1. Bienvenue sur Bonjourchine.com, le 1er forum francophone sur le travail, les études et le voyage en Chine.

    Pour poser une question ou répondre à une discussion déjà ouverte, inscrivez vous. C'est facile, rapide et gratuit !

    Cela vous permettra de sucroit de ne plus avoir de pub qui s'affiche à l'écran (0 pub pour les membres du forum!).
    Rejeter la notice

Dongle USB dans une machine virtuelle

Discussion dans 'Informatique et Nouvelles technologies en Chine' créé par lot, 24 Juin 2016.

  1. lot

    lot Ange

    Inscrit:
    12 Août 2007
    Messages:
    220
    Localité:
    Shanghai
    Ratings:
    +181 / -1
    Ma banque ICBC fournit un boitier USB (Tendyron) pour autoriser les paiements en ligne.

    Seul Internet Explorer est supporte, ce qui est un defaut remarquable de beaucoup de banques chinoises. Du coup, avant de changer de disque dur, j'ai realise une image de ma partition Windows, que je peux maintenant lancer avec VirtualBox (dans Xubuntu)

    Le seul truc qui marche pas, c'est l'utilisation du boitier USB de ICBC pour les virements.
    C'est un peu technique, mais je souhaite savoir si certains d'entre vous ont reussi a payer dans une machine virtuelle.

    Merci beaucoup pour vos retours.

    [Descripion Technique]
    J'ai installe les "guest addition" dans la machine Windows, installe l'extension pack, active le USB 2.0 (ou 3.0) et ajoute un filtre pour capter le boitier USB dans la machine virtuelle. A chaque insertion, j'obtiens un message "failed to created a proxy device for the usb device"

    La description est tres similaire a ce ticket
    [/Descripion Technique]

     
  2. mars2012hk

    mars2012hk Ange

    Inscrit:
    24 Septembre 2013
    Messages:
    912
    Localité:
    香港/mer
    Ratings:
    +511 / -12
    D'expérience, la plupart de ces dongles utilisent un système matériel et ne fonctionnent pas dans une VM.
    Certains sont même précisément conçus pour ne pas fonctionner dans ce contexte. Si IE accepte qu'un logiciel autre que l'OS opère entre lui et le dongle, la sécurité apportée est réduite à pas grand chose.
     
    • Informatif Informatif x 1
  3. lot

    lot Ange

    Inscrit:
    12 Août 2007
    Messages:
    220
    Localité:
    Shanghai
    Ratings:
    +181 / -1
    Ta reponse ne me parrait pas du tout correcte:
    - Le dongle protege une clef secrete qui sert a signer une transaction. Le site web verifie avec la clef publique. C'est juste de l'authentification. La securite reste la meme tant que le dongle ne devoile pas la clef secrete.
    - Ce n'est pas IE qui accepte ou non un autre OS.
    - Le probleme c'est que VirtualBox n'arrive pas a monter le dongle USB en tant que systeme de fichier (ce qui est probablement normal). Je veux juste savoir comment transmettre les transactions USB a travers VirtualBox quand le montage de fichier echoue. C'est VirtualBox qui bloque l'acces, pas IE, ni le dongle.
     
    • Informatif Informatif x 1
  4. GuYong

    GuYong Alpha & Oméga

    Inscrit:
    26 Octobre 2009
    Messages:
    4 636
    Localité:
    ZheJiang
    Ratings:
    +2 907 / -16
    Tu peux aussi essayer les methodes moins "traditionelles", y a des bons tuto en ligne!

    [​IMG]
     
  5. gurvanHZ

    gurvanHZ Membre Bronze

    Inscrit:
    2 Mai 2016
    Messages:
    272
    Localité:
    Hangzhou
    Ratings:
    +117 / -2
    VirtualBox gère très mal tout ce qui est USB device. Je te conseillerais donc d'utiliser plutôt wine pour lancer IE sur ton ubuntu directement.
     
    • Informatif Informatif x 1
  6. Xiao Hai

    Xiao Hai Dieu créateur

    Inscrit:
    6 Octobre 2009
    Messages:
    1 049
    Ratings:
    +1 113 / -17
    Ton user fait partie du groupe vboxusers?
     
