L'adresse MAC aléatoire d'iOS 14, un casse-tête pour Cisco

Mickaël Bazoge |

Parmi les nouvelles fonctions de sécurité introduites par iOS 14, l'adresse MAC aléatoire générée par défaut pour un iPhone ou un iPad qui se connecte à un réseau Wi-Fi pose un sérieux problème à Cisco. Une adresse MAC permet à un routeur Wi-Fi d'identifier un appareil connecté, cela peut aussi se transformer en un indiscret outil d'identification et de suivi, par exemple lorsqu'on se branche au réseau Wi-Fi d'un centre commercial.

L'adresse MAC privée aléatoire est activée par défaut. Pour changer ce comportement, toucher le petit ⓘ en regard du nom du réseau Wi-Fi.

iOS 14 attribue désormais à l'appareil une adresse MAC aléatoire à chaque fois qu'on se branche sur un nouveau réseau Wi-Fi, puis une nouvelle adresse est générée toutes les 24 heures. Ce faisant, les risques de traçage sont limités. Mais c'est aussi un casse-tête pour les réseaux Wi-Fi en entreprise et dans les grandes organisations, comme l'explique Cisco dans une fiche technique. Ce changement pourrait ainsi provoquer des perturbations de connectivité au réseau, sur iOS 14 comme sur Android 10 qui intègre le même système d'adresses MAC aléatoires.

La présentation de l'adressage MAC aléatoire d'iOS 14 durant la WWDC.

Dans les entreprises adeptes du BYOD (« bring your own device », les employés apportent leur propre matériel) utilisant des systèmes de gestion à distance MDM, les terminaux iOS 14 sont susceptibles de ne pas être identifiés correctement. Cisco explique qu'il n'existe pas de solution globale à ce problème, si ce n'est demander aux utilisateurs de désactiver l'adressage Mac aléatoire.

👉 Tout savoir sur les mesures de sécurité d'iOS 14, c'est dans notre nouveau bouquin Les nouveautés d'iOS 14 (5,99 €) !

Tags
avatar raoolito | 

ah merde
chez soit aussi du coup ?

avatar spipu | 

@raoolito

Tout à fait, si tu as un filtrage par adresse Mac. De toute façon, il ne faut mettre cette option que sur les réseaux wi-fi qui ne sont pas de confiance… Donc je ne vois même pas en quoi c’est un problème pour les entreprises : il ne faut pas l’activer et c’est tout

avatar raoolito | 

@spipu

Pffff j'avais mal regardé l'image effectivement cela s'active ou pas par point wi-fi du coup la question se pose pas finalement
Merci 🙏

avatar bibi81 | 

De toute façon, il ne faut mettre cette option que sur les réseaux wi-fi qui ne sont pas de confiance…

Si on n'a pas confiance dans un réseau WiFi, le mieux reste encore de ne pas s'y connecter !

avatar Sgt. Pepper | 

@bibi81

Parfois pas le choix( à l’étranger , intranet entreprise
Externe, séminaire, hôtel,..)

On peut se connecter en VPN sur de tels réseaux.

Restait le tracking de l’adresse MAC réglé par cette nouvelle fonction. 👏

avatar deltiox | 

Je pense aussi à de très nombreux foyers ou le wifi maison fait également un filtrage par Mac address pour s’y connecter

Pas sûr que ce soit une si bonne idée

avatar DrStrange | 

@deltiox

Tu préfères avec des pararazis aux fesses en permanence?

avatar deltiox | 

@DrStrange

L’enfer est pavé de bonnes intentions
S’interroger sur une proposition A ne veut pas dire être pour ce quoi elle est censée lutter

avatar julien74 | 

@deltiox

Je vais désactiver l’option car chez moi, adressage d’IP fixe par le DHCP en fonction de la mac, puis Jeedom détecte mon iPhone en faisant un Ping de l’IP pour savoir si je suis la. Ma fille pareil.
C’est comme
Cela que je détermine si la maison est en mode présent ou absent.

avatar deltiox | 

@julien74

Idem
Je connais beaucoup d’endroits où des IPs sont « fixées » par un serveur DHCP en fonction de la MAC address

