comparaison · EEI vs lecture de session
Le replay semblait normal.
L'exécution ne l'était pas.
La lecture de session reconstruit l'aspect de l'expérience applicative à partir de la couche app instrumentée. EEI déclare l'état du contexte d'exécution runtime au moment où la valeur a été transférée. Ce ne sont pas la même classe d'evidence.
Un tap d'apparence normale sur Confirmer peut être cohérent avec un vrai parcours utilisateur. Il peut aussi être cohérent avec une automatisation, un abus d'overlay ou une manipulation runtime que la couche de lecture n'est pas conçue pour prouver. La lecture de session explique le parcours. EEI signe le contexte d'exécution.
La lecture de session reconstruit l'expérience applicative à partir de ce que la couche de vue instrumentée a observé. EEI observe le contexte d'exécution runtime — y compris les conditions runtime en dehors de la frontière d'observation normale du SDK de lecture — et déclare le résultat dans le trust_basis de chaque token signé. Ce ne sont pas la même classe d'evidence.
Même transaction. Couches d'evidence différentes.
lecture de session · couche applicative
SDK app → reconstruction wireframe → plateforme vendor
EEI · contexte d'exécution runtime
TRP observe les conditions runtime → token signé → stack opérateur
Un replay d'apparence normale n'est pas toujours une exécution fiable.
La lecture de session est précieuse pour les équipes ingénierie mobile, produit, support et UX. Elle aide à reproduire les erreurs, comprendre les parcours utilisateur et identifier les frictions dans les flux. C'est exactement ce pour quoi elle est conçue.
Mais un replay n'est pas équivalent à une evidence d'exécution. Considérons une attaque par service d'accessibilité.
Un service malveillant opère au niveau de l'OS et peut observer ou interagir avec l'app de paiement. L'app reçoit un tap d'apparence normale sur Confirmer. Le SDK de lecture enregistre l'interaction comme faisant partie d'un parcours normal.
Ce replay peut être utile pour le support ou l'investigation. Mais il ne prouve pas, par lui-même, si l'environnement d'exécution était cohérent au moment où la transaction a été confirmée.
EEI aborde la même transaction depuis la couche runtime. Le TRP évalue les conditions runtime configurées avant et pendant les événements de sécurité. Quand ces vérifications identifient une condition compromise, le token signé peut porter un trust_basis tel que compromised_device.
Le replay et le token EEI décrivent la même transaction depuis des couches différentes. L'un reconstruit l'expérience applicative. L'autre est conçu pour déclarer l'état de confiance runtime comme evidence d'exécution signée.
Cet angle mort dépasse le cadre de la sécurité. Un replay peut montrer que le parcours semblait normal, mais pas si la transaction a été signée hors ligne et mise en file d'attente pour une soumission ultérieure, si un outlier de latence s'est produit au niveau de la couche d'exécution plutôt qu'au niveau de l'UX, ou si un redémarrage de l'appareil a interrompu le contexte de la transaction en cours. Ces conditions peuvent expliquer des résultats anormaux dans des parcours qui semblent normaux dans le replay. EEI peut les enregistrer dans la chaîne d'exécution signée lorsqu'elles font partie de l'ensemble de vérifications runtime configurées.
Ce que chacun capture. Ce que chacun ne voit pas.
