Commentaires : La nouvelle fonction Recall de Microsoft alarme les experts en cybersécurité

Un expert en cybersécurité a découvert que la fonctionnalité Recall sur Windows 11 stocke les données en texte clair… offrant un boulevard à de potentiels malwares pour les extraire.

Satya Nadella, patron de Microsoft, rappelait à ses équipes la nécessité de prioriser la sécurité avant tout le reste…

… enfin, après le pognon et la phobie de se faire larguer… Faut pas déconner quand même !

Un peu comme quand les sociétés de cartes bancaires nous ont sorti des cartes NFC avec des communications sans aucune sécurité… vu la taille du gâteau et le risque de se faire doubler par Google Pay.

1 « J'aime »

Je me pose une question: est-ce que pour récupérer les données de la database, il ne faut pas avoir compromis le PC d’une manière ou d’une autre, et donc avoir déjà accès en direct à toutes les informations qui pourraient s’y trouver (et même plus)?!?

@ovancantfort D’un autre coté, c’est le « cas d’utilisation » du sans contact qui veut ça. Pour un truc sans aucune restriction, il ne peut y avoir aucune sécurité, juste éventuellement une limitation des « dégats » (limite de paiment faible)! :smiley:
Et une rapide analyse cout / risque a du faire ressortir qu’un système simpliste coute au global moins cher…

1 « J'aime »

Il ne s’agit pas de cela. Je parle du chiffrement des communications. Quand tu paies dans contact, ton nom, le numéro de ta carte et les dix dernières transactions sont transmises en clair sans aucun chiffrement.
Quand ces cartes de crédit sont sorties, le pass Navigo NFC existait déjà et utilisait des communications entièrement chiffrées.
En fait, Visa et Mastercard ont réellement eu peur de rater l’essor du sans-contact et ont juste implémenté en NFC la première couche du protocole EMV qui existait pour la communication AVEC contact entre les cartes de crédit et les terminaux de paiement. Pas besoin de chiffrement pour ce dernier car je risque d’interception est faible. Par contre, utiliser ce protocole pour le sans-contact violait d’emblée leur propres directives de sécurité qui impliquaient que toutes les communications distantes ou radio devaient être chiffrées. Oui, le NFC entre bien dans les communications radio.

Encore aujourd’hui, comme presque rien n’a été fait, le pass Navigo est bien mieux sécurisé que les cartes de crédit. Un comble!

Note également que aussi bien Google Pay que Apple Pay chiffrent entièrement leur communications NFC.

Je te conseilles de jeter un œil au document que j’ai mis en lien qui explique tout ça.

1 « J'aime »

Ca je connais un peu mieux, j’ai travaillé dessus.
Le « contexte » est différent. Et les infos qui transitent sont de toute façon limitées et peux risquées du point de vue utilisateurs. Par contre la protection pour la RATP est primordiale pour éviter les fraudes qui sont très difficilement traçables.

N’importe quel lecteur de carte à puce peut faire l’affaire, non?
J’ai un lecteur de carte qui lit très bien les infos de ma CB, ainsi que ma carte vitale d’ailleurs, ce qui est encore plus problématique…

C’est clair que c’est la base!

J’ai déjà lu des articles sur le sujet (qui est récurrent dans le domaine de la billettique: quoi coder, pourquoi, comment et à quel cout) mais oui, dès que j’ai un peu de termps, je vais augmenter ma culture!

1 « J'aime »

soit il a pas parlé assez fort ou le mot sécurité n’évoque rien chez microsoft

2 « J'aime »

Encore et toujours des usines à gaz qui ne servent à rien, qui consomment toujours plus d’énergie

1 « J'aime »