On va finir par une distribution de certificats pour identifier chaque appareils ce qui me paraît moins simple

avatar Eikiz | 

@deltiox

C’est la recommandation dans le cadre d’un déploiement MDM pour se connecter à un réseau WIFI d’entreprise : disposer d’un certificat distribué par une politique du MDM qui autorise la connexion au wlan

avatar deltiox | 

@Eikiz

Du coup la question pour les TPE/PME va devenir, a part les portails captifs, quelle solution « simple » (et peu coûteuse) pour générer et maintenir les certificats individuels

avatar huexley | 

Utiliser un NAC ? Vendu par Cisco (tiens tiens)

avatar julien74 | 

@deltiox

Apple devrait ajouter un bouton radio « wifi de confiance » et le bouton de Mac aléatoire serait changée en fonction, avec possibilité de modifier quand même le paramètre de la Mac.

Ou alors l’iPhone trouve seul que c’est le wifi du domicile s’il voit par bonjour une Apple TV, un Mac fixe etc... avec le même compte iCloud. Apple sait très bien faire ce genre de petit mécanisme sous le capot qui facilite la vie de tous les jours.

avatar Nesus | 

@julien74

Aucun problème. Vous le faites pour celui de la maison. Ce qui est comportement normal.
Par contre pour les nouveau réseau Apple créer une nouvelle adresse Mac. Il faudra aller sur ce réseau une fois connecter pour changer ce comportement et ainsi de suite pour chaque réseau.
L’idée ce de ne pas être pister avec le réseau d’un magasin. Pas d’embêter celui de la maison ou de l’entreprise. Cisco a juste raté une étape du fonctionnement ;-)

avatar joinman | 

@julien74

ça c’est une excellente idée !!! ça évite d’utiliser la localisation par GPS qui consomme un max et qui te trace en permanence 👍

avatar julien74 | 

@joinman

J’avais fait un scénario maison en code PHP car impossible à faire avec les briques de base de Jeedom, qui était censé faire des pointages GPS à plus ou moins grand intervals en fonction de la distance, de la vitesse, de la direction (je m’éloigne ou je me rapproche?) etc... (genre je suis à 500km, le prochain pointage est dans plusieurs heures, car même si je reviens à 130km/h, le prochain pointage auraient eu le temps de se faire avant le retour).
Tout ca pour avoir des scénarios sympas d’ouverture de portail avant le retour, éclairage dans la cour s’il fait nuit.
Mais y a encore des bugs alors j’ai désactivé pour ne pas pomper de la batterie sur mon iPhone.

avatar kinou_ | 

@deltiox

Ouep, le contrôle parental a du plomb dans l’aile...
Alternative, créer un nouvel SSID par profil/enfant...

avatar BLM | 

@deltiox
«Je pense aussi à de très nombreux foyers ou le wifi maison fait également un filtrage par Mac address pour s’y connecter
Pas sûr que ce soit une si bonne idée»
Celui qui est capable de configurer sa box à la main pour faire fonctionner un filtrage MAC est également capable de désactiver cet adressage aléatoire sur son réseau domestique.

Être identifié sur les réseaux de confiance, mais plus difficile à tracer sur les réseaux wi-fi publics me semble au contraire une très bonne idée.

avatar Gautier | 

Inutile d'avoir de grandes capacités pour ce type de configuration. Ma bonne vielle borne Apple Airport offre cette possibilité et ça se configure facilement ;-)

avatar BLM | 

@Gautier
Il ne faut pas être un génie certes.
Pas non plus pour cliquer sur i en face du nom du réseau.

avatar Sgt. Pepper | 

@BLM

🤜🤛

Juste qu’Apple aurait pu désactiver par défaut pour les réseaux déjà présents (ou ceux de la maison?)
Et l’activer que pour les nouveaux 🤔

avatar BLM | 

«il n'existe pas de solution globale à ce problème, si ce n'est demander aux utilisateurs de désactiver l'adressage Mac aléatoire.»
Désactiver cet adressage aléatoire… uniquement pour le réseau sur lequel on doit être clairement identifié (réseau d’entreprise, ou réseau domestique sur lequel on a un filtrage MAC)

avatar Bigdidou | 

@BLM

« Désactiver cet adressage aléatoire… uniquement pour le réseau sur lequel on doit être clairement identifié (réseau d’entreprise, ou réseau domestique sur lequel on a un filtrage MAC) »

