Annonce

Réduire
Aucune annonce.

Création d'un antivol

Réduire
X
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Création d'un antivol

    Hello les gens. Comme je l'ai dit dans ma présentation, j'ai pendant mes études réalisé un antivol.
    J'ai donc réalisé ce dernier, alors il reste assez académique et possède des failles (que vous trouverez dans le rapport dans la section bug connus).

    Je vous donne donc un lien pour télécharger mon rapport ainsi que les différentes sources de l'antivol.

    Si certains sont motivés, j'aimerais poursuivre mon projet, corriger les failles et avoir un produit final qui serait utilisable par n'importe qui

    Le lien : https://www.dropbox.com/s/2sxte6oei6...tivol.zip?dl=0

    Voilà, je vous laisse lire, si le rapport n'est pas clair ou que vous avez des questions, je reste disponible

  • #2
    Salut

    Il y a quelques mois j'avais envisagé de faire ce genre de programme.
    J'ai regardé le principe de ton code et je pense que ca peut être amélioré.

    Si tu veux qu'on en discute propose tes idées ici.

    Par contre je pense le faire moi même pour m'entrainer et surtout pour m'occuper quand je n'ai pas grand chose à faire à moins que je ne décide de créer une vraie grosse application mais j'en doute car je ne pense pas que ce genre d'appli puisse réellement avoir une utilité.

    En attendant j'avais pensé commencé par ajouter une fonction qui permettrait de bloquer le pc s'il n'est pas à proximité d'un téléphone portable (par exemple avec le bluetooth).
    et je ne suis pas sur que le fait de rédemarrer en boucle soit vraiment utile. Après 2 reboot un pirate changera de technique. (même si c'est vrai que contre un voleur "basique" en mettant un mot de passe au bios ca doit être largement suffisant)

    Voila dit moi si ca t'interesse de partager d'autres idées

    Commentaire


    • #3
      Premièrement je vais parler des failles.

      Il est possible de désactiver le service en passant en mode sans échec.
      Ensuite, je pensais, si le pc ne se connecte pas à internet, le pc ne se bloquera jamais, il faudrait donc au login, geler l'écran et mettre un master password qui s'il est faux après n essais (paramètrable pas le possesseur originel du pc), bloque le pc.

      ou alors on pourrait imaginer pour se loguer, plutot que le master password, une appli sur le site internet qui génère des clé aléatoire et tu as 30 secondes pour la rentrer car après elle change. (genre google authenticator sur smartphone).

      Mais on aura alors le souci du cryptage des fichiers.

      Faudrait que si le pc est volé, on crée un volume (genre truecrypt), et qu'on y place tout nos fichier dedans, et pour ouvrir ce volume, le mot de passe soit lui aussi paramétrer à l'avance par l'utilisateur de l'antivol.

      Ensuite tu as pu voir que sur le serveur j'ai bosser avec des fichiers textes (honte à moi), donc mettre en place une base de donnée pour remplacer ca.
      J'ai bossé avec des fichier textes car c'etait sur le moment plus vite fait que créer une bdd et que le site internet était hors cahier des charges.

      Mais si ya des gens motivé à reprendre le projet et en faire quelque chose pour que tout les monde puisse la télécharger et l'utiliser je suis des votres

      Parce que perso, j'aimerais bien voir ce projet aller jusqu'au bout

      Commentaire


      • #4
        Salut.


        Pour le mode sans échec... je serais plutot pour le faire sous linux^^
        Sinon pour internet je suis d'accord c'est pour ca que je regarderai plutôt du côté des téléphones portables connecté au PC(soit en bluetooth soit sur le même réseau avec un tel en wifi)

        Commentaire


        • #5
          J'ai du mal à voir l’intérêt de ce truc là pour une seule raison : pourquoi à la place n'avoir qu'un gros volume truecrypt ? Comme une partition chiffrée sous Linux.

          Le voleur connais pas le mot de passe => c'est fini.

          Dans le cas d'un anti-vol le blocage "automatique" est inutile à mon avis, mais devrait possiblement se faire à distance (donc on parle clairement de backdoor) et le tout silencieusement.

          J'ai pas regardé le zip encore, mais voilà ce que je peux en dire après t'avoir lu...

          Commentaire


          • #6
            En l'occurence, c'était mon projet d'examen imposé par mon prof, donc pas eu le choix de le faire ^^"

            Ensuite pourquoi pas faire un seul volume truecrypt ? Dans le cahier des charges. si le pc se connectait à internet, je récupèrais l'ip du réseau ou se situe le voleur, donc possibilité de demander au FAI, à qui appartenait cette IP au moment T.