| Lecture de session | EEI | |
|---|---|---|
| usage principal | UX, support, débogage de parcours | Décisions de fraude, résolution de litiges, preuves d'audit |
| couche | Couche de vue applicative | Contexte d'exécution runtime |
| résultat | Parcours de session reconstruit | Token d'evidence signé |
| vérification | Accès au replay médiatisé par le vendor | Artefact signé vérifiable par l'opérateur |
| périmètre | Non conçu pour prouver la confiance runtime | Non conçu pour montrer le parcours visuel |
↓ détail complet ci-dessous
| Lecture de session | EEI | |
|---|---|---|
| Ce qu'elle capture | La couche de vue rendue de l'app — interactions utilisateur, événements de navigation, état de l'UI observé par le SDK. Résultat : un parcours visuel reconstruit, généralement sous forme de wireframes. | Le contexte d'exécution runtime — ce que le TRP de l'appareil a observé au moment de chaque événement de sécurité configuré. Résultat : un Evidence Token signé hash-linké à la session. |
| Couche observée | Couche de vue applicative : UI rendue, événements d'interaction utilisateur, état SDK-visible. L'instrumentation est à l'intérieur du processus de l'app. | Contexte d'exécution runtime — en dehors de la hiérarchie de vue de l'app. Le TRP surveille le contexte d'exécution : intégrité du processus, services ambiants, présence d'overlays, détection de hooks, liaison matérielle. |
| Ce qu'elle ne voit pas | Non conçu pour prouver l'automatisation au niveau OS, la présence d'overlays ou la manipulation runtime comme contexte d'exécution signé. Certains symptômes peuvent apparaître dans le replay, mais le replay lui-même ne déclare pas la confiance runtime. | Le contenu visuel de la session. EEI ne reconstruit pas les parcours utilisateur, ne capture pas l'état de l'UI, ne fournit pas de télémétrie UX au niveau session. Il produit un enregistrement de cohérence runtime, pas un récit de session. |
| Déclaration de confiance | Aucune. La lecture de session enregistre ce que le SDK de l'app a observé ; elle ne déclare pas l'état de l'environnement d'exécution. Il n'y a pas de champ trust_basis, pas d'assertion signée par l'appareil. | Chaque token signé porte une déclaration trust_basis issue du TRP — hardware_backed, hardware_bound, execution_proof ou compromised_device. Cette déclaration est signée à la source sur l'appareil ; elle voyage avec le token. |
| Format de sortie | Une séquence temporelle d'événements de couche de vue assemblée dans le backend vendor, accessible via le tableau de bord du vendor. Pas un artefact signé par l'appareil. | Tokens JWS-compact ES256 signés, vérifiables par toute partie disposant de la clé publique de l'opérateur. Pas de médiation vendor requise lors de la vérification. |
| Qui est dans le chemin de vérification | La plateforme du vendor de lecture assemble et stocke la session. L'opérateur y accède via le système du vendor. Il n'y a pas de signature vérifiable par l'opérateur provenant de l'appareil. | Pas de médiation vendor requise lors de la vérification des tokens. L'opérateur vérifie les tokens contre son propre registre de clés publiques. YinkoShield n'est pas consulté lors de la vérification. |
| Usage pour les litiges et l'audit | Un enregistrement visuel qui appuie le contexte du dossier — utile pour la revue humaine. Pas une assertion signée par l'appareil ; ne déclare pas l'état de confiance de l'environnement d'exécution au moment de la transaction. | Chaîne signée d'enregistrements d'exécution, vérifiable indépendamment par les émetteurs, plateformes de litige, auditeurs et contreparties qui acceptent les assertions signées de l'appareil — sans passer par YinkoShield, à condition que l'opérateur maintienne son registre de clés publiques. |
| Profil des données | La reconstruction de la hiérarchie de vue, les événements d'interaction utilisateur, les chemins de navigation et le contenu des écrans peuvent inclure des données personnelles selon l'instrumentation de l'app et la politique de rétention du vendor. Assemblé et stocké dans le cloud vendor. | Classes de signaux uniquement — pas de contenu comportemental, pas de PII. |
Utilisez la lecture de session pour comprendre l'expérience. Utilisez EEI pour prouver l'exécution.
La lecture de session s'achemine naturellement vers les outils ingénierie, produit et support. Quand un utilisateur signale une erreur ou qu'un flux échoue, le replay donne à l'équipe le contexte visuel pour le reproduire. C'est le bon outil pour le bon travail.
EEI s'achemine vers le moteur de risque et l'evidence store de l'opérateur. Les tokens signés sont évalués au moment de la transaction pour les décisions de fraude et conservés pour les besoins de litige et d'audit en aval.
Quand les deux sont présents, la composition est additive :
- L'analyste fraude peut voir les deux couches quand le workflow d'investigation corrèle les identifiants de session entre les deux systèmes. Le contexte vient du replay ; la déclaration au niveau exécution vient du token EEI.
- La résolution des litiges utilise l'artefact signé, pas l'enregistrement visuel. L'émetteur ou la plateforme de litige vérifie le token EEI contre la clé publique de l'opérateur indépendamment. Le replay appuie le récit ; le token signé est l'evidence.
