• [^] # Re: Unified Attestation est techniquement merdique

    Posté par . En réponse à la dépêche La certification du matériel appliquée aux ordiphones: la sécurité comme prétexte pour constituer un oligopole ?. Évalué à 0 (+1/-1). Dernière modification le 28 juin 2026 à 16:22.

    Bref on en revient toujours a ce que disais Ken Thompson dans "Reflections on Trusting Trust".

    Donc la "force" de Google, c'est d'avoir fait un code qui génère des machines virtuelles à la volée et leur code associé. Ce n'est pas le PI, ce n'est pas l'attestation HW, c'est de la sécurité par l'obscurité.

    Et encore faut faire confiance a google et que leur infra soit eux même sécuriser (mdr), mais ça c'est juste la confiance du coter technique, ensuite il y a la confiance du coter légale/national et la je ne comprend pas pourquoi personne n'intervient pas car google est clairement l'un des divers bras droit de la contre intelligence des US.

    il est impossible de fournir une solution technique fonctionnelle de protection logicielle

    La FSF la donne depuis des années; Pas de logiciels ou matériels privateur.

    on ne peut pas faire confiance à l'utilisateur

    Et la raison de ça ce serait pas du a l'illettrisme numérique généraliser ?
    Illettrisme numérique qui n'est pas du tout causer par les Gafam.

    et surtout pas son smartphone

    Comme dit précédemment, logiciel/matériel privateur.

    La probabilité que les 2 appareils soient compromis est faible, mais pas nulle

    Certe, mais tout comme transporter de l'argent liquide les probabilités d’être voler sont eux aussi non nulle.

    par une action explicite de l'utilisateur impossible à falsifier

    Ça n'existe pas mais une grille de nombre ferais l'affaire.
    https://linuxfr.org/users/elessar/journaux/les-banques-et-l-authentification-a-deux-facteurs