{"id":37,"date":"2020-03-05T14:39:01","date_gmt":"2020-03-05T13:39:01","guid":{"rendered":"https:\/\/whatifsecu.tech\/?p=37"},"modified":"2020-03-05T14:39:01","modified_gmt":"2020-03-05T13:39:01","slug":"retour-dexperience-les-portails-captifs","status":"publish","type":"post","link":"https:\/\/whatifsecu.tech\/?p=37","title":{"rendered":"RETOUR D\u2019EXP\u00c9RIENCE : LES PORTAILS CAPTIFS"},"content":{"rendered":"\n<p>Antoine Boisjibault, Systems Engineer chez UCOPIA, soci\u00e9t\u00e9 fran\u00e7aise sp\u00e9cialis\u00e9e dans les portails captifs, nous fait part de son retour d\u2019exp\u00e9rience sur ce sujet. Cela s\u2019applique aux nombreux projets men\u00e9s par UCOPIA mais aussi \u00e0 toute&nbsp;<a href=\"https:\/\/ucopia.com\/actualites\/portail-captif-ucopia-communication\/\" target=\"_blank\" rel=\"noreferrer noopener\">technologie de portail captif<\/a>. C\u2019est un sujet r\u00e9current chez nos clients et d\u00e9j\u00e0 abord\u00e9 sur notre blog,&nbsp;<a href=\"https:\/\/ucopia.com\/actualites\/magasin-connecte-retail\/\" target=\"_blank\" rel=\"noreferrer noopener\">dans l\u2019article suivant<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">QUELLES SONT LES PROBL\u00c9MATIQUES UTILISATEURS VIS \u00c0 VIS DU PORTAIL CAPTIF.<\/h2>\n\n\n\n<p>Pour pallier aux probl\u00e9matiques d\u2019erreur \u00ab&nbsp;HSTS&nbsp;\u00bb remont\u00e9es par les utilisateurs, les \u00e9diteurs d\u2019OS\/Hardware ont impl\u00e9ment\u00e9 un assistant dit \u00ab&nbsp;CNA&nbsp;\u00bb. (Le \u00ab&nbsp;Captive Network Assistant&nbsp;\u00bb est propre aux produits Apple.)<br>Cet assistant permet d\u2019\u00e9viter \u00e0 l\u2019utilisateur de lancer un navigateur web afin de faire appara\u00eetre le portail captif.<\/p>\n\n\n\n<p>De fa\u00e7on vulgaris\u00e9e :<\/p>\n\n\n\n<p>Les portails captifs sont un m\u00e9canisme qui intercepte le flux utilisateur et lui pr\u00e9sente du contenu qu\u2019il n\u2019a pas sollicit\u00e9 par lui-m\u00eame, pour le forcer \u00e0 s\u2019authentifier.<br>Le protocole HTTPs (et la surcouche HSTS qui l\u2019utilise), ont pour but de garantir que le contenu re\u00e7u par un client est bien celui qu\u2019il demande.<br>Il y a ici incompatibilit\u00e9 entre les deux technologies.<br>Voici le d\u00e9tail de ce qu\u2019il se passe :<br>\u2022 Lorsqu\u2019un utilisateur non authentifi\u00e9 sur UCOPIA (ou tout autre portails captifs) tente d\u2019acc\u00e9der \u00e0 un site s\u00e9curis\u00e9 (https:\/\/www.google.fr, ou https:\/\/www.mabanque.com ), le portail captif (lui aussi s\u00e9curis\u00e9, en HTTPS) est pr\u00e9sent\u00e9.<br>\u2022 Le navigateur utilis\u00e9 r\u00e9cup\u00e8re alors le certificat du portail captif et non celui du site demand\u00e9 initialement, d\u2019o\u00f9 cette alerte s\u00e9curit\u00e9 qui peut \u00eatre simplement accept\u00e9e en HTTPS standard (et qui est bloquante en HSTS).<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"http:\/\/ucopia.formo.work\/wp-content\/uploads\/2017\/05\/Capture-1024x475.png\" alt=\"Certificat d'erreur authentification portails captifs\" class=\"wp-image-15302\"\/><\/figure>\n\n\n\n<p>C\u2019est pour cela que la plupart des \u00e9diteurs de syst\u00e8mes d\u2019exploitation (pour ordinateurs ou mobiles) impl\u00e9mentent depuis r\u00e9cemment des assistants de connexion aux portails captifs :<\/p>\n\n\n\n<p>Apple CNA pour les appareils mobiles (et MAC) Apple : la fameuse page qui s\u2019ouvre toute seule lorsque vous vous connectez au wifi.<\/p>\n\n\n\n<p>Cela appara\u00eet sous forme de notification pour les appareils Android (requ\u00eate vers http:\/\/connectivitycheck.gstatic.com\/generate_204 sous Marshmallow et http:\/\/clients3.google.com\/generate_204 pour Kitkat).<\/p>\n\n\n\n<p>Le Consistent Connection Handling pour Microsoft,<br>\u2013 qui fonctionne comme pour les appareils de marque Apple sur mobile<br>\u2013 qui propose l\u2019ouverture d\u2019un navigateur sur Windows 8.1<br>\u2013 qui affiche une notification dans le syst\u00e8me tray sur Windows 7<br>\u2013 qui ouvre le navigateur sous Windows 10<\/p>\n\n\n\n<p>Ainsi le probl\u00e8me de la premi\u00e8re page en HTTPS ne se pose pas lorsque l\u2019on utilise ces m\u00e9canismes : cela est pris en charge par le syst\u00e8me d\u2019exploitation.<\/p>\n\n\n\n<p>Vous pourrez v\u00e9rifier alors qu\u2019une notification invitant l\u2019utilisateur \u00e0 ouvrir son navigateur est envoy\u00e9e sur les smartphones et tablettes concern\u00e9es.<\/p>\n\n\n\n<p>Pour les \u00e9quipements sous Windows 8 et 10 : vous pouvez passer par l\u2019assistant Wi-Fi.<br>Une fois authentifi\u00e9 sur UCOPIA, l\u2019utilisateur ne verra plus cette alerte s\u00e9curit\u00e9.