- Le risque lié aux overlays et aux services d'accessibilité peut être évalué depuis des déclarations runtime signées, et pas seulement depuis un parcours reconstruit. Quand les vérifications configurées identifient une condition pertinente, le token EEI porte une déclaration trust_basis que le SDK de lecture n'est pas conçu à produire.
La lecture de session répond à : « à quoi ressemblait l'expérience utilisateur ? » EEI répond à : « qu'a observé, déclaré et signé le runtime de l'appareil au moment où la valeur a été transférée ? » Les deux questions appartiennent à une posture complète de fraude et de litige. Aucune ne remplace l'autre.
Qu'en est-il de la télémétrie et de l'analytique comportementale ?
La lecture de session, la télémétrie comportementale et EEI sont trois couches distinctes dans la même stack. La télémétrie (BioCatch, ThreatMetrix et similaires) fournit des signaux comportementaux cross-session et la réputation des appareils — inférence probabiliste assemblée dans le backend vendor. La lecture de session fournit une evidence visuelle de couche de vue. EEI fournit une evidence d'exécution signée de couche runtime. La comparaison entre EEI et la télémétrie comportementale est couverte séparément dans EEI vs Télémétrie.
Sept questions, sept réponses.
- ·01
EEI remplace-t-il la lecture de session ?
- Non. La lecture de session répond à la question : 'à quoi ressemblait l'expérience utilisateur ?' EEI répond à la question : 'l'environnement d'exécution était-il fiable au moment où la valeur a été transférée ?' Les deux questions sont valides ; elles sont répondues en observant des couches différentes. Les équipes ingénierie et produit utilisent la lecture de session pour reproduire des erreurs et comprendre les parcours. Les équipes fraude, risque et conformité utilisent EEI pour vérifier ce que le runtime de l'appareil a déclaré à l'exécution. La plupart des déploiements Tier-1 bénéficient des deux.
- ·02
La lecture de session peut-elle détecter les attaques par overlay ?
- Pas de manière fiable, et pas comme evidence d'exécution signée. La lecture de session enregistre ce que le SDK de l'app a observé — elle peut faire remonter des événements UI anormaux ou des erreurs dans certains cas, ce qui peut appuyer une investigation. Mais les overlays de couche OS, l'automatisation par service d'accessibilité et la manipulation runtime se situent en dehors de l'objet normal de l'instrumentation de lecture. Le replay ne doit pas être traité comme une preuve que l'environnement d'exécution de l'appareil était cohérent. Le TRP d'EEI évalue les conditions runtime configurées au niveau de la couche d'exécution. Quand ces vérifications identifient une condition compromise — un service d'accessibilité actif dans une configuration suspecte, la présence d'un overlay, la détection d'un hook — le token signé peut porter trust_basis: compromised_device. Cette déclaration fait partie de l'artefact signé et parvient au moteur de risque de l'opérateur indépendamment de ce que la couche de vue de l'app a observé.
- ·03
Qu'est-ce que trust_basis et pourquoi est-ce important ?
- trust_basis est un champ de chaque Evidence Token EEI qui déclare l'évaluation par le TRP de son ensemble de vérifications runtime configurées au moment de la signature. Il ne représente pas une attestation exhaustive de toutes les conditions possibles de l'appareil — il reflète ce que les vérifications configurées ont observé. Les valeurs incluent hardware_backed (clé vérifiée par attestation matérielle), hardware_bound (profil standard, sans garantie de non-exportabilité matérielle), execution_proof (les vérifications configurées ont confirmé la cohérence au moment de la signature) et compromised_device (les vérifications ont identifié une anomalie — service d'accessibilité dans une configuration suspecte, présence d'overlay, hook ou défaillance d'intégrité du processus). Aucun outil de lecture de session n'a de concept équivalent : la lecture reconstruit l'expérience de la couche de vue ; elle n'observe ni ne déclare le contexte d'exécution. trust_basis est ce qui rend les tokens EEI utiles pour les litiges et l'audit — la déclaration signée de l'état d'exécution à chaque événement voyage avec le token. Pour la portée temporelle de la fenêtre d'évaluation de chaque token, voir la page d'architecture Runtime coherence.
- ·04
Qu'est-ce que l'angle mort du service d'accessibilité exactement ?
