Musaran a écrit :
Aucune différence pour la victime.
La sécurité bancaire est censée être toujours en avance, jamais en retard.
La faille était repérable dès la conception, pourquoi a-t-on attendu si longtemps que quelqu?un l?exploite ?
|
Le renouvellement du system étais prévu, mais le tout est de savoir quand le remplacer,
sachant que son remplacement coutera très cher, car il y a tout les terminaux a remplacer.
Quand il y a une fraude, la victime comme tu dis, c'est plutôt la banque. Mais le cout des fraudes est compris dans les comissions a chaque achat (entre 0.3 et 1% pour carte bleue).
Le tout est de savoir ce qui coute le plus cher... avoir un system le plus sûr possible, mais qui coutera très cher en terminaux et en vérifications (quand tu achete un article de moins de 50~100? avec une CB classique il n'y a pas de vérification aupres de la banque, trop long/cher/contraignant pour le commerçant), ou payer les fraudes.
Ensuite il suffit de calculer les couts... tant que les fraudes restent marginales les banques préferent les assumer que de tout remplacer pour un cout largement suppérieur, tout en renouvelant leurs parc de TPE pour une évolution dans les 2 ans qui suivent le nouveau system.
Citation :
Et si c?est confidentiel, c?est encore pire car c?est un cache-misère, un aveu de faiblesse.
L?histoire nous montre que baser la sécurité d?un système informatique sur le secret de son fonctionnement ne marche pas.
Les pirates finissent toujours par trouver, et ils trouvent un système bâclé à cause de l?illusion d?inviolabilité.
Qui prendrait la peine de blinder une porte secrète ?
|
Quasiment tout les system de securité d'acces sont gardés confidentiels, et je ne vois pas une seul raison pour qu'ils le divulgent... ça n'est pas un soft GPL ou n'importe qui peut participer a la sécurisation du system qu'on peut changer quand on veut, c'est du hard, ça ne bouge pas quand on veut.
Divulguer ces informations n'apporte rien, si ce n'est apporter des infos pour que le system soit cracké plus vite.
Oui tout les systems de sont pas infaillible, mais le tout, c'est comme je l'ai dis tout a l'heure, de mesurer les couts des fraudes et des couts de changement de system, en faisant en sorte que le cout des fraudes soit toujours largement en dessous.