[gull] Arrêt du support linux pour l'e-banking de la Banque Migros

Yves Martin ymartin59 at free.fr
Tue Mar 31 18:46:20 CEST 2015 

On Tue, 2015-03-31 at 14:33 +0200, Daniel Cordey wrote:

> Il me semble que la Migros est devenu un nid de
> Windows-certified-engineer-je-m'la-pete. Pour preuve
> http://www.migrol.ch/fr/mazout.aspx

Hum. Si c'était le cas Windows Phone ferait partie des plateformes
supportées.

Sans être utilisateur, j'avais regardé le système proposé par Banque
Migros sous l'angle de la sécurité:

- un hardware spécifique: une "clef" USB en apparance
- trois versions de Firefox "portables" pour les trois systèmes
supportés
- un plugin spécifique Firefox capable de causer avec le hardware de la
clef qui présente le montant de la transaction sur un afficheur et
attend la confirmation par pression sur le bouton

Alors ça a l'air très sécurisé comme ça mais le "reverse-engineering"
est faisable... injecter une version modifiée du plugin qui truande le
montant affiché aussi.

Au passage, la section de la documentation qui indiquait comment mettre
à jour "la clef" m'a aussi beaucoup intéressé.


Voilà ce que l'on peut produire comme solution quand on écoute ceux qui
brandissent l'argument que l'on peut intercepter et modifier un SMS de
confirmation de transaction... mais je considère que c'est encore la
solution qui a le meilleur rapport coût/sécurité.

Résultat: on repose sur du matériel (l'USB en maintenant connu pour ses
lacunes) et on écrit plus de code, introduisant plus de risques que la
menace initiale que l'on souhaite éviter. Et ensuite il faut porter ce
code sur une multitude de plateformes... chaque année plus nombreuses:
Windows Phone, bientôt Tizen chez Samsung.

Les décisions "stratégiques" n'ont vraiment plus que leur dénomination
qui les font apparaître comme stratégique... en regardant des camemberts
de couverture de marché, comme on le fait encore pour IE, Firefox,
Chrome, en désespérant de ne pouvoir évacuer IE 6, 7, 8 à cause de leur
part. Mais heureusement on sait maintenant que la dernière version d'IE
est venue ;)

L'informatique aussi a besoin de "son histoire" pour éviter de
reproduire de sempiternelles erreurs !

Cordialement,
Yves Martin

More information about the gull mailing list