’USD subissent des sanctions, ce qui entraîne du « debanking ». Les États-Unis sanctionnent des personnes au nom de la liberté d’expression, avec pour conséquence la perte de comptes bancaires
    En droit suisse, Postfinance doit fournir un compte à tout le monde, mais en cas de sanction, il devient impossible d’utiliser le système de virements, les devises étrangères, les cartes de crédit ou Twint, ce qui le rend en pratique inutile. Il devient même impossible de payer l’assurance maladie ou le loyer

    • En Suisse, les banques ne sont pas forcément obligées d’utiliser Play Integrity, mais la plupart le veulent.
      Yuh, détenue conjointement par Postfinance et Swissquote, fonctionne sans Play Integrity, et la prise en charge de GrapheneOS a été confirmée
      Le problème, c’est que la plupart des banques historiques choisissent ce type de solution inefficace pour satisfaire à la réglementation. Au final, activer Google Play Integrity est la solution la plus simple, donc elles le font
      La question des sanctions américaines est bien réelle. Les personnes vivant dans des pays sanctionnés, comme la Russie, subissent aussi des restrictions comparables
      En Suisse, les citoyens américains ont beaucoup de mal à ouvrir un compte, en raison des cas passés d’évasion vis-à-vis de l’IRS rendus possibles par le secret bancaire
    • En tant que citoyen de l’UE, je n’ai jamais entendu parler d’un tel cas. C’est la première fois que j’entends dire que des banques européennes expulsent des clients sous pression américaine. Je serais curieux de voir des articles ou des sources à ce sujet
    • Depuis cette année, j’utilise deux téléphones
      1. iPhone SE 2022 — uniquement pour le TOTP, la banque et l’authentification, généralement en mode avion. Mises à jour de sécurité prévues jusqu’en 2032
      2. Pixel + GrapheneOS — pour l’usage quotidien (Internet, appels, messages, etc.)
        En 2025, je pense que c’est l’approche la plus pratique
    • À propos de l’idée qu’on « perd sa liberté selon la volonté des entreprises », je ne pense pas que ce soit seulement un problème de Google. Postfinance, Twint, les assureurs, les propriétaires, etc. devraient aussi proposer des moyens de transaction sans tiers
      Les pouvoirs publics devraient eux aussi permettre aux citoyens de faire du commerce sans intermédiaire
      Tout le monde se défausse en disant « nous ne faisons que suivre les règles ». Si Google est finalement pointé du doigt, c’est parce que tout le monde s’est installé dans la commodité
    • Je n’ai rien trouvé de tel dans la documentation de SafetyNet ou de l’API Play Integrity. J’aimerais connaître la source ou les détails correspondants

  • Au Royaume-Uni, il existe aussi beaucoup de banques sans ce type de restrictions. Par exemple, Monzo se contente d’afficher un avertissement sur les appareils rootés et laisse l’utilisateur choisir
    Grâce au Current Account Switching Service, il est aussi facile de quitter une banque traditionnelle comme HSBC

    • Mon expérience a été différente. La plupart des applications des grandes banques ne fonctionnaient pas sur des appareils rootés
      Chip a recommandé d’arrêter de l’utiliser en annonçant un renforcement de la détection du root, mais en pratique il était toujours possible de continuer
      Barclaycard, Nationwide et d’autres bloquaient carrément l’accès. Il existe d’autres applis bancaires, mais j’ai le sentiment que la qualité des produits est médiocre
    • Au cours de l’année écoulée, les applications Barclays et Lloyds ont cessé de fonctionner sur mon téléphone.
      TSB fonctionne encore, mais je pense que c’est seulement parce qu’ils sont en retard techniquement
      À l’avenir, Monzo restera sans doute la seule exception

  • Si vous créez un site mobile et que vous ne connaissez pas les PWA (Progressive Web App), cela vaut la peine de s’y intéresser
    Il suffit d’ajouter deux fichiers, manifest.json et service worker, pour permettre l’installation depuis le navigateur et configurer un cache hors ligne
    Pour une application pas trop complexe, cela peut réduire fortement les coûts de développement. On peut tout faire en HTML, JS et CSS, et déployer sans passer par une boutique d’applications
    Voir le tutoriel MDN

