Le gouvernement vietnamien interdit « toutes les applications bancaires » sur les smartphones rootés

 (xdaforums.com)
1 points par GN⁺ 2026-01-10 | 1 commentaires | Partager sur WhatsApp
  • L’amendement « 77/2025/TT-NHNN » publié par la banque centrale du Vietnam impose de bloquer l’exécution des applications de banque mobile dans des environnements vulnérables sur le plan de la sécurité, comme le root, le bootloader déverrouillé ou une connexion ADB
  • La nouvelle réglementation entre en vigueur le 1er mars et, si l’application détecte de tels signes, elle doit se fermer automatiquement et avertir l’utilisateur
  • Les cas visés par le blocage incluent une connexion de débogage, l’exécution sur émulateur, l’injection de code (hook), ainsi que la modification ou le repackage de l’application
  • Des utilisateurs du forum XDA soulignent que cette mesure exclut des services financiers l’ensemble des appareils avec ADB activé ou bootloader déverrouillé
  • Dans les communautés de développeurs et du root, cette décision est considérée comme un élément du durcissement mondial des politiques de sécurité, et les discussions portent déjà sur les réponses possibles

Nouvelle réglementation de sécurité de la banque centrale du Vietnam

  • « 77/2025/TT-NHNN » est un texte qui modifie la précédente « 50/2024/TT-NHNN » et précise un renforcement de la sécurité et de la sûreté des services financiers en ligne
    • L’article 5, paragraphe 2, modifie l’article 8, paragraphe 4, pour imposer que les applications de banque mobile se ferment immédiatement et notifient la raison en cas de détection d’une manipulation non autorisée
  • Les conditions de blocage sont les suivantes
    • Connexion d’un débogueur ou exécution sur un émulateur ou une machine virtuelle, activation d’ADB (Android Debug Bridge)
    • Injection de code externe (hook), surveillance des appels API, modification ou repackage de l’application
    • Root ou jailbreak, bootloader déverrouillé
  • Cette disposition exige que les applications de banque mobile intègrent elles-mêmes des fonctions de détection et de blocage

Réactions des utilisateurs sur le forum XDA

  • Un utilisateur a indiqué que les applications bancaires étaient interdites sur les appareils avec ADB activé et bootloader déverrouillé, avec une application à partir du 1er mars
  • Un autre a commenté que c’était triste, mais pas surprenant, estimant que le renforcement de la réglementation de sécurité est une tendance mondiale
  • Certains ont affirmé qu’ils chercheraient des moyens de contournement, tandis qu’un autre utilisateur a indiqué qu’il prévoyait d’utiliser un appareil distinct dédié à la banque

Contexte technique et discussions de la communauté

  • Le fil concerné était à l’origine un espace de discussion sur Magisk, Play Integrity et le contournement de la détection du root, où étaient partagées des expérimentations techniques autour de l’évitement de la détection du root, de l’usurpation d’empreinte et de la prévention du vol de keybox
  • La nouvelle réglementation vietnamienne attire l’attention comme un cas entrant directement en conflit avec ces tentatives de contournement de la détection du root
  • Certains développeurs ont partagé des méthodes de dépannage, comme la réinitialisation du cache via des commandes ADB et la vérification des réglages de spoofing, mais l’idée est avancée qu’après l’entrée en vigueur de la règle, les applications bancaires elles-mêmes pourraient ne plus pouvoir se lancer

Discussions supplémentaires au sein de la communauté

  • Les utilisateurs interprètent cette mesure comme un blocage généralisé des environnements avec ADB, root ou bootloader déverrouillé
  • Certains expriment la crainte que le gouvernement limite le contrôle de l’utilisateur au nom de la sécurité
  • D’autres participants estiment au contraire que le renforcement de la sécurité est une évolution inévitable et présentent comme solution réaliste la séparation entre appareils rootés et services financiers

Signification et impact

  • Cette mesure est considérée comme l’un des premiers cas où l’accès aux services financiers depuis des appareils rootés est interdit légalement à l’échelle nationale
  • Elle pourrait avoir un impact sur la sécurité mobile, les communautés du root et l’industrie fintech
  • Sur le forum XDA, beaucoup y voient une nouvelle phase dans l’interminable jeu du chat et de la souris entre root et sécurité

À lire aussi

1 commentaires

 
GN⁺ 2026-01-10
Commentaires sur Hacker News

  • Je pense que le pire, c’est de posséder un ordinateur tout en étant privé des droits root
    On en est arrivé à une époque où le simple fait de vouloir décider quel logiciel exécuter sur son propre appareil peut vous exclure de la société

