• [^] # Re: La pétition ne mentionne pas les bonnes alternatives

    Posté par (site web personnel) . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à -2 (+0/-3).

    Tu peux, mais en attendant la loi est comme ça et le régulateur a (malheureusement ou pas, la question n’est pas là) reconnu que passer par Google était plus sécurisé qu’avoir un téléphone rooté.
    Et factuellement toute personne qui fait de la vraie sécurité sera forcée de reconnaître qu’un téléphone rooté (et pire, sans bootloader verrouillé) est un véritable risque énorme en terme de sécurité.
    Donc entre SafetyNet et un téléphone rooté, j’aurais aucun problème à reconnaître que le 1er est TRÈS LARGEMENT meilleur en terme de sécu que le 2nd. Et donc bien du mal à en critiquer la position du régulateur.

    Encore une fois, il faudra aussi que le libre se bouge sur le sujet pour proposer des alternatives réellement crédibles pour répondre à un vrai besoin réel de garantie d’intégrité au moment de l’exécution.
    Et pas que pour les banques d’ailleurs, les développeurs (et non les utilisateurs) ont de plus en plus besoin de s’assurer de l’intégrité de l’application réellement exécutée, et sur ce terrain il n’y a que Google et Apple qui ont apportés des solutions.
    GrapheneOS a commencé le taff, mais personne ne les suit.
    https://grapheneos.org/articles/attestation-compatibility-guide