On Tue, 2015-03-31 at 14:33 +0200, Daniel Cordey wrote: > Il me semble que la Migros est devenu un nid de > Windows-certified-engineer-je-m'la-pete. Pour preuve > http://www.migrol.ch/fr/mazout.aspx
Hum. Si c'était le cas Windows Phone ferait partie des plateformes supportées. Sans être utilisateur, j'avais regardé le système proposé par Banque Migros sous l'angle de la sécurité: - un hardware spécifique: une "clef" USB en apparance - trois versions de Firefox "portables" pour les trois systèmes supportés - un plugin spécifique Firefox capable de causer avec le hardware de la clef qui présente le montant de la transaction sur un afficheur et attend la confirmation par pression sur le bouton Alors ça a l'air très sécurisé comme ça mais le "reverse-engineering" est faisable... injecter une version modifiée du plugin qui truande le montant affiché aussi. Au passage, la section de la documentation qui indiquait comment mettre à jour "la clef" m'a aussi beaucoup intéressé. Voilà ce que l'on peut produire comme solution quand on écoute ceux qui brandissent l'argument que l'on peut intercepter et modifier un SMS de confirmation de transaction... mais je considère que c'est encore la solution qui a le meilleur rapport coût/sécurité. Résultat: on repose sur du matériel (l'USB en maintenant connu pour ses lacunes) et on écrit plus de code, introduisant plus de risques que la menace initiale que l'on souhaite éviter. Et ensuite il faut porter ce code sur une multitude de plateformes... chaque année plus nombreuses: Windows Phone, bientôt Tizen chez Samsung. Les décisions "stratégiques" n'ont vraiment plus que leur dénomination qui les font apparaître comme stratégique... en regardant des camemberts de couverture de marché, comme on le fait encore pour IE, Firefox, Chrome, en désespérant de ne pouvoir évacuer IE 6, 7, 8 à cause de leur part. Mais heureusement on sait maintenant que la dernière version d'IE est venue ;) L'informatique aussi a besoin de "son histoire" pour éviter de reproduire de sempiternelles erreurs ! Cordialement, Yves Martin _______________________________________________ gull mailing list [email protected] http://forum.linux-gull.ch/mailman/listinfo/gull
