[technique] IPv6 et vie privee
obconseil
obconseil at gmail.com
Dim 14 Oct 11:46:21 CEST 2012
Le 13/10/2012 17:13, Matthieu Herrb a écrit :
> On Sat, Oct 13, 2012 at 09:51:42AM +0200, Laurent GUERBY wrote:
>> FYI
>> Une question pour les spécialistes : est-ce qu'au niveau
>> de la configuration serveur RA/DHCPv6 on peut "forcer"
>> les utilisateurs a ne pas reveler leur MAC ?
Sous linux il y a effectivement le réglage "use_tempaddr".
Par contre, il faut savoir que *par défaut*, lors de la création
de l'entrée /proc/sys/net/ipv6/conf/eth0/use_tempaddr dans /sys,
au moment du montage de l'interface, la valeur par défaut est à 0.
Par conséquent, si l'on décide d'utiliser SLAAC, l'adresse IP publique
est attribuée très très rapidement, avant même que la commande sysctl
ou "echo" ne soit passée.
La conséquence c'est qu'a ce moment là, une IP publique "MAC" est attribuée.
Si le réglage /proc/sys/net/ipv6/conf/eth0/use_tempaddr est mis à 2 ensuite,
de nouvelles adresses IPv6 anonymes sont crées, mais celle , non anonyme,
qui a été crée au départ reste active.
Pire, elle reste utilisée par le système comme IP préférentielle pour
les connections
sortantes.
La seule technique possible sous linux est de manipuler l'état des
interfaces, et de retirer
manuellement (avec "ip") l'ip en question: Une fois retirée et avec
use_tempaddr à 2,
elle ne reviens pas.
J'ai écrit un patch kernel pour être en mesure de placer l'état par défaut
de /proc/sys/net/ipv6/conf/eth0/use_tempaddr sur la cmdline du kernel,
et je l'avais
envoyé sur la liste kernel "netdev" (Mais personne n'avais répondu après
2 submission,
j'ai donc laissé tombé)
> Cela dit, il a été montré qu'il y a plein d'autres moyens pour les
> sites web qui veulent traquer leurs utilisateurs de collecter des
> informations discriminantes sur ceux-ci (type de navigateur,
> extensions installées,...):
> http://news.cnet.com/8301-1009_3-20005185-83.html
Je ne suis pas d'accord avec ça:
La diffusion de l'adresse MAC (même si c'est pas une preuve absolue car
l'@ mac est modifiable)
reste un problème car elle est indépendantes de l'OS ou des programmes,
et permet le tracking de la machine même sans navigateur, via d'autres
programmes, et surtout
à d'autres fins que "simplement" la pub (judiciaire , réseaux sociaux)...
Cette méthode survit au nettoyage ou à la réinstallation du navigateur,
et même de l'OS.
En plus on peux même chercher des corrélations, genre ces 2 @ macs
changent de réseau systématiquement
ensemble, donc c'est ptet un PC + un smarphone ..? bref, beaucoup
d'idées pas toute en faveur des gens.
Obinou
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: ipv6_privacy_default_setting.patch
Type: text/x-patch
Taille: 3599 octets
Desc: non disponible
URL: <http://lists.tetaneutral.net/pipermail/technique/attachments/20121014/79d0ee50/attachment.bin>
Plus d'informations sur la liste de diffusion technique