IPB

Bienvenue invité ( Connexion | Inscription )

2 Pages V  < 1 2  
Reply to this topicStart new topic
> Comment Apple veut nous permettre de retrouver un appareil même déconnecté du réseau, Réactions à la publication du 06/06/2019
Options
Gallows Pole
posté 7 Jun 2019, 05:33
Message #31


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 128
Inscrit : 3 Feb 2004
Membre no 14 248



Salut à toutes et à tous,

Perso, à la lecture de la brève et de l'ensemble des réactions, j'ai deux questions/observations.

En premier lieu : à quoi sert réellement cette fonctionnalité ?
Je pose la question parce qu'il me semble que le smartphone est devenu un objet assez courant.
Et qu'il est aujourd'hui difficile de faire la différence entre un iPhone et un smartphone chinois à 30€.
Conséquence ? Je ne connais personne qui se soit fait voler son téléphone ces 5 dernières années.
Donc de trois choses l'une :
- je suis pas "aware" des risques parce qu'ils existent mais pas du côté de chez moi (région parisienne) ;
- Apple est à côté de la plaque en croyant que ses objets suscitent encore la convoitise à ce point ;
- Apple nous vend, sous couvert de "protection de la propriété" un système qui va lui ouvrir la collecte de données...

En second lieu : Apple est-elle prétentieuse à ce point ?
Dire que son système sera crypté et inviolable....
L'inviolable n'existe que jusqu'au moment où la violation arrive.
Et quand il y a des informations monnayables très cher qui sont en jeu, la violation arrive généralement assez vite.

En d'autres termes, je suis assez dubitatif quant au "progrès que cette annonce représente...

Go to the top of the page
 
+Quote Post
coverband
posté 7 Jun 2019, 06:51
Message #32


Adepte de Macbidouille
*

Groupe : Membres
Messages : 66
Inscrit : 13 Feb 2018
Membre no 204 198



un début de réponse :
Citation (iAPX @ 6 Jun 2019, 11:55) *
Grosse arnaque leur système de chiffrage "end-to-end" comme à chaque fois que j'entend cette expression marketing: ça a été conçu soit par des idiots, soit par la NSA


mais par ailleurs
que vaut l'économie mondiale à côté du calme que peut nous inspirer un brin de nature devant lequel on s'émerveille ?
quel gâchis, que de matières premières et d'espèces vivantes de foutues en l'air pour les seuls et uniques plaisirs de l'humanité
quel manque d'humilité et de respect chez ces crétins d'humains
ça me déprime ce genre de brèves

Ce message a été modifié par coverband - 7 Jun 2019, 08:10.
Go to the top of the page
 
+Quote Post
RaelRael
posté 7 Jun 2019, 08:50
Message #33


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 326
Inscrit : 5 Sep 2005
Membre no 45 180



apres faut se calmer.
L'iphone il envoie juste un message pour donner sa position, rien d'autre?
Go to the top of the page
 
+Quote Post
Hebus
posté 7 Jun 2019, 09:12
Message #34


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 5 805
Inscrit : 24 Sep 2015
Membre no 196 570



Citation (RaelRael @ 7 Jun 2019, 08:50) *
apres faut se calmer.
L'iphone il envoie juste un message pour donner sa position, rien d'autre?


Non, c'est l'appareil qui reçoit le signal qui indique sa position.

A savoir la clef public pour encoder les informations est une clef générée par votre autre device qui marche de concert pour cette localisation, le device possède donc la clef privée qui n'est transmise à personne donc :

Citation
Here's how the new system works, as Apple describes it, step by step:

When you first set up Find My on your Apple devices—and Apple confirmed you do need at least two devices for this feature to work—it generates an unguessable private key that's shared on all those devices via end-to-end encrypted communication, so that only those machines possess the key.

Each device also generates a public key. As in other public key encryption setups, this public key can be used to encrypt data such that no one can decrypt it without the corresponding private key, in this case the one stored on all your Apple devices. This is the "beacon" that your devices will broadcast out via Bluetooth to nearby devices.

