Cette vidéo assez technique n'est pas seulement intéressante pour la démonstration qu'elle fait de la facilité avec laquelle il est possible de pénétrer des systèmes bancaires en ligne, mais surtout selon moi parce que Fabrice Marie nous explique comment réfléchissent les institutions bancaires dans leur processus de prise de décision et d'allocation des ressources informatiques, et dans quelle mesure la sécurité est rarement une préoccupation prioritaire. Il a également des mots assez durs contre la paresse des programmeurs qui créent ces applications en s'appuyant de manière systématique sur la technologie qu'ils maîtrisent le mieux, même si cette dernière n'est pas toujours la plus appropriée pour certaines situations spécifiques. Dit plus simplement, le choix des moyens n'est pas déterminé par les fins que l'on cherche à atteindre, mais plutôt par l'économie d'effort qui peut être obtenue. Qui plus est, la traçabilité des opérations (les "audit trails") semble assez inconsistante, voire inexistante.
Les outils qu'ils utilise sont très rudimentaires ("boring" comme il le dit lui-même), par contraste avec les applications qu'achètent les banques à prix d'or, et qui contiennent néanmoins un nombre important de failles, à moins que les acheteurs soient prêts à payer un supplément pour que ces failles soient réparées... Bref, une économie de la sécurité qui repose sur une délégation systématique des responsabilités et des risques aux acteurs les moins exigeants.
Aucun commentaire:
Enregistrer un commentaire