<br>Autre alternative possible : modifier la page d\u2019accueil par d\u00e9faut du navigateur sur une page HTTP permettra la non apparition du message d\u2019alerte de certificat.<\/p>\n\n\n\n<p>Si l\u2019utilisateur ne passe pas par ces m\u00e9canismes, (soit parce qu\u2019il clique volontairement sur leur fermeture, soit parce que son syst\u00e8me n\u2019en n\u2019est pas \u00e9quip\u00e9), et que sa premi\u00e8re requ\u00eate est en HTTPs voire HSTS :<br>\u2022 Il aura une erreur dans son navigateur lui indiquant qu\u2019il a demand\u00e9 https:\/\/www.google.com et que c\u2019est https:\/\/controller.access.network\/ (par d\u00e9faut dans le cas d\u2019UCOPIA) qui lui r\u00e9pond.<br>\u2022 Cette erreur pourra \u00eatre ignor\u00e9e pour des sites en HTTPs.<br>\u2022 Si le site initialement demand\u00e9 supporte le HSTS, alors l\u2019erreur ne pourra \u00eatre ignor\u00e9e et l\u2019utilisateur ne pourra pas aller plus loin.<\/p>\n\n\n\n<p>Pour obtenir la redirection vers le portail captif, l\u2019utilisateur peut simplement solliciter une page en HTTP afin que la redirection puisse \u00eatre r\u00e9alis\u00e9e.<\/p>\n\n\n\n<p>Enfin, sachez que les nouvelles moutures des navigateurs web les plus courant commencent \u00e0 b\u00e9n\u00e9ficier d\u2019un Assistant d\u00e9di\u00e9 aux notions de portail captif, un exemple du rendu sur Firefox 52 :<br>Un exemple du rendu de l\u2019alerte obtenue (plus de blocage HSTS) ainsi qu\u2019une ouverture du portail captif dans un nouvel onglet avec un appel \u00e0 http:\/\/detectportail.firefox.com\/success.txt qui permet la redirection vers le portail :<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"http:\/\/ucopia.formo.work\/wp-content\/uploads\/2017\/05\/onglet-01.jpg\" alt=\"Exemple d'alerte portails captifs\" class=\"wp-image-15305\"\/><\/figure>\n\n\n\n<p>L\u2019alerte obtenue en premier onglet :<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"http:\/\/ucopia.formo.work\/wp-content\/uploads\/2017\/05\/onglet02.jpg\" alt=\"Onglet connexion r\u00e9seau\" class=\"wp-image-15306\"\/><\/figure>\n\n\n\n<p>En second onglet (ouvert par d\u00e9faut) l\u2019utilisateur verra appara\u00eetre le portail captif UCOPIA.<\/p>\n\n\n\n<p>Cela devrait arriver prochainement chez les autres \u00e9diteur tels que Chrome ou IE, \u00e9tant d\u00e9j\u00e0 disponible sous Chromium.<\/p>\n\n\n\n<p>Un groupe de travail IETF \u00e0 \u00e9t\u00e9 ouvert afin de suivre les avanc\u00e9es et mettre en place des normes en r\u00e9ponse \u00e0 ces probl\u00e9matiques li\u00e9es aux portails captif :\u00a0<a href=\"https:\/\/www.ietf.org\/mailman\/listinfo\/captive-portals\">plus d\u2019informations sur ce sujet \u00e0 cette adresse.<\/a><\/p>\n\n\n\n<p>Source:   <a href=\"https:\/\/ucopia.com\/actualites\/portails-captifs-experience-ucopia\/\">https:\/\/ucopia.com\/actualites\/portails-captifs-experience-ucopia\/<\/a> <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Antoine Boisjibault, Systems Engineer chez UCOPIA, soci\u00e9t\u00e9 fran\u00e7aise sp\u00e9cialis\u00e9e dans les portails captifs, nous fait part de son retour d\u2019exp\u00e9rience sur ce sujet. Cela s\u2019applique aux nombreux projets men\u00e9s par UCOPIA mais aussi \u00e0 toute&nbsp;technologie de portail captif. C\u2019est un&hellip; <a href=\"https:\/\/whatifsecu.tech\/?p=37\" class=\"more-link\">Continue Reading <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-37","post","type-post","status-publish","format-standard","hentry","category-non-classe"],"_links":{"self":[{"href":"https:\/\/whatifsecu.tech\/index.php?rest_route=\/wp\/v2\/posts\/37","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/whatifsecu.tech\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/whatifsecu.tech\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/whatifsecu.tech\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/whatifsecu.tech\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=37"}],"version-history":[{"count":1,"href":"https:\/\/whatifsecu.tech\/index.php?rest_route=\/wp\/v2\/posts\/37\/revisions"}],"predecessor-version":[{"id":38,"href":"https:\/\/whatifsecu.tech\/index.php?rest_route=\/wp\/v2\/posts\/37\/revisions\/38"}],"wp:attachment":[{"href":"https:\/\/whatifsecu.tech\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=37"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/whatifsecu.tech\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=37"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/whatifsecu.tech\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=37"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}