That public key frequently changes, "rotating" periodically to a new number. Thanks to some mathematical magic, that new number doesn't correlate with previous versions of the public key, but it still retains its ability to encrypt data such that only your devices can decrypt it. Apple refused to say just how often the key rotates. But every time it does, the change makes it that much harder for anyone to use your Bluetooth beacons to track your movements.

Say someone steals your MacBook. Even if the thief carries it around closed and disconnected from the internet, your laptop will emit its rotating public key via Bluetooth. A nearby stranger's iPhone, with no interaction from its owner, will pick up the signal, check its own location, and encrypt that location data using the public key it picked up from the laptop. The public key doesn't contain any identifying information, and since it frequently rotates, the stranger's iPhone can't link the laptop to its prior locations either.

The stranger's iPhone then uploads two things to Apple's server: The encrypted location, and a hash of the laptop's public key, which will serve as an identifier. Since Apple doesn't have the private key, it can't decrypt the location.

When you want to find your stolen laptop, you turn to your second Apple device—let's say an iPad—which contains both the same private key as the laptop and has generated the same series of rotating public keys. When you tap a button to find your laptop, the iPad uploads the same hash of the public key to Apple as an identifier, so that Apple can search through its millions upon millions of stored encrypted locations, and find the matching hash. One complicating factor is that iPad's hash of the public key won't be the same as the one from your stolen laptop, since the public key has likely rotated many times since the stranger's iPhone picked it up. Apple didn't quite explain how this works. But Johns Hopkins' Green points out that the iPad could upload a series of hashes of all its previous public keys, so that Apple could sort through them to pull out the previous location where the laptop was spotted.

Apple returns the encrypted location of the laptop to your iPad, which can use its private key to decrypt it and tell you the laptop's last known location. Meanwhile, Apple has never seen the decrypted location, and since hashing functions are designed to be irreversible, it can't even use the hashed public keys to collect any information about where the device has been.1


Ce message a été modifié par Hebus - 7 Jun 2019, 09:28.


--------------------
MBP 2018, Touch Bar, i7 2.6 GHz, 32 GB RAM, 1T SSD, Radeon 560X ...
De concert avec mon iPad Pro+pencil, 1st gen... du bonheur !
+
eGPU : Akitio Node / Vega64 et GTX 980 Ti + HP Omen Accelerator / RX580

Un Discord pour la concorde :)
Go to the top of the page
 
+Quote Post
pipolo
posté 7 Jun 2019, 11:53
Message #35


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 402
Inscrit : 6 Sep 2009
Lieu : Paris
Membre no 141 810



Citation (marc_os @ 6 Jun 2019, 18:56) *
Citation (iAPX @ 6 Jun 2019, 12:41) *
Pas besoin de hi-tech, du papier d'alu suffit, ou un emballage de chips pour un iPhone.
Dans ces conditions, ça risque de ne pas être évident d'utiliser l'iPhone, car ça ne touchera pas que le BT, mais toutes connexions ! laugh.gif
Donc les voleurs ne seraient pas détectés, mais ils ne pourraient pas non plus utiliser leur butin ! biggrin.gif

Citation (iSpeed @ 7 Jun 2019, 00:57) *
A quoi sert de voler si c'st pour le laisser constamment dans un papier alu. Franchement réfléchissez un peu mad.gif


Eh ben on a des champions sur ce thread, y'a du level là...



Citation (iAPX @ 6 Jun 2019, 12:55) *
Le point le plus évident est que la faiblesse se trouve non dans le protocole ni le chiffrement, mais dans l'appareil retransmettant le message chiffré et forcément à proximité du premier, à commencer par l'adresse IP utilisée pour la communication: en WiFi ou Ethernet, échec-et-mat.

Ensuite, en émettant du trafic Bluetooth régulièrement, même chiffré, l'adresse MAC Bluetooth de l'appareil sera publiquement exposé même éteint, permettant de capturer ces informations: on devient un Beacon ambulant même appareils éteints.


Alors je ne connais les specs du BT, mais il intègre peut être un mode broadcast au sens strict, c'est à dire une diffusion n'attendant aucune réponse et ne nécessitant par conséquent aucune adresse source. Si un tel mode n'existe pas, un broadcast classique avec adresse source générée aléatoirement fera le job. Dans tous les cas la capture de ces émissions ne produira pas d'infos utilisables par quiconque d'autre que le propriétaire du device (et la NSA tongue.gif ).

