- Un cas a été signalé où l’application mobile HSBC bloque son exécution en raison de Bitwarden installé via F-Droid
- L’utilisateur avait installé Bitwarden via une build F-Droid et non la version officielle du Google Play Store
- L’application HSBC considère cela comme un facteur de risque de sécurité et bloque l’accès
- Il a été confirmé que, pour une même application Bitwarden, la politique de sécurité est appliquée différemment selon la source d’installation
- C’est un exemple qui illustre le durcissement des politiques de sécurité et de vérification des applications tierces dans les apps financières
Cas de blocage de l’application HSBC
- L’application mobile bancaire de HSBC détecte Bitwarden installé depuis F-Droid et bloque son exécution
- Bitwarden est un gestionnaire de mots de passe open source, et F-Droid est un catalogue d’applications open source
- L’application HSBC classe cette combinaison comme un environnement à risque du point de vue de la sécurité
- Bien qu’il s’agisse de la même application Bitwarden, la version Google Play n’est pas bloquée
- La politique de sécurité est appliquée différemment uniquement en raison d’une source d’installation différente
Différences de politique de sécurité
- L’application HSBC semble inclure des fonctions de détection du root ou d’installation d’applications non officielles
- Les applications issues de F-Droid utilisent une clé de signature ou un canal de distribution différent, et ne passent donc pas la vérification de sécurité
- En conséquence, les utilisateurs subissent la contrainte d’un usage limité d’applications pourtant légitimes
Sens et implications
- Cela montre que les applications d’établissements financiers ont tendance à ne pas faire confiance aux canaux de distribution d’applications open source
- Développeurs comme utilisateurs doivent prendre conscience des différences de chaîne de confiance selon la signature d’application et le canal de distribution
- C’est un cas qui met en évidence le risque de conflit entre l’écosystème open source et les politiques de sécurité du secteur financier
Aucun commentaire pour le moment.