En quoi consiste le festival Pas Sage en Seine ?
Pas Sage en Seine est un festival qui, au départ, était plutôt fondé sur le hack, un sujet assez technique. À l’origine, il concernait tout ce qui était autour du bricolage électronique et informatique. Au fur et à mesure des éditions, nous avons essayé de nous ouvrir au hack en général – comment peut-on vivre un peu différemment, que ce soit au niveau alimentaire, au niveau vestimentaire, au niveau politique, etc. ? –, en essayant de garder toujours le côté informatique et électronique.
Contrairement à l’image souvent véhiculée, le hack n’est pas de la piraterie informatique. Comment le définiriez-vous ?
Non, c’est… de la « bidouille ». C’est exporer la possibilité de détourner les objets de tous les jours, pour en faire autre chose que ce pour quoi ils ont été élaborés.
Lors de l’édition 2017, vous aviez fait une présentation sur la sécurité des applications bancaires. Pour quelle raison ?
Sur les quatre jours de Pas Sage en Seine, les deux premières journées sont plutôt axées sur la technique et les deux dernières sont sur un sujet plus généraliste. L’an dernier, il portait sur le manque de sécurisation des banques en général, et plus particulièrement sur leurs applications. En l’occurrence, nous nous servions d’une application Android : en étant un peu malin, l’utilisateur arrivait à la détourner pour voir tout ce qui circulait via celle-ci : les identifiants et mot de passe, les paiements passés, le comportement de la banque en fonction des différentes opérations possibles. Nous avons essayé de comprendre comment fonctionnaient ces applications, pour montrer qu’il y avait des problèmes en termes de sécurité.
En pratique, comment se déroule le festival ?
Pas Sage en Seine dure quatre jours, du jeudi au dimanche, fin juin-début juillet, à la médiathèque de Choisy-le-Roi. Son but est de s’ouvrir le plus possible et de toucher le plus grand nombre. De sortir du monde un peu confidentiel autour de l’informatique qui a été notre premier public, il y a quelques années. Nous avons des ateliers numériques pour les enfants. Comme nous sommes hébergés dans une médiathèque, nous accueillons aussi, le week-end, son public habituel.
Qui sont les organisateurs ?
Jusqu’à l’année dernière, nous faisions cela avec une dizaine d’organisateurs qui variaient d’une année sur l’autre, sans structure légale ou juridique derrière. Mais depuis l’année dernière, nous avons créé une association : pour être un peu plus structuré et avoir quelque chose qui essaie de pérenniser l’événement, pour moins dépendre de telle ou telle personne ou de telle ou telle structure pour nous accueillir.
Comment se finance cette association ?
Comme on peut ! Les années passées, nous avons fonctionné grâce à la vente de divers goodies aux couleurs du festival. C’était notre seule source de revenus. Cette année, nous avons ouvert une collecte de fonds (https://donate.passageenseine.fr/), pour essayer de financer un peu de matériel et avoir un fonds de roulement pour les débuts de l’association.
Pour l’instant, il n’y a que des particuliers au sein de cette association ?
Non, quelques entreprises nous financent également, mais sans acquérir de statut particulier. Vous voulez donner, vous donnez : mais il n’y a pas de contrepartie et vous n’avez pas votre mot à dire, ni sur le programme ni sur le contenu.
Qui décide de ce programme ?
Les organisateurs. Nous ouvrons un appel à conférences sur tout le mois de mars. Pour le moment, nous parvenons à trouver des créneaux pour toutes les propositions qui correspondent à notre approche. Une entreprise qui veut présenter son « super-produit » risque difficilement de passer… à moins que le produit ait de l’intérêt dans notre thématique. Nous avons eu le cas l’an dernier avec Cozy
Donc une banque qui proposerait son nouveau produit serait refusée, mais une qui vient parler de son expérience pourrait vous intéresser ?
Oui, une qui viendrait dire, par exemple, « nous avons mis en place une API pour être compatible RGPD et assurer la portabilité des données… » serait la bienvenue. Même chose pour une banque qui expliquerait comment elle est compatible avec le RGPD et la DSP2, cela pourrait être intéressant. Il faudrait qu’elle soit sûre de son sujet pour le présenter, parce qu’elle risque d’avoir de jolies critiques derrière… ! Mais potentiellement, pourquoi pas ?
Combien de visiteurs avez-vous eu l’année dernière ?
Entre 2 000 et 3 000 sur les quatre jours, avec une bonne progression d’une année sur l’autre. Tout est diffusé en streaming le jour de l’événement, enregistré, et remis en ligne soit sur notre site, soit sur YouTube. Avec les archives des années précédentes…
Si l’on élargit les thèmes de Pas Sage en Seine au monde bancaire, que manque-t-il à l’heure actuelle dans la banque ?
Aujourd’hui, il y a surtout le problème de la portabilité des données et de l’accès aux données bancaires. Quand nous, développeurs, voulons récupérer les données de nos comptes bancaires, nous sommes assez embêtés parce que nous n’avons pas d’API pour les récupérer. Du coup, à chaque fois que les banques font une modification, il faut tout redévelopper depuis zéro. Cela ne fonctionne pas, nous rencontrons d’innombrables bugs parce que les banques changent leur interface tous les matins. Avec la DSP2, les banques sont censées ouvrir leur système d’information, mais on sent bien qu’elles vont tout faire pour empêcher l’interface avec leurs concurrents, ce qui risque du coup de bloquer aussi les particuliers. Il y a également la partie sécurité.
Pourtant, c’est traditionnellement un point fort des banques ?
Au contraire, aujourd’hui les banques ne sont pas du tout à la pointe en matière de sécurité, que ce soit pour des raisons soi-disant de compatibilité avec d’anciens navigateurs ou pour ne pas trop compliquer l’utilisation pour leurs clients. On voit ainsi des mots de passe qui ne font que quatre caractères, que dis-je, quatre chiffres même. On voit des configurations
Ce genre de communication ne s’adresse pas au grand public parce que celui-ci a appris que le cadenas et la barre verte suffisaient. En tant que techniciens, nous pourrions aussi conseiller d’aller plutôt vers telle banque, parce qu’ils ont bien fait leur travail, alors que pour d’autres, si je suis sur un réseau WiFi dans un Starbucks à côté d’un utilisateur, j’arrive à récupérer ses données ! De ce que j’ai constaté, les meilleures sont Fortuneo et ING direct. Elles pourraient aller au-delà, mais elles arrivent en tête. Après, certaines très grandes banques ne sont pas au top ! Et dans d’autres banques de petite taille, pas forcément très connues, mais qui ont quand même des sites Internet, c’est la catastrophe.
Est-ce qu’il ne faudrait pas, à un moment donné, imaginer que les développeurs web des banques et les développeurs d’outils comme Cozy Cloud, OneCub ou les autres, se mettent autour de la table pour discuter de la façon d’améliorer la sécurité tout en facilitant l’ouverture des API ?
Effectivement, cela pourrait être intéressant. Les prestataires passent leur temps à courir derrière les banques, parce que ça ne marche jamais. Et il reste le cas des particuliers, qui souhaiteraient récupérer eux-mêmes leurs