    • Au final, on va sans doute vers un monde où tout le monde devra avoir au moins un smartphone verrouillé pour utiliser les services de l’État ou des banques
      Ce n’est pas pour le confort de l’utilisateur, mais parce que c’est leur « agent » à travers lequel l’État et les banques communiquent avec nous
    • Au fond, c’est une lutte où l’on perd le droit de réparer ou de contrôler directement ce qu’on a acheté avec son propre argent
    • L’idée même qu’un gouvernement doive avoir ce genre de pouvoir est complètement folle
      Même s’il le voulait, il ne devrait pas avoir techniquement cette capacité
    • Forcer les gens à perdre leur autonomie est littéralement mal
      Une prison physique et une prison numérique sont différentes, mais dans les deux cas on enferme des êtres humains, donc on peut appeler cela un mal
    • Il est aussi intéressant de voir un autre gouvernement accroître sa dépendance envers les Big Tech américaines
      Je ne sais pas dans quelle mesure le Vietnam peut encore revendiquer une souveraineté numérique, mais ce type de mesure va clairement dans la direction opposée

  • On se dirige vers un système où, si je ne peux pas prouver à un serveur distant que mon appareil exécute un logiciel signé non modifié, je suis exclu de l’activité économique
    Le modèle de sécurité se tient en soi, mais on va vers un monde où l’utilisateur est traité comme l’ennemi de son propre matériel

    • J’ai fini par faire un compromis en utilisant deux téléphones
      L’un est un iPhone SE verrouillé pour l’authentification et la banque, l’autre un Pixel 9a avec Graphene OS pour l’usage quotidien
      C’est cher, mais c’est une solution réaliste
    • Cory Doctorow avait déjà anticipé cette situation dès 2011 — The Coming War on General Purpose Computation
    • En réalité, ce modèle de sécurité ne fonctionne pas parfaitement
      Les malwares récents opèrent uniquement en mémoire, sans laisser de traces dans l’espace root
      Au final, l’interdiction du root relève davantage du contrôle que de la sécurité réelle
    • Je n’utilise pas d’applis bancaires sur mon téléphone
      À la place, je m’authentifie sur PC avec un token matériel. Je trouve ça beaucoup moins pénible et plus sûr
    • D’anciennes ROM signées passent malgré leurs nombreuses vulnérabilités, alors que les dernières versions de Lineage OS ou Graphene OS sont refusées. On peut se demander si c’est vraiment de la sécurité sérieuse

  • Quand je travaillais autrefois dans l’équipe d’authentification de Vanguard, on a bloqué les connexions depuis le Vietnam
    Il y avait trop de tentatives de fraude, et les clients fortunés contournaient ça en se connectant via VPN
    Les acteurs financiers luttent toujours contre la fraude de cette manière

    • Je me demande quelle est la fréquence réelle de la fraude sur les appareils rootés
      Dans bien des cas, ce n’est peut-être qu’une simple exigence de sécurité à cocher, pas une menace réaliste
    • Moi aussi, quand j’hébergeais autrefois mon propre serveur, je bloquais toutes les IP d’Asie
      Il y avait trop de scans de ports et de tentatives d’attaque. Le contournement par VPN était possible, mais comme cela avait un coût, ça restait efficace
    • Quand j’ai enregistré une Yubikey chez Vanguard en 2019, j’ai trouvé ça vraiment innovant
      D’autres banques faisaient quelque chose de similaire, au point qu’il fallait activer un VPN juste pour se connecter

  • La plupart des banques autorisent encore l’accès à leur site web depuis un PC où l’accès root est possible

    • Mais la tendance actuelle va vers des connexions réservées à l’application
      L’une de mes banques ne permet la connexion que via QR code, et les appareils rootés sont bloqués
      Pour l’instant, un contournement côté client reste possible, mais quand la Play Integrity API sera déployée complètement, ce ne sera plus franchissable sans faille matérielle
    • À terme, l’accès web finira sans doute par disparaître
      Comme avec HMRC au Royaume-Uni, toutes les procédures risquent de devenir uniquement accessibles via l’application
    • En Thaïlande, la reconnaissance faciale est obligatoire pour les virements de plus de 50 000 bahts
      Résultat, la plupart des gens abandonnent la banque en ligne au profit d’une authentification uniquement via l’appli mobile
      J’espère voir arriver de nouvelles banques fondées sur des API, mais pour l’instant seules les banques traditionnelles obtiennent des licences
    • La Hongrie est similaire. Sur les appareils non officiels, la 2FA n’est possible que par appli ou SMS
      Je suis encore surpris qu’on considère toujours le SMS comme sûr