            Dans mon cas, le blocage se faisait comme ça, tu te fais volé, tu vas sur le site, tu signales le vol, et quand l'ordi se co a internet la prochaine fois, il se fait bloquer. L'idée de la solution que je proposais (google authenticator, master password), c'était de prévoir le cas ou l'ordi ne se connecte jamais à internet.

            ensuite, une fois que ton PC est volé le blocage qui s'effectue est le suivant:
            • Chiffrement des dossiers "mes documents" des utilisateurs
            • Envoi de l'ip public au serveur
            • Prise de photo à la webcam (si présente)
            • reboot permanent (afin d'empêcher l'utilisation) (imposé par le prof dans le cahier des charges)

            Mes proposition d'amélioration:
            • Chiffrement du disque complet (avec truecrypt ou autre (attention faut que ca soit transparent et que le voleur ne s'en appercoive pas))
            • supprimer le redémarrage permanent car inutile
            • Mise en place d'un google authenticator ou master password et garder la session gelé tant qu'il n'est pas rentré (et blocage après n essais)

            Parce que dans mon idée, si le pc se connecte à internet, de le localiser et le retrouver, et dans ce cas, récupérer les données. Dans le cas ou il ne se connecte jamais à internet, le bloquer simplement.

            Commentaire


            • #7
              L'idée est intéressante, malheureusement les défauts que tu as décrits sont de taille et pénalise vraiment ton projet.

              Si ton fameux voleur est un peu prudent, je ne pense même pas qu'il va prendre la peine de démarrer le PC volé.
              un coup de dock pour récupérer les données et/ou formater le disque dur.

              Autre chose (je me permets de citer ton rapport)

              5.2.3 Les versions d’UUID
              Historiquement pour générer UUID, on employait l’adresse mac, l’avantage de cette méthode est
              qu’elle apportait une garantie d’unicité élevée. Mais le problème c’est que cela donne des
              informations sur l’ordinateur l’ayant généré.
              Aujourd’hui, pour générer un UUID, il y a 2 moyens, le premier est de le faire en employant des
              fonctions de hash (md5 pour la version 3, sha pour la version 5). La deuxième manière est de le
              générer avec des nombres hexadécimaux aléatoires, ce qui correspond à la version 4.
              La version que j’ai choisi d’utiliser est la version 4, car elle est aléatoire.
              Une chaine hexadécimal générer aléatoirement n'est pas unique.
              Dans ton cas, la probabilité de générer deux fois la même chaine est très faible mais pas impossible ?
              (si c'est bien ce que tu fais).

              J'aurais plutôt utilisé la première méthode avec l'adresse mac ou générer un UUID a partir de celle-ci.

              Aussi je ne vois pas dans quelle mesure récolter un maximum d'informations sur la machine avant qu'elle ne soit volée serais problématique.
              (mac, id unique de chaque périphérique, ...).

              mieux vaut avoir un maximum d'infos sur le matériel volé et ne pas en avoir besoin plutôt que l'inverse. non ?

              Commentaire


              • #8
                @Erenox Pour le coup de l'UUID, j'ai tiré cela de wikipédia

                La première version du standard prévoyait de générer l'identifiant avec l'adresse MAC de l'ordinateur et le nombre de 1/10 de microsecondes depuis la première date dans le calendrier grégorien. Cet algorithme est le plus robuste car l'adresse MAC apporte une garantie d'unicité. (Deux machines ne peuvent avoir la même adresse, et une machine ne peut générer deux UUID pendant le même dixième de microseconde.)

                Cependant, l'utilisation de l'adresse MAC a un effet pervers : donner des informations sur l'ordinateur qui a généré l'identifiant
                J'ai justifié cela en disant vouloir être à jour, et j'avais en tête que celui qui générait l'adresse était le serveur via PHP (comme tu as pu le voir dans le rapport), et donc que c'était la mac du serveur. Autrement dit, je ne voulais donner une information concernant le serveur.

                Mais je me rends compte maintenant que je pouvais employer celle de l'ordinateur à protéger en demandant à l'utilisateur de la saisir par exemple. ^^"

                Après, je suppose que tu connais macchanger ? Donc si le voleur voulait biaiser, il pourrait passer un coup avec ça et changer de mac, donc cette protection reste contournable.

                Ensuite, je n'ai pas parlé d'avoir une chaine unique, mais de grande chance d'être unique, mais la méthode que j'ai employée avec mt_rand n'est pas faite pour cela. (vu après coup).

                Après, j'ai cité quelques correctifs à mes failles, est-ce que vous pensez que ce sont de bonnes solutions ?

                Commentaire

                Chargement...
                X