- Sur Android, le framework d'accessibilité permet aux services enregistrés au niveau de l'OS d'observer le contenu de l'UI et d'interagir avec les apps sur l'appareil — y compris lire le texte des vues, naviguer dans les contrôles et injecter des actions. Les usages légitimes incluent les lecteurs d'écran ; les usages malveillants incluent le détournement de transactions. Quand un service d'accessibilité pilote une transaction de paiement, le processus de l'app voit un tap normal et le SDK de lecture l'enregistre comme une interaction utilisateur normale. Le service n'est pas visible pour l'instrumentation de la couche app. Le TRP d'EEI observe si un service d'accessibilité est actif dans le contexte d'exécution et, selon la politique runtime configurée par l'opérateur, peut le refléter dans le trust_basis du token. L'enregistrement signé peut ensuite être évalué par le moteur de risque de l'opérateur indépendamment de ce que montre la lecture de session. Sur iOS, le modèle de menace diffère — les restrictions sandbox d'iOS limitent la même surface d'attaque — et les vérifications de cohérence runtime sont calibrées en conséquence par plateforme.
- ·05
Peut-on utiliser la lecture de session et EEI ensemble ?
- Oui — et la composition est naturelle. La lecture de session est acheminée vers les outils ingénierie et produit (Datadog, FullStory, LogRocket). Les tokens EEI sont acheminés vers le moteur de risque et l'evidence store de l'opérateur. Quand une transaction sous investigation dispose à la fois d'une lecture de session et d'une chaîne EEI, l'investigateur voit le parcours visuel et l'assertion runtime signée ensemble. La lecture fournit le contexte ; le token EEI fournit la déclaration au niveau exécution que la lecture ne peut pas produire.
- ·06
Qu'en est-il des plateformes RUM — Datadog Mobile, New Relic mobile monitoring ?
- Les plateformes RUM modernes incluant Datadog Mobile Monitoring et l'agent mobile New Relic intègrent des fonctionnalités de lecture de session ou de reconstruction wireframe en complément des métriques de performance. La même considération s'applique : ces outils observent la couche de vue de l'app via l'instrumentation SDK. Les services d'accessibilité, les overlays de couche OS et les hooks runtime se trouvent généralement en dehors de la frontière d'observation prévue du SDK. EEI n'est pas un remplacement RUM ; il produit des preuves de contexte runtime signé pour des workflows que les outils RUM n'ont pas été conçus à servir.
- ·07
Pourquoi le chemin de vérification est-il important pour les litiges et la conformité ?
- Une lecture de session est stockée dans le cloud vendor et accessible via la plateforme du vendor. Dans un litige, l'opérateur présente la lecture en référençant le système du vendor — le vendor reste dans la piste d'audit. Un token EEI est un artefact signé JWS-compact autonome : toute partie disposant de la clé publique de l'opérateur — émetteur, plateforme de litige, auditeur, contrepartie — peut le vérifier indépendamment, sans appeler une API YinkoShield ni la plateforme du vendor de lecture. Cette distinction importe quand le vérificateur n'a pas de relation avec le vendor, quand le vendor est indisponible, ou quand une piste de vérification indépendante est requise.
Deux questions que cette page soulève sans y répondre entièrement :
- Que surveille exactement le TRP au niveau de la couche runtime ?
- Le modèle de cohérence runtime — ce que le TRP observe, comment il mappe les observations aux valeurs de trust_basis, et comment il gère les cas limites entre profils — est couvert dans Runtime coherence et Trusted Runtime Primitive.
- Comment EEI se rapporte-t-il à l'analytique comportementale et à la télémétrie ?
- La lecture de session est une couche ; la télémétrie comportementale en est une autre. La vue complète à trois couches — télémétrie, lecture de session et EEI — et comment elles se composent dans une stack opérateur Tier-1 est couverte dans EEI vs Télémétrie.
Vous utilisez déjà la lecture de session ? Un mapping de 60 minutes montre ce que la couche runtime ajoute.
Nous parcourons votre instrumentation de lecture de session et de télémétrie actuelle, identifions les angles morts au niveau de la couche runtime, et montrons ce qui change pour la détection de fraude et la résolution des litiges quand une evidence d'exécution signée entre dans la stack.
Mapper votre stack de lecture de session aux signaux EEI