Forum général.cherche-logiciel Alternatives aux portails captifs ?

Posté par . Licence CC by-sa
Tags : aucun
2
12
sept.
2016

Bonjour,

j'ai vu passer ici des commentaires à propos des portails captifs comme quoi c'est le mal incarné.
Pour ma part je trouve surtout que la sécurité basée sur l'adresse MAC c'est vraiment moyen. N'importe qui peut agir au nom d'une autre personne.

Je cherche à donner la possibilité de se connecter librement à un point d'accès WiFi de mon village.
Pour cela ils doivent renseigner un identifiant unique (généré ailleurs) sur une page avec "oui j'ai bien compris blabla" et le logo de la mairie. Ensuite ils ont accès à internet.
Si on n'utilise pas de portail captif, quelle solution permet de diriger les utilisateurs vers une page spécifique ? Sans poser des affiches partout dans le village.
Ensuite l'identifiant unique pourrait être la clef WiFi pourquoi pas.

Je pense par exemple à un SSID sans chiffrement qui est un portail captif affichant la page d'identification (et qui ne donne accès à rien d'autre). Ca permet d'afficher les informations voulues.
Une fois que la personne a les informations, elle se reconnecte sur l'autre SSID en saisissant la clef WiFi.
Mais ce n'est pas Michu compliant.

Un autre problème est que je ne trouve nulle part les obligations légales pour "identifier" les utilisateurs.
Je vois partout des portails captifs qui demandent de saisir son nom, mais on peut indiquer n'importe quoi, il n'y a aucune vérification. Il se passe quoi en cas de requête judiciaire ? On répond "ah bah oui c'est monsieur Jacques Chirac qui s'est connecté, la preuve il a indiqué son nom" ?
Je pensais plutôt à une vérification par numéro de téléphone : l'utilisateur indique son numéro, il reçoit un SMS contenant un code, et c'est le code qui va déverrouiller le WiFi. Déjà c'est plus "sécurisé". Mais est-ce que ça correspond à la législtation ? Vous avez des liens ?

  • # laisser faire le materiel

    Posté par . Évalué à 4.

    Je pense par exemple à un SSID sans chiffrement qui est un portail captif affichant la page d'identification (et qui ne donne accès à rien d'autre). Ca permet d'afficher les informations voulues.
    Une fois que la personne a les informations, elle se reconnecte sur l'autre SSID en saisissant la clef WiFi.

    il existe du materiel, qui en fonction de l'identification de l'utilisateur, va t'envoyer sur le bon VLAN derriere la borne wifi.

    tu as donc un seul SSID, les gens se connecte dessus avec le login/pass de la mairie pour les employés, avec la clef temporaire distribuée par l'office du tourisme et valable 24h pour le lambda qui est de passage,

    et la borne va t'envoyer sur le Vlan PRO quand tu as le login/pass mairie, sur le vlan "GUEST" avec seulement internet et un proxy qui loggue le traffic.

    pour l'authentification, la techno radius est un standard qui fonctionne bien.

    • [^] # Re: laisser faire le materiel

      Posté par . Évalué à 2.

      Ok mais ça fonctionne sur quel principe ?
      Si c'est un portail captif intégré dans le matériel, on a le même problème: il suffit d'usurper l'adresse MAC.

      Je vais chercher des boîtiers comme ça pour voir si la doc est explicite.

      • [^] # Re: laisser faire le materiel

        Posté par . Évalué à 2.

        et tu voudrais que ca se base sur quoi ?
        à part l'adresse MAC? l'adresse IP ? et le login/passe de l'utilisateur ?

        parce que l'adresse MAC ou adresse IP, si quelqu'un te la prend, ben aucune des deux machines ne peut se connecter puisqu'elles sont toutes les deux sur le reseau en meme temps

        apres il reste le cookie du navigateur (garder le navigateur ouvert avec un javascript qui rafraichit la page pour confirmer qu'on est toujours là.

        sinon la solution d'apres, c'est le client VPN, mais là on n'est carrement plus Mme Michu Friendly

        • [^] # Re: laisser faire le materiel

          Posté par (page perso) . Évalué à 2.

          Il ne fait que te demander l'intérêt de ce matériel spécifique.
          Vu ta réponse, en gros tu lui dis d'utiliser un matériel spécifique qui fait la même chose qu'un bête pfsense installé sur un PC de récupération.

          parce que l'adresse MAC ou adresse IP, si quelqu'un te la prend, ben aucune des deux machines ne peut se connecter puisqu'elles sont toutes les deux sur le reseau en meme temps

          L'astuce consiste à gentiment attendre que la personne se barre.
          Tu es à côté du McDo, tu écoutes le réseau. Lorsqu'une adresse MAC disparaît il te suffit de l'utiliser. J'ai fait ça il y a quelques mois sur un hotspot Vodafone payant au Portugal. J'ai juste attendu que les gens s'éloignent (c'était facile, il n'y avait qu'un couple).

          • [^] # Re: laisser faire le materiel

            Posté par . Évalué à -1.

            en meme temps si le hotspot reste ouvert avec la meme MAC pendant 2 jours, c'est un peu un trou de securité aussi, hein

  • # Obligations légales

    Posté par . Évalué à 3.

    Ce qui est sympa avec la loi concernant ce genre de service, c'est qu'elle oblige de conserver les "données de trafic" s'en préciser techniquement ce qui est attendu…

    Un peu de lecture pour aider :
    https://www.cnil.fr/fr/conservation-des-donnees-de-trafic-hot-spots-wi-fi-cybercafes-employeurs-quelles-obligations
    https://www.cnil.fr/fr/internet-et-wi-fi-en-libre-acces-bilan-des-controles-de-la-cnil-0

    Au final la loi ne demande pas grand chose, IP, date… un simple log suffira, pas besoin d'identifier précisément l'utilisateur.

    En ce qui concerne la demande de nom, ça permet entre autre de forcer l'utilisateur à passer plus d'une seconde sur une page le prévenant que les données de trafic vont être enregistrées. (Dans mon cas, en entreprise, c'est aussi parce qu’on me l'a demandé "histoire de responsabiliser les utilisateurs", cependant ces données ne sont pas conservées.)

    En cas de besoin légale, ils demandent simplement les logs et ils se débrouillent avec.

    En bref, tu préviens les utilisateurs de la nature su service, tu log et tu conserves pendant 1 an.

    • [^] # Re: Obligations légales

      Posté par . Évalué à 3.

      Ca confirme ce que j'avais trouvé. On conserve des données qui sont au final totalement inexploitables vu que les enquêteurs ne pourront jamais savoir à qui correspond telle ou telle ligne de log.
      Donc on dépense de l'argent et de l'énergie pour strictement rien d'utile.

      • [^] # Re: Obligations légales

        Posté par (page perso) . Évalué à 4.

        Non, ce n'est pas totalement inexploitable. Si tu notes les connexion, tu auras les adresses MAC dedans. Pour les besoins d'une enquête sur quelque chose de sérieux, la police notera sans doute les adresses MAC des équipements des suspects, et le log des connexions pourra alors leur être utile. Sauf usurpation, mais ça c'est vrai pour tout, même pour un registre d'hôtel en fait.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.