Figure 1 Les noms des fichiers, des classes et des variables ont été modifiés afin de rendre le code plus difficile
            à comprendre.

























































            √   T4.2 La saisie du code PIN est exigée à chaque   3.2.5   M5: Cryptographie insuffisante
                transaction.  Cette  protection  est  encore  plus
                sûre qu'une désactivation après un délai d'inacti-  x   T5.1 L'application utilise l'algorithme SHA-1 ain-
                vité.                                             si qu'un générateur de nombres aléatoires par
            √   T4.3 Si une nouvelle empreinte digitale est ajou-  défaut, qui offrent tous deux un niveau de sécu-
                tée, l'application désactive l'authentification par   rité faible.
                empreintes digitales.                             SHA-1 in file o/C1668.java:
            x   T4.4 Les demandes sensibles telles que les trans-     MessageDigest instance = MessageDigest.getIns-
                ferts de fonds ne peuvent pas être répétées.      tance("SHA-1");
                                                               x   Random generator in file o/C1783.java:
                                                                  this(juVar, d, new Random());
                                                               √   T5.2 En interceptant les requêtes HTTPS de l'ap-
                                                                  plication à l'aide de Burp Proxy, nous avons pu



           14    Audit de sécurité de différentes applications de services financiers numériques (DFS)