cross-posted from: https://lemmy.ca/post/3731777

Au-delà de la joke la plus complète que représente ce dossier, ce paragraphe me fâche le plus:

Cette prouesse informatique survient alors que l’Autorité régionale de transport métropolitain (ARTM) vient d’accorder 1,13 million à l’entreprise parisienne Spirtech pour développer une application semblable. À la clé, le contrat prévoit des redevances versées sur chacune des quelque sept millions de transactions annuelles projetées pour l’achat de titres de transport sur mobile.

Veux-tu me dire, ciboire, pourquoi on est pas capable de trouver une compagnie québécoise pour faire ça? C’est pas comme si le projet demandait des experts ultra spécialisés et rares. Pourquoi un projet qui peut potentiellement générer beaucoup de profits (avec les redevances) ne trouve pas preneur ici? Tk, tout ce dossier est tellement risible…

  • setVeryLoud(true);OPM
    link
    fedilink
    2
    edit-2
    1 year ago

    Il est possible que il l’aille tirée de l’appareil à $20 vendu par la STM avec une liseuse de ROM, ou bien l’application Windows contient la clé d’encryption d’une façon non-sécurisée.

    La morale de l’histoire pour la STM est d’assumer que toute clé secrète envoyée au client n’est plus dans leur contrôle. Toujours mieux de générer, encrypter et signer le payload du côté des serveurs STM avant de l’envoyer au client pour l’écrire sur la micropuce, qui peut l’accepter ou le refuser dépendamment de la clé publique utilisée, le payload étant signé par une clé privée du côté de la STM.

    Tout le monde, incluant la micropuce, connaît la clé publique, mais seule la STM connaît la clé privée. Messemble ça prend pas 1,13 million pour sécuriser ça lmao