    • Mais même Firefox Desktop ne prend pas les PWA en charge, donc difficile d’être très optimiste
    • Les PWA existent depuis des années, mais pour les utilisateurs grand public, cela reste une technologie qui n’a pas vraiment pris. C’est une alternative aux problèmes des app stores, mais elle manque encore d’adoption

  • Ma femme a voulu utiliser un téléphone à clapet par nostalgie, mais malgré Android Go 14, l’application bancaire ne fonctionnait pas à cause d’une « détection de partage d’écran »
    L’application POSB indiquait comme cause « android system ». C’était probablement un faux positif lié au rendu sur écran secondaire
    Nous avons contacté POSB, mais cela n’a pas été résolu. À Singapour, la véritable menace pour la sécurité financière, c’est l’arnaque dite pig butchering, mais les banques réagissent de façon excessive à des malwares peu probables

  • HSBC propose encore une banque en ligne sur un site web normal
    Plus il y aura d’utilisateurs du web, plus cela enverra le signal que les clients préfèrent le web ouvert aux applications mobiles fermées
    J’utilise toujours un jeton RSA physique au lieu d’une 2FA basée sur une application

    • Au Royaume-Uni, il faut un jeton physique pour utiliser la banque en ligne. On ne peut pas avoir à la fois l’application et le jeton, donc si l’application est bloquée, il faut redemander un jeton

  • Je croyais que Google avait supprimé l’API permettant de voir les autres applications

    • C’est toujours possible. Il suffit que l’application précise quels paquets elle veut interroger. L’application HSBC utilise la permission <uses-permission android:name="android.permission.QUERY_ALL_PACKAGES"/>
      D’après la documentation de Google sur sa politique, les applications liées aux transactions financières peuvent obtenir cette permission à des fins de sécurité
    • Les applications distribuées via Google Play peuvent demander cette permission pour certains usages précis. HSBC a probablement été approuvée au titre d’un usage « antivirus »
      Lien vers la documentation correspondante
    • En pratique, presque toutes les applications connaissent la liste de ce que vous avez installé
      Voir cet article et cette discussion Hacker News

  • Certaines applications bancaires implémentent leur propre clavier virtuel, empêchant l’usage d’un gestionnaire de mots de passe

    • Ma banque fait pareil. Les banques françaises aiment particulièrement les claviers numériques mélangés. Il faut cliquer à la souris sur un mot de passe numérique de 6 à 8 chiffres
      Au lieu de l’authentification biométrique, elles redemandent périodiquement le mot de passe, ce qui est très pénible quand il faut le saisir dans un lieu public comme le métro
      Cette méthode servait autrefois à se protéger contre les keyloggers, mais aujourd’hui elle n’apporte plus vraiment de sécurité, seulement de l’inconfort
    • Mon ancienne banque imposait un mot de passe de 6 à 8 chiffres uniquement. Je ne sais pas si cela a changé depuis

  • Si le mode développeur est activé, l’application HSBC ne fonctionne pas. Je trouve cette mesure excessive

    • L’application mygov.be de notre pays fonctionne exactement de la même façon. En tant que développeur, j’utilise souvent adb et les réglages développeur, et devoir les désactiver à chaque fois est extrêmement pénible
      Voir le site de mygov.be
    • Plusieurs applications bancaires à Singapour imposent aussi des restrictions liées au mode développeur. La plupart du temps, c’est à cause de frameworks de sécurité destinés à passer l’audit, mais en pratique c’est inefficace

  • Ironiquement, les applications bancaires imposent ce type de fonctions de « sécurité », alors que la banque en ligne reste sans véritable moyen de confiance

    • Ce genre d’exigences vient souvent de la checklist d’un consultant en sécurité. J’ai déjà vu quelqu’un signaler que « les identifiants restent dans le keychain après la suppression de l’application », sans même savoir qu’une application ne peut pas exécuter de code au moment de sa suppression

  • J’ai récemment découvert Open Web Advocacy (OWA), qui résume très bien les problèmes des plateformes mobiles
    Leurs objectifs principaux sont les suivants

    1. L’interdiction des navigateurs tiers par Apple est anticoncurrentielle
    2. Il faut traiter les web apps à égalité avec les applications natives
    3. Supprimer les barrières artificielles créées par les opérateurs de plateforme
      Si les web apps étaient autorisées, elles pourraient offrir davantage de vie privée et de sécurité
      Site officiel