Ce message a été modifié par pipolo - 7 Jun 2019, 11:55.


--------------------
Pinot Simple Tech (aka pipolo).

MacBook 13,3 Unibody (late 2008) 4Go Ram + SSD Crucial C300 128Go Samsung S840 250Go
PC "fait maison" + iiYama 24" + KVM (souris microsoft + clavier mac ;-)
iPhone 4 Nokia 2720 iPhone 4S iPhone 5S
Go to the top of the page
 
+Quote Post
iAPX
posté 7 Jun 2019, 12:11
Message #36


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 11 317
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (Hebus @ 7 Jun 2019, 04:12) *
Citation (RaelRael @ 7 Jun 2019, 08:50) *
apres faut se calmer.
L'iphone il envoie juste un message pour donner sa position, rien d'autre?


Non, c'est l'appareil qui reçoit le signal qui indique sa position.

A savoir la clef public pour encoder les informations est une clef générée par votre autre device qui marche de concert pour cette localisation, le device possède donc la clef privée qui n'est transmise à personne donc :
...

Presque ça: il y a une clé Maître, partagée par chaque appareil, qui peut donc aussi se trouver dans un appareil virtuel, exactement comme la première méthode pour surveiller les échanges Messages (et créé lorsque l'usager s'identifie chez Apple, seul moment où c'est possible).

Chaque appareil dérive une autre paire de clé Publique/Privée depuis la clé Maître et le temps pour émettre sa position quand "Find My..." est activé.
Chaque appareil partageant la même clé Maître (qui ne change pas) peut regénérer à tout moment une paire de clé Publique/Privée en recevant l'information de l'instant où la localisation a été effectuée (en clair donc) pour déchiffrer l'information de localisation qui a été chiffrée.
Apple ne "peut pas" le déchiffrer, du moins en théorie, mais si l'adresse IP publique servant à l'envoi est géolocalisable (donc non-cellulaire), on est baisé. À grande échelle.

Tout ça c'est la théorie, et je suis gêné par un petit point, pour Message comme "Find My...", les deux chiffrés "end-to-end", pour lesquels Apple prétend ne pas avoir les clés de chiffrement (ce qui est vrai) mais où Apple peut très certainement regénérer ces clés depuis la clé Maître du compte, cette clé Maître n'étant pas stocké chiffrée via le mot-de-passe associé au compte (et d'autres infos statiques) comme ça devrait être le cas.

Dit plus simplement Apple ne "stocke pas les clés" mais peut regénérer les clés quand elle le veut, un abus de langage qui a des impacts profonds.

PS: dés que j'entend "end-to-end" je sais que ça va foirer et qu'outre l'implémentation, il faut suivre les clés...

Ce message a été modifié par iAPX - 7 Jun 2019, 12:12.


--------------------
Mac Pro 128 cœurs, 1Tio de RAM, 8 x RTX 2080 ti, 8To SSD. Ah non, oups, pas chez Apple!
Go to the top of the page
 
+Quote Post
uhflirug
posté 7 Jun 2019, 12:29
Message #37


Nouveau Membre


Groupe : Membres
Messages : 24
Inscrit : 10 Oct 2016
Membre no 199 964



Citation (iAPX @ 7 Jun 2019, 12:11) *

C'est comme les voitures autonomes qui doivent communiquer entre elles en s'authentifiant (pour faire confiance) anonymement (pour la privacy) avec des clés qui changent toutes les minutes et stocker un stock de clés a usage temporaire pour ca, ca prend tout un disque dur dans la voiture ...
Et sinon on peut spoofer les telephones pour qu'il relayent n'importe quoi, genre avec un flux vidéo découpé en petits bouts qui ressemblent à des clés ?
Go to the top of the page
 
+Quote Post
iAPX
posté 7 Jun 2019, 12:39
Message #38


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 11 317
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (uhflirug @ 7 Jun 2019, 07:29) *
Citation (iAPX @ 7 Jun 2019, 12:11) *

C'est comme les voitures autonomes qui doivent communiquer entre elles en s'authentifiant (pour faire confiance) anonymement (pour la privacy) avec des clés qui changent toutes les minutes et stocker un stock de clés a usage temporaire pour ca, ca prend tout un disque dur dans la voiture ...
Et sinon on peut spoofer les telephones pour qu'il relayent n'importe quoi, genre avec un flux vidéo découpé en petits bouts qui ressemblent à des clés ?

