Je ne prétends pas cela, même après 15 ans de pratique sous Windows je n'en connais pas tout les recoins. Mais je connais bien les principes de fonctionnement des micro-processeurs en particulier et des PC en général.

Pour ceux que ça interresse, j'explique en essayant d'être le plus concis possible, car le sujet est vaste. Et c'est hors sujet par rapport à l'objet de ce post.

Dans un engin informatique il y a un "chef d'orchestre" appelé OS = Operating System = Système d'Exploitation. Les OS les plus connus sont Windows, OSX, Linux, Androïd et iOS implémentés dans les PC et les smartphones.

Lorsque un programme / application / logiciel est installé il va demander à l'OS ce dont il a besoin pour bosser : le clavier, la caméra, la liste des contacts, le GPS, etc. L'OS relaye cette demande à l'utilisateur. Si ce dernier réponds par exemple "non je ne veux pas que tu shouffes dans mes contacts", alors le programme va peut être fonctionner en signalant qu'il ne peut pas bosser correctement, ou alors il refusera simplement de démarrer, ça dépends comment le programme est fait. Mais ce qui est certain, c'est que lorsque le programme va demander à l'OS "Je veux accéder aux contacts", alors il y aura refus. C'est l'OS qui contrôle tout ces genres d'accès.

Lorsque un programme / application / logiciel est lancé par l'utilisateur c'est l' OS qui va lui allouer un espace mémoire pour s'exécuter, et aussi pour stocker les données volatiles dont l'application a besoin. Cette zone mémoire réservée appartient désormais à l'application et à aucune autre. Une tierce application ne peut pas aller trifouiller là dedans. Ni directement, ce qui provoquerait une erreur système grave (c'est très très rare). Ni en demandant gentiment et poliment à l'OS "Je veux voir ce qu'il se passe dans la zone mémoire d'à coté sioupli..." : c'est un NIET catégorique.

Tout ça c'est expliqué en détails et très longuement dans Wikipédia. [https://fr.wikipedia.org/wiki/Syst%C3%A8me_d%27exploitation]

Pour passer outre ces contraintes d'installation et/ou d'exécution il faudrait qu'un pirate modifie l'OS. Ou bien que le fabriquant du smartphone y introduise insidieusement un code qu'il se réserve d'utiliser (backdoor). Une fois le cheval de Troie en place, le pirate ou le concepteur peut faire ce qu'il veut ! Mais aujourd'hui la probabilité d'avoir un smartphone ainsi modifié est très faible, à moins d'avoir acquis un appareil exotique et bon marché produit par un fabricant asiatique inconnu.

Un utilisateur qui installe à l'insu de son plein gré une application malware cherchant à capturer l'appareil photo et/ou le clavier, pour potentiellement mémoriser une clé privée, devra déjà valider cette installation : là la vigilance est de mise bien sûr. Des applications qui utilisent ces 2 fonctions il y en a des kilos, et tu as raison en ce qui concerne les applis validées puis retirées du playstore.

Voilà le décor. Maintenant j'explique pourquoi le paiement avec un smartphone et Mycelium est sans risque quand on utilise le porte-monnaie papier.

1- La clé privée est codée en BIP38, donc même si son QR Code est capturé et transmis au pirate, alors ce dernier ne pourra rien en faire. Le décodage en clair de la clé se fait dans la zone mémoire réservée de Mycelium. Donc c'est impossible d'y accéder.

2- D'autre part un bon observateur pourra remarquer que le clavier de Mycelium n'est pas le clavier du smartphone. Tout ce qui est saisie reste donc confiné dans la zone mémoire réservé et ne peut pas être capturé.

3- Et finalement je rappelle que sur le réseau ne circule que la clé publique et la transaction cryptée. Donc même si le trafic réseau est espionné, il est inexploitable pour un pirate.

Est ce que c'est plus clair ?


Tu as raison, j'en vois beaucoup aussi dans ce cas. Je crois fondamentalement que l'informatique en est toujours à ces débuts et que la machine a encore du mal à se plier à l'esprit tordu des humains ! Et je ne souhaite pas l'inverse. En attendant il faut faire avec.