• [^] # Re: La pétition ne mentionne pas les bonnes alternatives

    Posté par (site web personnel) . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 2 (+1/-0).

    Ton safety net doit s'assurer que ton device est à jour (bon un système troué pourra prétendre l'être)

    Ah ? Première nouvelle.

    Le Safety Net est juste là pour dire « moi je garanti que je fais tourner un OS en version machin ». C’est au développeur ensuite de dire « ok, moi je fais tourner un jeu mobile, donc ta version pérave, je m’en cogne, tient voilà mon application » quand une banque dira « hum, c’est un peu tout pourri et t’as plus de maj de sécu, donc je te jette » et qu’une application SoftPOS PSP dira « attend, t’as 2 versions mineures de retard et tu comptes vraiment faire transiter des données PCI-DSS là-dessus ???? ».

    C’est pas Safety Net qui prend la décision encore une fois, Safety Net ne fait que remonter l’état de ton système au développeur, qui prend ensuite la décision d’accepter ou non le risque. À chaque modèle de menace et risques sa réponse.

    Safety Net doit uniquement et exclusivement garantir que les infos qu’il remonte sont fiables et qu’il est relativement robuste à des attaques diverses et variés (donc oui, signature de l’OS, clef crypto en TPM qui est effacé au moindre flash d’une ROM alternative, etc, etc, etc).
    C’est aussi pour ça que les banques cherchent les applis root ou autre : pour s’assurer que la réponse Safety Net est légitime et pas un truc forgé par Magisk ou autre. Si doute, alors le téléphone n’est plus considéré comme légitime et safe et l’éditeur rejettera l’exécution.