Non non, pas du tout smile.gif


--------------------
Mac Pro 128 cœurs, 1Tio de RAM, 8 x RTX 2080 ti, 8To SSD. Ah non, oups, pas chez Apple!
Go to the top of the page
 
+Quote Post
oume
posté 7 Jun 2019, 19:45
Message #39


Nouveau Membre


Groupe : Membres
Messages : 23
Inscrit : 8 Jan 2014
Membre no 188 763



Citation (mR_Zlu @ 6 Jun 2019, 17:35) *
Superbe option, j'attendais ça depuis longtemps.

perso j'ai bien plus peur du voleur à la tire et de toutes les données perso&bancaire qu'il pourrait me soutirer en cas de vol/


Suffit de pas en avoir dedans...
Mais bon ça doit surement être la logique de quelqu'un de normalement logique de ne pas mettre de données sensible dans un appareil qui attire la convoitise des malandrins ? Après on sait très bien que la majorité des utilisteurs d'iphones sont les mêmes qui regardent hanouna, les chtis à machin truc et les marseillais j'sais pas quoi. Du coup ça devient logique qu'ils aient des comportements débile et à risque. smile.gif
Go to the top of the page
 
+Quote Post
iAPX
posté 7 Jun 2019, 22:04
Message #40


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 11 317
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (oume @ 7 Jun 2019, 14:45) *
Citation (mR_Zlu @ 6 Jun 2019, 17:35) *
Superbe option, j'attendais ça depuis longtemps.

perso j'ai bien plus peur du voleur à la tire et de toutes les données perso&bancaire qu'il pourrait me soutirer en cas de vol/


Suffit de pas en avoir dedans...
Mais bon ça doit surement être la logique de quelqu'un de normalement logique de ne pas mettre de données sensible dans un appareil qui attire la convoitise des malandrins ? Après on sait très bien que la majorité des utilisteurs d'iphones sont les mêmes qui regardent hanouna, les chtis à machin truc et les marseillais j'sais pas quoi. Du coup ça devient logique qu'ils aient des comportements débile et à risque. smile.gif

+1 en y ajoutant le paiement direct, sans code pour valider (pas de 2FA comme avec une simple carte bancaire)


--------------------
Mac Pro 128 cœurs, 1Tio de RAM, 8 x RTX 2080 ti, 8To SSD. Ah non, oups, pas chez Apple!
Go to the top of the page
 
+Quote Post
pipolo
posté 9 Jun 2019, 15:39
Message #41


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 402
Inscrit : 6 Sep 2009
Lieu : Paris
Membre no 141 810



Citation (iAPX @ 7 Jun 2019, 13:11) *
Apple ne "peut pas" le déchiffrer, du moins en théorie, mais si l'adresse IP publique servant à l'envoi est géolocalisable (donc non-cellulaire), on est baisé. À grande échelle.

Le device perdu n'émettant pas directement le message, je suppose que tu parles de celui qui reçoit le message bluetooth et le relaye aux serveurs Apple. Mais là il faut pouvoir distinguer LE message parmi tout ce que le device échange avec les serveurs d'Apple avec un chiffrement supplémentaire par dessus...


--------------------
Pinot Simple Tech (aka pipolo).

MacBook 13,3 Unibody (late 2008) 4Go Ram + SSD Crucial C300 128Go Samsung S840 250Go
PC "fait maison" + iiYama 24" + KVM (souris microsoft + clavier mac ;-)
iPhone 4 Nokia 2720 iPhone 4S iPhone 5S
Go to the top of the page
 
+Quote Post

2 Pages V  < 1 2
Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 16th June 2019 - 14:02