Dans ce cas précis, je pense que c'est discutable. L'application a obtenu sa certification
c'est un travail amont qui permet d'obtenir certification : le comité valide simplement d'aller plus avant pour prouver que les travaux démontrent ce qu'ils avancent, tomber en prod' en fait partie (et du risque évalué en amont)
personne n'a jamais regardé l'application elle-même.
ce n'est pas du ressort de l'ANSSI :/ mais des RSI ou RSSI (et j'en connais qui le font)
pour autant, ceux qui ont regardé ont systématiquement rejeté les 1ères versions (login voire mot de passe embarqué dans l'appli, trivial), les suivantes étaient à peine mieux
Bin appli sur mobile, validation 2FA requise, sur le même appareil, via navigateur web, via autre appli ? o_O ça date de 2010 cette analyse... (voire avant)
[^] # Re: L'ANSSI est réaliste ?
Posté par BAud (site web personnel) . En réponse au journal L'Identité Numérique de la Poste, mal sécurisée mais au moins elle ne marche pas. Évalué à 2.
c'est un travail amont qui permet d'obtenir certification : le comité valide simplement d'aller plus avant pour prouver que les travaux démontrent ce qu'ils avancent, tomber en prod' en fait partie (et du risque évalué en amont)
ce n'est pas du ressort de l'ANSSI :/ mais des RSI ou RSSI (et j'en connais qui le font)
pour autant, ceux qui ont regardé ont systématiquement rejeté les 1ères versions (login voire mot de passe embarqué dans l'appli, trivial), les suivantes étaient à peine mieux
Bin appli sur mobile, validation 2FA requise, sur le même appareil, via navigateur web, via autre appli ? o_O ça date de 2010 cette analyse... (voire avant)