[gull] Android "root" hiding and co.

[Daniel Cordey]

On 27.05.20 22:48, Miçhael Parchet wrote:

>   Par contre, sur mon téléphone équipé de l’image os postfinànce ne fonctionne pas heureusement que j’ai un iPhone c’est pour cela que j’ai deux téléphones sinon je devrais accepter les politique de confidentialité de Google ce que je ne suis pas près de faire.
> Une dernière chose

Wow... pas de Google mais niphone pas de problème ? Donc, si j'ai bien 
lu ce que vous vous êtes donné la peine d'écrire, le code doit être 
open-source ? Dois-je en déduire que Apple vient de mettre iOS en 
open-source ce soir ? A mon insu ? Que Apple ne collecte pas de données 
personnelles ?

Dites-moi, pour faire démarrer votre niphone, vous vous êtes contenté de 
l'allumer et hop ça a marché ? Ou vous avez dû vous enregistrer sur 
l'Apple Store en y mettant plein d'informations personnelles sinon votre 
téléphone ne marchait pas ? Je le sais car j'ai dû en passer par là avec 
le téléphone professionnel que l'on m'a donné; j'ai donc donné de 
fausses informations pour pouvoir démarrer mon téléphone.

Je ne dis pas que Google est mieux ou moins bien que quoi que ce soit 
d'autre; et Apple n'est vraiment pas mieux (et j'arrête le troll ici). 
J'ai essayé d'expliquer comment les entreprises fonctionnent 
aujourd'hui. CAD que tout est piloté par le département légal (pour de 
multiples raisons). Le département dans lequel je travaille est appelé 
"Information Security Department", cad que l'on chapeaute tout ce qui 
est cybersecurité dans l'entreprise. Nous avons trois groupes... OT 
(Operational Technology - système industriels), Incident & Operations 
(mon groupe) et GRC... qui signifie "Governance, Risk Management and 
Compliance". Ce dernier groupe est très important et est intimement lié 
au département légal de l'entreprise. Aujourd'hui, aucune entreprises ne 
va s'amuser à regarder du code source pour savoir si celui-ci est 
sécurisé... jamais ! On est obligé de s'en remettre à des standards, des 
audits, des certifications. Donc, si un fournisseur publie un document 
reconnu légalement qui stipule qu'il fait le maximum pour assurer la 
bonne qualité des outils ou solutions qu'il fournit, on le croit puisque 
c'est légal. C'est peut-être stupide... mais c'est comme ça que ça 
fonctionne.


> Est-ce qu’on est sûre que les gens de la FINMA qui ont mis ses normes en place ont des experts en sécurité bien > formé est-ce que pour la sécurité ne passe que par le code source 
fermé qui ne se montre pas ?

La FINMA ne met pas de normes en place. :

https://en.wikipedia.org/wiki/Swiss_Financial_Market_Supervisory_Authority

Aucune banque en Suisse ne peut échapper à la FINMA

> Par qui les codes sources des programmes des banques sont-ils expertisé ?

Ceci est décidé par le département sécurité de la banque qui s'assure de 
la conformité des solutions proposées. Ceci passe parce que l'on appelle 
un Risk Assessment, procédure complexe qui analyse différents aspects de 
la solution. Entre autre, on s'assure que la solution est conforme à 
toutes les "policies" de l'entreprise et que la solution est aussi 
conforme sur le plan légal en ce qui concerne les relations avec le 
fournisseur (contrats, Appendices, etc.)

Lire :

https://en.wikipedia.org/wiki/IT_risk

et aussi :

https://en.wikipedia.org/wiki/Risk_assessment

> D’avance merci de répondre à mes questions

Il faut savoir qu'un département légal va toujours s'assurer qu'il 
existe une entité (société) qui assurera une responsabilité en cas de 
litige et de problème. C'est justement ce qui est difficile à réaliser 
avec les logiciels libres ou Open-Source; car les licences vous disent 
d'entrée qu'ils n'assument aucune responsabilité !

A lire :

https://en.wikipedia.org/wiki/Governance,_risk_management,_and_compliance
https://www.nist.gov/cyberframework
https://en.wikipedia.org/wiki/ISO/IEC_27001
https://www.iubenda.com/en/help/11552-privacy-policy-for-android-apps
https://www.google.com/mobile/android/market-tos.html
...


dc