Apple, Google et la randomisation des adresses MAC

Un numéro de haute voltige entre le confort de l’utilisateur et la protection de la vie privée

Comme nous l’avons déjà signalé, avec le déploiement d‘iOS 14 – selon toute probabilité à partir de la mi-septembre – tous les réseaux utilisant l’adresse MAC unique d’un appareil pour l’authentification seront mis au défi de n’autoriser que les paquets de données provenant de ces clients authentifiés. Dans les versions bêta précédentes, la randomisation de l’adresse MAC était prédéfinie toutes les 24 heures, et tout porte à croire qu’elle sera également conservée lors du déploiement effectif de la mise à jour.

Pour rappel : Les premiers développements dans ce sens remontent au début des années 2010. En effet, l’adresse MAC unique, qui est déjà attribuée lors de la fabrication d’un appareil compatible avec le réseau – comparable à une plaque d’immatriculation ou à un numéro de série, par exemple – permet d’identifier l’appareil en question de manière unique dans le monde entier. Dans tous les réseaux Ethernet, il serait problématique qu’une adresse d’appareil de la couche 2 apparaisse deux fois, ce qui peut être clairement exclu grâce à cette méthode.

Toutefois, ce qui garantit le bon fonctionnement d’un réseau peut, comme c’est souvent le cas dans la technologie, être utilisé à des fins déloyales. Si, par exemple, l’adresse MAC d’un certain système est connue, un pirate pourrait tirer des conclusions sur l’utilisateur et ses activités et collecter des données, par exemple pour rechercher des paquets de données envoyés au cours d’une période donnée et les comparer à d’autres périodes.

La dissimulation de l’adresse MAC est donc une fonction destinée à améliorer la protection des données et est appelée « Protection des données – utilisation d’une adresse MAC aléatoire » sur Google et « Adresse réseau privée » sur l’iPhone, avec l’explication que l’utilisation de cette fonction permet d’éviter le pistage.

Cette affirmation mérite vraiment d’être remise en question : Il existe non seulement d’autres méthodes de traçage, mais aussi des moyens de forcer un smartphone à révéler l’adresse MAC de l’appareil, de sorte que la sécurité supplémentaire n’est pas totalement exceptionnelle. En conséquence, les deux fabricants ont veillé à ne pas avoir un impact disproportionné sur le confort de l’utilisateur. Un client d’hôtel, par exemple, qui figure dans le répertoire des clients avec ses données personnelles, doit s’attendre à plus de confort que de danger lorsque l’opérateur du réseau est au courant de sa présence. Il n’a probablement pas envie de se connecter tous les jours au réseau WiFi. Il en va de même pour les patients dans les cliniques, les étudiants et les enseignants sur leur campus et les employés dans les locaux de leur entreprise ou dans leur propre réseau domestique.

En conséquence, Android a décidé de masquer l’adresse MAC pour chaque SSID – c’est-à-dire de ne pas afficher l’adresse de l’appareil, mais de conserver l’adresse prétendue pour chaque SSID du réseau. Cela permet d’éviter les expériences qui nuisent au confort de l’utilisateur pour un gain de sécurité minime.

La situation est différente chez Apple, où – comme c’était le cas jusqu’à présent – la randomisation a lieu toutes les 24 heures. La randomisation ne devrait pas fonctionner pour les réseaux qui ont déjà été sauvegardés. Il faudra attendre l’automne et l’hiver pour voir comment se comporteront les iPhones à partir de la version 6, qui recevront vraisemblablement tous ce préréglage actif. Mais nous devons au moins nous préparer à recevoir des demandes d’assistance, car les utilisateurs d’iPhone doivent se connecter tous les jours.

Les pages d’assistance d’Apple décrivent déjà comment ce comportement peut être désactivé, car il est facile de prévoir que les utilisateurs trouveront cela peu pratique dans les réseaux régulièrement utilisés. Pour chaque réseau stocké, vous pouvez décider d’utiliser une adresse MAC aléatoire ou réelle de l’appareil: https://support.apple.com/en-gb/HT211227

Ceux qui se sentent aujourd’hui rappelés par le début des années 2010 n’ont pas tort. Le sujet de l’obscurcissement de l’adresse MAC était déjà présent dans la presse spécialisée avec iOS 8. Et la norme Hotspot 2.0 de la WiFi Alliance, annoncée à l’époque comme le « nouveau monde merveilleux des hotspots » avec une expérience de connectivité sans faille, fait à nouveau parler d’elle.

Hotspot 2.0 (HS2) / Passpoint la norme de la WiFi Alliance, a été et est souvent présentée comme une solution de connectivité transparente, mais elle a été conçue à l’origine pour les opérateurs / fournisseurs de téléphonie cellulaire et non pour les opérateurs qui offrent à leurs clients une valeur ajoutée sous la forme d’un WiFi pour les invités et le considèrent comme un point de contact avec le client. Le cas d’utilisation d’un client qui vient à l’hôtel sans contrat de téléphonie mobile valide au niveau régional (comme le voyageur longue distance) n’a même pas été envisagé dans les scénarios de l’époque.

En outre, la technologie ne fonctionne que si le matériel la prend en charge. Les fabricants américains en particulier disposent de matériel compatible avec le Passpoint dans leur gamme de produits, mais même ce matériel n’est pas toujours disponible sur l’ensemble de la ligne de produits, de sorte que la mise en œuvre peut s’avérer difficile en fonction de l’environnement : Les points d’accès doivent être des Passpoints HS2, c’est-à-dire qu’ils doivent obtenir ou avoir obtenu la certification de la WiFi Alliance. Même chez les fabricants renommés, cela n’est souvent possible qu’en liaison avec le contrôleur WLAN. La technologie nécessite également un support côté client, qui n’est pas non plus disponible sur tous les smartphones actuels.

Qu’est-ce que cela signifie pour les opérateurs IACBOX ?

Comme Asteas sait très bien à quel point le paysage des opérateurs IACBOX est différent sur le terrain, en tant que fabricant, nous nous préparons à toutes les éventualités.

L’IACBOX supportera donc la norme Hotspot 2.0, de sorte que tous ceux pour qui il est judicieux de configurer le réseau en conséquence puissent compter sur leur portail habituel.

Mais nous voulons également offrir le meilleur service possible à tous ceux qui considèrent que cela est trop coûteux ou fastidieux pour leur application respective, en …

• … en partageant des informations sur la manière de se passer de cette norme, car nous avons des clients qui hésiteront à faire cet effort. Cela nécessite la participation des partenaires et des clients finaux d’IACBOX dans la communication à l’utilisateur final (invité), et nous travaillerons ensemble sur la communication de la meilleure façon possible. En outre …
• … fournir une fenêtre contextuelle pour la page de connexion qui explique la situation aux utilisateurs d’iPhone parmi les invités du réseau WiFi. Cela devrait réduire considérablement le nombre de demandes à la réception et à l’assistance.

En fin de compte, c’est l’hôte lui-même qui doit décider s’il souhaite se connecter à nouveau chaque jour ou s’il souhaite désactiver la randomisation dans le réseau respectif où il se trouve actuellement.