Oui, c’est ça.
C’est ce que je fais depuis... toujours.
Je comprends pas bien le « problème » soulevé...

avatar Sindanárië | 

Et l’adressage aléatoire où est-ce qu’il se désactive sur l’iPhone / iPad etc ?

avatar GaelW-Mac | 

@Sindanárië

Dans les infos de ton wifi dans réglages.

avatar Sindanárië | 

@GaelW-Mac

Ah oui 🤦🏽‍♂️ j’avais loupé le passage sur l’information screugneugneu

avatar GaelW-Mac | 

Le problème, qui existe depuis la première beta, c’est que l’adresse aléatoire est activée par défaut. C’est là qu’Apple déconne.

avatar BordelInside | 

@GaelW-MAc

Je pense que la raisonnement a été le suivant : dans sa vie de tous les jours, un utilisateur lambda est confronté à un petit nombre de réseaux WiFi de confiance (à la maison, en entreprise, en famille), périmètre relativement stable dans le temps, et un nombre potentiellement très élevé de réseaux WiFi autres.

Donc, en terme de manipulation demandée à l'utilisateur (en partant du principe qu'il ne veut pas être tracké) mettre l'adresse aléatoire par défaut est bien plus efficace.

avatar guillaumegete | 

En réalité, si l’appareil est intégré dans un MDM, un réglage de profil existe pour désactiver l’adressage aléatoire. Dispo chez Jamf dans sa dernière version par ex, et sinon au pire on peut faire son profil à la mimine.

avatar ShugNinx | 

J'allais le dire 😉

avatar fte | 

Les problèmes insolubles, il n’y a rien de mieux pour stimuler la créativité et la recherche de solutions nouvelles.

avatar CorbeilleNews | 

Si on n’était pas traqué en permanence un tel système n’aurait pas lieu d’être

Seulement voilà il faut traquer du client alors ...

avatar Sgt. Pepper | 

@CorbeilleNews

Merci Google 😈 et son business de publicité ciblée basé sur le tracking universel 🤮 d’avoir pourri internet 🤬
(& FB & Co)

Moi, je les boycotte✊

avatar PierreBondurant | 

@Sgt. Pepper

Facebook, je boycotte avec toi
Mais google map ou Waze, j’arrive pas à décrocher 💉

avatar Neku3721 | 

@PierreBondurant

Open street maps :)

avatar PierreBondurant | 

@Neku3721

J’ai essayé mais y manque trop de choses
En rando en France, j’utilise iphigenie mais à part ça c’est Google/Waze...

avatar Neku3721 | 

Après c’est rempli au fur et à mesure ? Il manque quoi ?

Qwant Maps ?

avatar PierreBondurant | 

@Neku3721

Les commerces à jour et leur horaires d’ouverture

avatar Neku3721 | 

@PierreBondurant

Application Ça Reste ouvert :) ou les horaires par Le Figaro de mémoire

avatar PierreBondurant | 

@Neku3721

J’habite en Angleterre!

avatar Neku3721 | 

Et ça fonctionne pas ? Bon ben ouais attends avec GMaps pour le coup :)

avatar CorbeilleNews | 

@Sgt. Pepper

Pareil

avatar PierreBondurant | 

Super article, vraiment utile pour moi car dans bcp de boîtes à Londres, c’est le schéma utilisé BYOD connecté en wifi

avatar Ducletho | 

Un casse tête pour la sécurité des réseaux tout court

avatar hoovertoulouse | 

Je ne sais pas si c'est lié mais suite à la mise à jour de Safari 14 sur mon Mac, impossible de me connecter au net dans ma boite. Alors que tout fonctionne avec Chrome et Firefox. J'ai réussi à downgrader vers Safari 13.2.1 et tout fonctionne normalement. À suivre ;-)

avatar Xalio | 

Avec un MDM il est possible de désactiver l’adresse MAC aléatoire.
Aussi, certains de mes clients préfèrent mettre l’adresse MAC dans le certificat émis pour se connecter au Wifi ensuite Cisco/autre le récupèrent pour le vérifier.

avatar Nonome77 | 

Je comprend mieux les soucis de connexion au bureau et plus généralement sur les réseaux publics depuis iOS 14…
Le problème est qu’il faut penser à chaque fois à désactiver l’option. Pas user friendly…

CONNEXION UTILISATEUR