lundi 2 novembre 2015

Authentification double facteur Apple

L'authentification par double facteur d'Apple ne concerne que le compte Apple ID (iTunes). Avec cette option activée, le mot de passe iTunes ne suffit plus pour se connecter à son compte. Le deuxième facteur consiste en un code envoyé à l'un des appareils de confiance enregistré dans ce programme (ou une clé de récupération si l'appareil est perdu ).

Normalement avec le système actuel sans double authentification, Apple n'a pas accès à vos données si vous n'utilisez pas iCloud. Avec la double authentification vous êtes toujours protégé contre l'accès de vos données par Apple elle même et vous gagnez en protection contre un tiers qui aurait récupéré votre mot de passe iTunes ou votre iDevice.

Apple prétend ne pas avoir et ne pas vouloir avoir accès à vos données afin de ne pas être dans l'obligation de répondre aux injonctions du gouvernement américain qui demande accès à tel ou tel iDevice. Il est difficile d'y voir clair entre le marketing, la communication et la réalité. Quoiqu'il en soit il est tout à fait techniquement faisable pour Apple d'héberger toutes vos données sans que l'entreprise elle même y ait accès. Est ce réellement implémenté comme ça ? A vous de juger. Cela dit à défaut de vous protéger potentiellement contre un gouvernement, la double authentification offre un très haut niveau de sécurité contre un attaquant externe.

Pour l'anecdote; afin d'activer l'authentification à double facteur le site d'Apple m'a demandé mes réponses aux questions secrètes de réinitialisation. Ayant oublié les réponses que j'avais donné à l'époque j'ai du contacter Apple au téléphone et prouver mon identité avec au moins deux facteurs. Je n'ai pu faire réinitialiser ces questions secrètes que parce que j'avais mon mot de passe iTunes et une autre preuve d'identité. Sans cela le service client refusait de réinitialiser mon compte ce qui est une bonne chose. Si j'avais en plus perdu mon mot de passe iTunes mon compte était perdu.

Une fois l'authentification par double facteur activée l'accès à votre compte iTunes n'est possible qu'avec au moins deux des éléments suivants:

- votre mot de passe iTunes
- accès physique à l'un des appareils de confiance
- votre clé secrète d'authentification.

Votre clé secrète doit être sauvegardé précieusement et vous servira en cas d'oubli de votre mot de passe ou de perte de vos appareils. Apple prévient que si vous perdez accès à deux de ces éléments il sera impossible de réinitialiser votre compte iTunes.

mardi 13 octobre 2015

Pas d'ethernet sur iOS

J'ai cherché un moyen de faire de l'ethernet sur iOS depuis un certain temps. Sur le net on trouve des vidéos de hack avec un cable lightning/USB puis USB/ethernet, le tout branché sur un hub USB alimenté. Ce hack était valide sur certaines versions d'IOS mais ne fonctionne plus. Je l'ai testé moi même.

J'ai fini par tomber sur ce cable qui est un vrai cable lightning / ethernet mais qui ne fonctionne qu'avec une app spécifiquement écrite pour cet adaptateur. Le site explique qu'iOS ne permet pas de modifier la pile réseau au niveau système, en gros iOS ne fournit pas de driver ethernet de base. Une app utilisant le SDK de Redpark peut exploiter cet adaptateur car elle intègrera sa propre pile réseau, mais l'on ne peut pas exploiter la connexion à travers l'OS en général.

Autrement dit pas d'ethernet possible sur iOS :-(

samedi 15 août 2015

SmartShow le podcast en français sur le monde de l'IOT

Et un dernier post pour la route pour conseiller le podcast SmartShow. Un podcast en français qui parle de l'actualité des objecs connectés, de l'internet des objets et des start up dans le domaine. C'est assez orienté business et c'est ce qui fait la différence par rapport à un nième podcast de gadgets.

Partage de connexion 3G/4G Android sous OSX

Tant que j'y suis j'en profite pour signaler le projet HoRNDIS qui permet d'utiliser sous OSX le partage de connexion via USB d'un téléphone Android. Ca marche aussi bien que sous Ubuntu.

Il suffit d'installer, rebooter et la connexion apparaît automatiquement dans les connexions réseau d'OSX au branchement du téléphone Android (après activation du partage de la connexion 3G/4G sur le téléphone évidemment).

Partage de connexion sous OSX sans connexion internet (en mode routeur pas en adhoc)

Je n'ai plus le temps de bloguer mais cette technique m'a demandé pas mal d'essais donc j'en fais profiter ceux que ça peut intéresser. Les informations viennent principalement de stackoverflow.

Sous OSX il y a l'option "partage de connexion" qui permet facilement de partager sa connexion ethernet via wifi. J'utilise cette technique pour que mon PC se comporte comme routeur wifi, seulement si l'on a pas de connexion internet réelle le partage se désactive. Hors j'ai souvent besoin de juste connecter mon mobile et mon PC via wifi, en réseau local, sans pour autant avoir besoin d'internet.

OSX propose de créer un réseau adhoc pour faire cela mais IOS et Android ne permettent pas se connecter à ce type de réseau.

La solution consiste à créer une interface réseau virtuelle apparaissant comme constamment connectée. OSX proposera alors de la partager avec l'option de partage de connexion classique. Pour créer cette interface virtuelle il faut:

Télécharger et installer TunTAP pour OSX. TUN et TAP sont des drivers virtuels permettant de simuler respectivement le niveau IP et le niveau Ethernet.

L'installation de se package va créer les devices suivants: /dev/tun0 ... /dev/tunX /dev/tap0 ... /dev/tapX Ensuite il faut créer une nouvelle interface dans la partie réseau des paramètres d'OSX. J'ai choisi de dupliquer ma connexion USB Ethernet. En la dupliquant ma nouvelle interface nommée Tap0 pointe sur "en1" comme l'interface qui lui a servi de modèle. Saisissez une configuration IP fixe pour votre interface virtuelle.

On édite alors manuellement le fichier /Library/Preferences/SystemConfiguration/preferences.plist Et l'on va changer "en1" en "tap0" dans l'XML de la connexion que l'on vient de créer. Elle apparaît toujours comme déconnectée dans l'écran paramètres réseau.

Reste à créer et lancer ce script qui va simuler une connexion active. #/bin/bash

[[ "$UID" -ne "0" ]] && echo "You must be root. Goodbye..." && exit 1
echo "starting"
exec 4<>/dev/tap0
ifconfig tap0 10.10.10.1 10.10.10.255
ifconfig tap0 up
ping -c1 10.10.10.1
echo "ending"
export PS1="tap interface>"
dd of=/dev/null <&4 & # continuously reads from buffer and dumps to null

L'interface tap0 apparaît alors comme active dans les paramètres réseau, et vous pouvez demander à OSX de la partager en mode routeur.

Pour désactiver la connexion virtuelle il faut killer le processus "dd" crée par le script et qui tourne en arrière-plan. Par exemple par: sudo killall dd