Zerosquare (./634) :"dans la mesure où vous ne leur laissez pas le choix, cet argument ne tient pas la route... "
"vous savez, la grande majorité des clients utilisent l'appli"
Zerosquare (./645) :C'est pas Graves.
c'est mission impossible (et comme je ne m'appelle pas Jim Phelps, désormais je n'accepte plus la mission).
Zerosquare (./645) :Oui, en théorie, tu pourrais le faire.
Exactement.
Si j'ai un doute et que je veux accéder à la version web depuis un environnement relativement sûr, avec un desktop je peux (par exemple) facilement booter sur un Live CD/DVD/clé USB d'une distro Linux minimaliste, faire ce que je dois faire, et rebooter. C'est pas super pratique - et Flanker dirait que ça reste vulnérable à certains vecteurs d'attaque - mais c'est déjà beaucoup mieux que rien.
En pratique, un Android ou un iPhone reste bien plus sécurisé qu'un ordinateur, avec beaucoup plus d'isolation entre applications.
Alors qu'avec un smartphone, y'a rien de comparable. L'appli de la banque sera chargée en permanence, et tournera sur un système où il y a plein d'autres trucs en arrière-plan, dont la moitié dont on ne sait pas trop ce qu'ils font.
Mais expliquer ça à quelqu'un qui ne connaît pas la sécurité info, j'ai déjà essayé, c'est mission impossible (et comme je ne m'appelle pas Jim Phelps, désormais je n'accepte plus la mission).
flanker (./649) :Ah non, pas toi !
Oui, en théorie, tu pourrais le faire.
En pratique, combien de clients le font réellement ? 0,01% des clients ? Et encore, je pense que c'est surévalué.
flanker (./649) :Alors ça, je n'en mettrais pas ma main à couper. La sécurité sur desktop s'est quand même bien améliorée, on n'est plus à l'époque des 36000 barres d'outils qui s'installent sauvagement sur Internet Explorer. Et même si les OS mobiles ont du sandboxing, ils sont aussi régulièrement sujets à des failles graves, sans parler des side-channel attacks. Il y aussi le fait que la majorité des applis mobiles embarquent de multiples frameworks d'analytics/advertisting et co. plus ou moins douteux et opaques, les surcouches et machins préinstallés par les fabricants, et l'arrêt des mises à jour au bout de ~2 ans (côté Android).
En pratique, un Android ou un iPhone reste bien plus sécurisé qu'un ordinateur, avec beaucoup plus d'isolation entre applications.
Fletsh (./648) :Le principe d'avoir plusieurs codes séparés est de limiter la casse si jamais tu t'en fais dérober un. Et accessoirement, c'est beaucoup plus difficile de se faire rembourser une transaction CB frauduleuse s'il y a eu saisie du code : les banques considérant que (comme elles disent de pas le noter et ne le donner à personne) s'il a été utilisé, c'est que c'était forcément par toi.
Zerosquare tu peux m'expliquer ? moi j'ai l'appli et j'affiche mon code quand j'men souviens plus #snif#
Godzil (./653) :Ca c'était avant.
Attends.
Il foutent le code de ta carte dans leur appli?
La banque n'est pas sensé connaite ton code, seule l'usine est sensé avoir une trace de ca, et encore.
Le code d'une carte n'est pas envoyé par la banque mais le fabricant de cartes avec des lettres templates des banques qui utilisent leur services.
Godzil (./651) :Définit malware.
Il y a quand meme largement moins de malware mobile qu'il n'y en a qui ciblent des ordi "classiques".