L'adresse MAC aléatoire d'iOS 14, un casse-tête pour Cisco
Parmi les nouvelles fonctions de sécurité introduites par iOS 14, l'adresse MAC aléatoire générée par défaut pour un iPhone ou un iPad qui se connecte à un réseau Wi-Fi pose un sérieux problème à Cisco. Une adresse MAC permet à un routeur Wi-Fi d'identifier un appareil connecté, cela peut aussi se transformer en un indiscret outil d'identification et de suivi, par exemple lorsqu'on se branche au réseau Wi-Fi d'un centre commercial.
iOS 14 attribue désormais à l'appareil une adresse MAC aléatoire à chaque fois qu'on se branche sur un nouveau réseau Wi-Fi, puis une nouvelle adresse est générée toutes les 24 heures. Ce faisant, les risques de traçage sont limités. Mais c'est aussi un casse-tête pour les réseaux Wi-Fi en entreprise et dans les grandes organisations, comme l'explique Cisco dans une fiche technique. Ce changement pourrait ainsi provoquer des perturbations de connectivité au réseau, sur iOS 14 comme sur Android 10 qui intègre le même système d'adresses MAC aléatoires.
Dans les entreprises adeptes du BYOD (« bring your own device », les employés apportent leur propre matériel) utilisant des systèmes de gestion à distance MDM, les terminaux iOS 14 sont susceptibles de ne pas être identifiés correctement. Cisco explique qu'il n'existe pas de solution globale à ce problème, si ce n'est demander aux utilisateurs de désactiver l'adressage Mac aléatoire.
👉 Tout savoir sur les mesures de sécurité d'iOS 14, c'est dans notre nouveau bouquin Les nouveautés d'iOS 14 (5,99 €) !
ah merde
chez soit aussi du coup ?
@raoolito
Tout à fait, si tu as un filtrage par adresse Mac. De toute façon, il ne faut mettre cette option que sur les réseaux wi-fi qui ne sont pas de confiance… Donc je ne vois même pas en quoi c’est un problème pour les entreprises : il ne faut pas l’activer et c’est tout
@spipu
Pffff j'avais mal regardé l'image effectivement cela s'active ou pas par point wi-fi du coup la question se pose pas finalement
Merci 🙏
De toute façon, il ne faut mettre cette option que sur les réseaux wi-fi qui ne sont pas de confiance…
Si on n'a pas confiance dans un réseau WiFi, le mieux reste encore de ne pas s'y connecter !
@bibi81
Parfois pas le choix( à l’étranger , intranet entreprise
Externe, séminaire, hôtel,..)
On peut se connecter en VPN sur de tels réseaux.
Restait le tracking de l’adresse MAC réglé par cette nouvelle fonction. 👏
Je pense aussi à de très nombreux foyers ou le wifi maison fait également un filtrage par Mac address pour s’y connecter
Pas sûr que ce soit une si bonne idée
@deltiox
Tu préfères avec des pararazis aux fesses en permanence?
@DrStrange
L’enfer est pavé de bonnes intentions
S’interroger sur une proposition A ne veut pas dire être pour ce quoi elle est censée lutter
@deltiox
Je vais désactiver l’option car chez moi, adressage d’IP fixe par le DHCP en fonction de la mac, puis Jeedom détecte mon iPhone en faisant un Ping de l’IP pour savoir si je suis la. Ma fille pareil.
C’est comme
Cela que je détermine si la maison est en mode présent ou absent.
@julien74
Idem
Je connais beaucoup d’endroits où des IPs sont « fixées » par un serveur DHCP en fonction de la MAC address
On va finir par une distribution de certificats pour identifier chaque appareils ce qui me paraît moins simple
@deltiox
C’est la recommandation dans le cadre d’un déploiement MDM pour se connecter à un réseau WIFI d’entreprise : disposer d’un certificat distribué par une politique du MDM qui autorise la connexion au wlan
@Eikiz
Du coup la question pour les TPE/PME va devenir, a part les portails captifs, quelle solution « simple » (et peu coûteuse) pour générer et maintenir les certificats individuels
Utiliser un NAC ? Vendu par Cisco (tiens tiens)
@deltiox
Apple devrait ajouter un bouton radio « wifi de confiance » et le bouton de Mac aléatoire serait changée en fonction, avec possibilité de modifier quand même le paramètre de la Mac.
Ou alors l’iPhone trouve seul que c’est le wifi du domicile s’il voit par bonjour une Apple TV, un Mac fixe etc... avec le même compte iCloud. Apple sait très bien faire ce genre de petit mécanisme sous le capot qui facilite la vie de tous les jours.
@julien74
Aucun problème. Vous le faites pour celui de la maison. Ce qui est comportement normal.
Par contre pour les nouveau réseau Apple créer une nouvelle adresse Mac. Il faudra aller sur ce réseau une fois connecter pour changer ce comportement et ainsi de suite pour chaque réseau.
L’idée ce de ne pas être pister avec le réseau d’un magasin. Pas d’embêter celui de la maison ou de l’entreprise. Cisco a juste raté une étape du fonctionnement ;-)
@julien74
ça c’est une excellente idée !!! ça évite d’utiliser la localisation par GPS qui consomme un max et qui te trace en permanence 👍
@joinman
J’avais fait un scénario maison en code PHP car impossible à faire avec les briques de base de Jeedom, qui était censé faire des pointages GPS à plus ou moins grand intervals en fonction de la distance, de la vitesse, de la direction (je m’éloigne ou je me rapproche?) etc... (genre je suis à 500km, le prochain pointage est dans plusieurs heures, car même si je reviens à 130km/h, le prochain pointage auraient eu le temps de se faire avant le retour).