  • Je ne comprends pas pourquoi le gouvernement se soucie à ce point des téléphones rootés
    Les techniciens qui rootent leurs appareils savent généralement très bien quels risques ils prennent

    • Le vrai sujet n’est pas de savoir s’il y a root ou non, mais qui contrôle le système d’exploitation
      Pour ceux qui veulent centraliser le pouvoir, c’est une force énorme
    • Du point de vue des banques, cela permet de réduire les coûts de sécurité et les dommages subis par les clients
    • Le Vietnam pousse une vérification d’identité biométrique via le projet VNeID
      L’actuel dirigeant To Lam a un passé au KGB, donc quand je vais au Vietnam, je n’emporte jamais mes appareils personnels
      Site officiel de VNeID, article sur l’enregistrement des SIM
    • L’une des raisons est aussi de gagner la confiance des banques étrangères
      afin de ne pas se voir refuser des transactions au motif que « le Vietnam a trop de fraude »

  • Cela semble s’inscrire dans les politiques de liaison des comptes basée sur la biométrie des gouvernements vietnamien et thaïlandais
    Au Vietnam, tous les comptes devront être reliés à des données biométriques d’ici le 19 décembre 2025
    Article connexe 1, article 2

    • Mais le problème du SIM swapping se réglerait en supprimant l’authentification par SMS
      Ce n’est pas quelque chose qu’on résout en bloquant les téléphones rootés
    • Cette politique est également liée au projet VNeID
      L’objectif est d’attribuer d’ici 2030 un identifiant biométrique numérique à tous les citoyens et visiteurs étrangers, puis d’y relier tous les services
      VNeID, article sur le plan 2030

  • J’étais autrefois passionné par le root, mais aujourd’hui, en tant qu’utilisateur d’iPhone, je comprends les deux points de vue
    Les personnes qui rootent leurs appareils sont généralement compétentes techniquement et très conscientes des enjeux de sécurité,
    mais les banques risquent d’énormes amendes si elles enfreignent la réglementation, donc un blocage généralisé peut être rationnel
    L’Android moderne est presque aussi verrouillé qu’iOS, et j’ai même l’impression qu’iOS est meilleur en optimisation matérielle
    Donc, pour le moment, je pense rester dans l’écosystème iOS

  • Le blocage des téléphones rootés ne vise pas à protéger l’utilisateur, mais à renforcer les DRM
    Sans privilèges root, les applis obtiennent automatiquement des DRM, et l’utilisateur ne peut même plus accéder à ses données ni faire de sauvegardes
    Le discours du type « on vous protège pour votre sécurité » n’est au fond qu’un prétexte pour contrôler l’utilisateur
    La Privilege separation est un vieux concept, mais on va désormais dans le sens inverse

    • Bien sûr, un téléphone confié à un non-technicien peut être rooté à son insu
      C’est sans doute pour cela que les banques considèrent l’ensemble des téléphones rootés comme une catégorie à risque
    • Si un téléphone rooté se fait pirater, cela finit de toute façon en plainte auprès des autorités, donc la logique est de bloquer par prévention
    • Quand on lit l’expression « détection des interférences non autorisées avec les applis de banque mobile », on a l’impression que l’objectif est davantage la protection de la banque elle-même que celle du client
    • Des hackers opérant au niveau étatique peuvent aussi exploiter les téléphones rootés, donc du point de vue des banques, l’évitement du risque reste prioritaire

  • Il semble y avoir deux raisons à ce type de mesure

    1. L’incompétence — adoption d’un SDK sans réel effet sur la sécurité
    2. Le contrôle par la surveillance — un État autoritaire comme le Vietnam veut prendre le contrôle total des appareils de ses citoyens
      En apparence, cela ressemble à une « mesure de sécurité », mais en réalité c’est un moyen de mettre en place un système de surveillance généralisée

  • Il existe énormément de raisons légitimes de rooter un appareil
    Allongement de la durée de vie de la batterie, blocage des traqueurs, innovation dans l’UI : tout cela profite à l’environnement et au progrès technique
    Mais de grands groupes comme Apple, Google et Microsoft bloquent ce type d’innovation
    Résultat, nous sommes en train de perdre en créativité et en progrès