L'adresse MAC de mon tél mofifiée en changeant de SSID (même réseau)

[LeDam]

Hello,

Quelle pourrait être l'explication à ça ?
Sur le réseau de mon école, plusieurs SSID.
Je me connecte sur l'un.

J'ouvre le dashboard UniFi Network, je repère mon tel via sa mac adress + nom et je le bloque dans l'appli. La Mac adress est bien placée en black list.
Il se met à chercher le SSID et n'arrive plus à se connecter dessus...logique.

Je change du coup de SSID sur mon tél (même serveur) et là, je le vois se connecter sans souci sur l'autre réseau (alors qu'il est bloqué dans Unifi) avec une nouvelle adresse mac.

Ce genre de contournement est natif sur Android (14) ?

[stéphane]

2.4 vs 5 peut-être.

Sur le téléphone tu sais voir toutes les adresses MAC (celle du réseau mobile est encore différente)

[Unix-Linux]

Salut Le Dam

Il y a toujours moyen d'avoir des failles de sécurité.

Dans ton cas, c'est à cause du MAC randomization, qui est installé depuis Android 10

Pour contrer cela : dans ton Unifi, il faut désactiver le MAC Randomization et taper/insérer la véritable MAC address

MAC Address Restricting

Qu’est-ce que la randomisation MAC et comment l’utiliser sur vos appareils ?

[LeDam]

Merci, mais dans ce cas, ce n'est plus qu'une authentification via MAC, non ?
Je serai obligé d'entrer toutes las MAC autorisées ?
Je me trompe ?

[solar10]

Parce que ton smartphone est en mode MAC address aléatoire. Du coup, filtrer sur les MAC, c'est devenu un peu obsolète.

[Unix-Linux]

Merci, mais dans ce cas, ce n'est plus qu'une authentification via MAC, non ?
Je serai obligé d'entrer toutes las MAC autorisées ?
Je me trompe ?

dans ton Unifi, il faut désactiver le MAC Randomization et taper/insérer la véritable MAC address autorisée ou non autorisée.

C'est la seule solution autrement n'importe quel smartphone utilisant Android 10++ pourrait y avoir accès à cause de "randomisation MAC".

La restriction par MAC address n'est pas une nouveauté en soi, je l'utilisais depuis plus de dix ans sur les routeurs/modem

[stéphane]

C'est le téléphone qui randomise, pas le serveur.

[Unix-Linux]

C'est le téléphone qui randomise, pas le serveur.

Evidemment, ce n'est pas le serveur qui distribue des MAC address aux smartphones.

Par contre l'autorisation de smartphones ne se fera que par une liste de MAC address inscrite dans le serveur UniFi

[solar10]

FR: https://source.android.com/docs/core/co ... vior?hl=fr
EN: https://www.centurylink.com/home/help/i ... ation.html

Added after 2 minutes 44 seconds:
https://www.asus.com/fr/support/faq/1044277/

Added after 6 minutes 59 seconds:

C'est le téléphone qui randomise, pas le serveur.

Evidemment, ce n'est pas le serveur qui distribue des MAC address aux smartphones.

Par contre l'autorisation de smartphones ne se fera que par une liste de MAC address inscrite dans le serveur UniFi

J'ai désactivé le filtrage des MAC depuis que Android me casse les *ouilles avec ça.
La femme et la fille râlent pcq "Je n'ai plus de WiFi" et du coup, elles passent par le WiFi_Guest du FRitz!Box, sauf que, elle n'ont plus accès aux ressources du réseau.
Faut dire aussi que Fritz!OS est pas vraiment au point, pas pratique du tout et surtout méga lent pour les updates quand tu veux y mettre une MAC Address à la main. Sur ce point c'est pour AVM.

[stéphane]

C'est le téléphone qui randomise, pas le serveur.

Evidemment, ce n'est pas le serveur qui distribue des MAC address aux smartphones.

Par contre l'autorisation de smartphones ne se fera que par une liste de MAC address inscrite dans le serveur UniFi

Ta liste va vite devenir ingérable, là. EN plus des raleries comme l'explique solar

[alloja]

Vous n'imaginez pas à quel point cette fonctionnalité de adresses MAC aléatoires me les brise. Et y a ça sur quasi tous les trucs modernes : Windows 11, Android, iOS…

[solar10]

Ils ont essayé de trouver une parade su spoofing d'adresse MAC

[Unix-Linux]

la MAC spoofing existe de belle lurette également ;-)

Donc à part mettre chaque MAC address dans les allowed dans le UniFi, qu'il y a t'il d'autre ? Un Radius serveur ?

[solar10]

Mettre un portail. Chaque prof et autres a son propre login/mdp. S'il y en a un dans le lot qui laisse fuiter ses accès, tu le vera plus facilement qu'avec un simple mot de passe sur le WiFi et ainsi "éduquer" l'abruti qui s'en balec de la sécurité.

[LeDam]

Logiquement, avec un portail login/pw, seule une personne peut s'y connecter à la fois.
Ce serait en effet le plus efficace.

Mettre les adresses MAC autorisées est un boulot de dingue, surtout que sur les 150 personnes concernées, il va falloir gérer les changements de smartphones, PC/tablettes persos, ...

Pour le moment, je change de PW toutes les +- 8 semaines.
Ca fait ch... les profs mais ils n'ont qu'à s'en vouloir de laisser leur PC allumé quand ils quittent leurs locaux ou quand ils demandent aux élèves de les aider à entrer le nouveau PW dans leur smartphone !

[solar10]

quand ils demandent aux élèves de les aider à entrer le nouveau PW dans leur smartphone !

Ils sont cons à ce point ???

[stéphane]

La sécurité, c'est pas inné

[Unix-Linux]

Rappelez-vous, il y a quelque temps, les communes et hopitaux qui ont été "hacké" à cause de PW trop simples.

[solar10]

Tu sais pourtant que le feu ça brûle et que l'eau mouille.
Quand tu demandes aux élèves d'introduire un mot de passe réservé aux profs, bah c'est que tu mérites d'être brûlé ou boire la tasse.
Je ne sais pas comment LeDam gère ce genre de crétin(e)s, mais avec moi, ils comprendraient de suite qu'ils doivent aller se plaindre ailleurs et que si ça leur plait pas, je passerai à un changement de mot passe mensuel voire hebdomadaire jusqu'à ce que ça rentre dans leur petite tête.

C'est exactement pareil que pour les pigeons qui donnent le code de sécurité par la calculette de la banque puis viennent pleurnicher qu'on a vidé leur compte en banque dans Sud-presse. C'est gravé dessus et tu reçois tout le temps des notifications de NE PAS donner de code parce que la banque (ou qui que ce soit d'autre) ne le demandera jamais ou n'a pas à le demander parce que c'est personnel.

[LeDam]

quand ils demandent aux élèves de les aider à entrer le nouveau PW dans leur smartphone !

Ils sont cons à ce point ???

...tu n'as pas idée !
Ils ne sont pas tous comme ça évidemment, mais un bon dixième d'entre eux sont des vrais bras cassés
Après, il y a aussi les profs qui ont des enfants dans l'établissement... et je sais que, au moins pour l'un d'entre eux, ils ne résistent pas longtemps avant de leur balancer le pw.