Tout ca pour avoir des scénarios sympas d’ouverture de portail avant le retour, éclairage dans la cour s’il fait nuit.
Mais y a encore des bugs alors j’ai désactivé pour ne pas pomper de la batterie sur mon iPhone.
@deltiox
Ouep, le contrôle parental a du plomb dans l’aile...
Alternative, créer un nouvel SSID par profil/enfant...
@deltiox
«Je pense aussi à de très nombreux foyers ou le wifi maison fait également un filtrage par Mac address pour s’y connecter
Pas sûr que ce soit une si bonne idée»
Celui qui est capable de configurer sa box à la main pour faire fonctionner un filtrage MAC est également capable de désactiver cet adressage aléatoire sur son réseau domestique.
Être identifié sur les réseaux de confiance, mais plus difficile à tracer sur les réseaux wi-fi publics me semble au contraire une très bonne idée.
Inutile d'avoir de grandes capacités pour ce type de configuration. Ma bonne vielle borne Apple Airport offre cette possibilité et ça se configure facilement ;-)
@Gautier
Il ne faut pas être un génie certes.
Pas non plus pour cliquer sur i en face du nom du réseau.
@BLM
🤜🤛
Juste qu’Apple aurait pu désactiver par défaut pour les réseaux déjà présents (ou ceux de la maison?)
Et l’activer que pour les nouveaux 🤔
«il n'existe pas de solution globale à ce problème, si ce n'est demander aux utilisateurs de désactiver l'adressage Mac aléatoire.»
Désactiver cet adressage aléatoire… uniquement pour le réseau sur lequel on doit être clairement identifié (réseau d’entreprise, ou réseau domestique sur lequel on a un filtrage MAC)
@BLM
« Désactiver cet adressage aléatoire… uniquement pour le réseau sur lequel on doit être clairement identifié (réseau d’entreprise, ou réseau domestique sur lequel on a un filtrage MAC) »
Oui, c’est ça.
C’est ce que je fais depuis... toujours.
Je comprends pas bien le « problème » soulevé...
Et l’adressage aléatoire où est-ce qu’il se désactive sur l’iPhone / iPad etc ?
@Sindanárië
Dans les infos de ton wifi dans réglages.
@GaelW-Mac
Ah oui 🤦🏽♂️ j’avais loupé le passage sur l’information screugneugneu
Le problème, qui existe depuis la première beta, c’est que l’adresse aléatoire est activée par défaut. C’est là qu’Apple déconne.
@GaelW-MAc
Je pense que la raisonnement a été le suivant : dans sa vie de tous les jours, un utilisateur lambda est confronté à un petit nombre de réseaux WiFi de confiance (à la maison, en entreprise, en famille), périmètre relativement stable dans le temps, et un nombre potentiellement très élevé de réseaux WiFi autres.
Donc, en terme de manipulation demandée à l'utilisateur (en partant du principe qu'il ne veut pas être tracké) mettre l'adresse aléatoire par défaut est bien plus efficace.
En réalité, si l’appareil est intégré dans un MDM, un réglage de profil existe pour désactiver l’adressage aléatoire. Dispo chez Jamf dans sa dernière version par ex, et sinon au pire on peut faire son profil à la mimine.
J'allais le dire 😉
Les problèmes insolubles, il n’y a rien de mieux pour stimuler la créativité et la recherche de solutions nouvelles.
Si on n’était pas traqué en permanence un tel système n’aurait pas lieu d’être
Seulement voilà il faut traquer du client alors ...
@CorbeilleNews
Merci Google 😈 et son business de publicité ciblée basé sur le tracking universel 🤮 d’avoir pourri internet 🤬
(& FB & Co)
Moi, je les boycotte✊
@Sgt. Pepper
Facebook, je boycotte avec toi
Mais google map ou Waze, j’arrive pas à décrocher 💉
@PierreBondurant
Open street maps :)
@Neku3721
J’ai essayé mais y manque trop de choses
En rando en France, j’utilise iphigenie mais à part ça c’est Google/Waze...
Après c’est rempli au fur et à mesure ? Il manque quoi ?
Qwant Maps ?
@Neku3721
Les commerces à jour et leur horaires d’ouverture
@PierreBondurant
Application Ça Reste ouvert :) ou les horaires par Le Figaro de mémoire
@Neku3721
J’habite en Angleterre!
Et ça fonctionne pas ? Bon ben ouais attends avec GMaps pour le coup :)
@Sgt. Pepper
Pareil
Super article, vraiment utile pour moi car dans bcp de boîtes à Londres, c’est le schéma utilisé BYOD connecté en wifi
Un casse tête pour la sécurité des réseaux tout court
Je ne sais pas si c'est lié mais suite à la mise à jour de Safari 14 sur mon Mac, impossible de me connecter au net dans ma boite. Alors que tout fonctionne avec Chrome et Firefox. J'ai réussi à downgrader vers Safari 13.2.1 et tout fonctionne normalement. À suivre ;-)
Avec un MDM il est possible de désactiver l’adresse MAC aléatoire.
Aussi, certains de mes clients préfèrent mettre l’adresse MAC dans le certificat émis pour se connecter au Wifi ensuite Cisco/autre le récupèrent pour le vérifier.
Je comprend mieux les soucis de connexion au bureau et plus généralement sur les réseaux publics depuis iOS 14…
Le problème est qu’il faut penser à chaque fois à désactiver l’option. Pas user friendly…