mardi 20 décembre 2011

PCI-DSS, grosse arnaque ou pas?

Lors d'un déjeuner (oui Olivier tu te reconnaitras) on m'a fait part d'une réflexion tres intéressante sur l 'utilité du PCI-DSS

Avant l'obligation de PCI-DSS pour les commerçants,la fraude a la CB s'élevait a 200/260 millions d' euros en 2006 . Et donc pour palier a cela et améliorer l'Internet de demain, le consortium PCI (Visa, Mastercard et American Express pour ne citer que les majeurs....) a décidé d'obliger les commerçants a se plier a leurs exigences de réglementation sous peine de gros soucis(amendes toussa....).

Pour rappel le PCI-DSS, c'est 12 obligations (organisationnelles et techniques) pour protéger les données cartes (le fameux numéro avec le code sécurité(qui est d'ailleurs strictement interdit de stockage...) que madame Michu(r) inscrit sur le bon de commande de la Redoute pour commander le masse-joue qui lui plait bien...).

En regardant de façon simpliste le rapport 2011 (sur les données 2010) de l'observatoire des cartes bancaires ( www.observatoire-cartes.fr), on s'aperçoit que quant bien même il y a une progression de la sécurisation des transactions, on arrive quand même à une augmentation constante du nombre de fraudes à la CB et du montant (280Millions en 2010)....

Donc la question réelle se pose;  PCI-DSS  arnaque ou pas ?

vendredi 4 novembre 2011

Utiliser Microsoft SDL en Java


La méthode Microsoft SDL (actuellement en version 5.0) est assez interessante a utiliser a partir du moment ou l'on dispose des bons outils pour avancer. Le problème actuel du document est que Microsoft ne propose actuellemen que des outils orientés C/C++ et C#/.NET.

J'ai pu experimenté pour différents clients l implémentation de cette méthode dans des environnements de développement Java/Eclipse et ai donc été confronté au problème.

Mes slides du forum Application. Security d'Yverdon les Bains (suisse) sont en ligne sur mon slideshare ou j'y présente quelques pistes possibles pour s en sortir.


A noter que les slides vont evoluer pour Confoo 2012 car je vais essayer de tester l'intégration de TFS avec eclipse pour bénéficier des templates SDL.


Failed


jeudi 6 octobre 2011

Agression moderne

Avant les bijoux,  l argent...maintenant les portables.

Merci iSteve...tu dois bien te marrer labas dans l iCloud.


Jobs...

Sebastien Gioria (@SPoint) has shared a Tweet with you: "SPoint: Toujours en avance, Steve Jobs déjà dans le cloud." --http://twitter.com/SPoint/status/121802839436701696

//Activation syntaxhilight