  7. lot

    lot Ange

    Inscrit:
    12 Août 2007
    Messages:
    220
    Localité:
    Shanghai
    Ratings:
    +181 / -1
    Oui.
     
  8. lot

    lot Ange

    Inscrit:
    12 Août 2007
    Messages:
    220
    Localité:
    Shanghai
    Ratings:
    +181 / -1
    Avant que je me lance dans cette galere, as-tu reussi par cette methode ?
     
  9. gurvanHZ

    gurvanHZ Membre Bronze

    Inscrit:
    2 Mai 2016
    Messages:
    272
    Localité:
    Hangzhou
    Ratings:
    +117 / -2
    Honnêtement ce n'est pas plus galère que d'installer un logiciel sur windows... surtout aujourd'hui !!
    Et non je n'ai pas testé mais c'est comme ca que je le ferais personnellement car comme dit précédemment c'est très simple (limite tu clic ca marche...) et au moins tu n'auras plus de limitation matérielle.
     
  10. Xiao Hai

    Xiao Hai Dieu créateur

    Inscrit:
    6 Octobre 2009
    Messages:
    1 049
    Ratings:
    +1 113 / -17
    Did you try to turn it off and on again?

    Nan, sans rire, t'as bien lancé les modules dans systemd?
    T'as bien un dossier de créé /dev/vboxusb ?
     
    • Informatif Informatif x 1
  11. Dui ni shuo de dui

    Dui ni shuo de dui Alpha & Oméga

    Inscrit:
    18 Septembre 2007
    Messages:
    5 668
    Localité:
    Shanghai
    Ratings:
    +6 333 / -18
    Dans ma boite on utilise VM Ware pour la gestion et la creation de machines virtuelles.
    On a un dongle qui sert a l'authentification de notre systeme ERP (en gros sans le dongle le systeme ne peut pas se lancer).
    Ca fonctionne, on a juste eu a parametrer un port USB virtuel avant de brancher le dongle sur la machine physique.

    Je saurais pas dire comment faire dans ton cas vu que tu utilises un autre logiciel, mais il doit forcement y avoir un moyen.
     
  12. starzig

    starzig Membre Bronze

    Inscrit:
    23 Mars 2014
    Messages:
    92
    Ratings:
    +47 / -2
    J'utilise mes dongles ICBC ainsi que China Construction Bank sans problèmes dans Virtualbox. Il faut juste avoir pris soin d'installer l'extension pack de virtualbox (coté host), et coté guest (j'utilise windows 7) il faut installer les guest addition. Ensuite, tu pourra configurer virtualbox pour qu'il rende visible un device USB que tu choisis (device -> USB -> coche le device qui semble être le dongle) auprès de l'OS guest (windows 7), de là tu n'aura plus qu'a installer les driver du dongle (normalement en allant sur le site de la banque, il te les ferons télécharger). Ca marche avec IE et avec firefox (sans doute chrome également)
     
    • Informatif Informatif x 1
  13. starzig

    starzig Membre Bronze

    Inscrit:
    23 Mars 2014
    Messages:
    92
    Ratings:
    +47 / -2
    Quand à faire marcher le dongle via wine, je doute fortement que ça marche, car les dongles requièrent un driver, wine ne fait que faire tourner les applications windows sous linux, pas les drivers. Donc pas la peine de perdre ton temps à essayer ça ...
     
  14. Xiao Hai

    Xiao Hai Dieu créateur

    Inscrit:
    6 Octobre 2009
    Messages:
    1 049
    Ratings:
    +1 113 / -17
    C'est la même. Soit tu ajoutes un port virtuel, soit tu ajoutes un filtre pour capter automatiquement. Il dit que c'est paramétré.

    Sinon, d'autres pistes:
    USB subsystem is not working on the host or guest
    Your user must be in the vboxusers group, and you need to install the extension pack if you want USB 2 support. Then you will be able to enable USB 2 in the VM settings and add one or several filters for the devices you want to access from the guest OS.

    If VBoxManage list usbhost does not show any USB devices even if run as root, make sure that there is no old udev rules (from VirtualBox 4.x) in /etc/udev/rules.d/. VirtualBox 5.0 installs udev rules to /usr/lib/udev/rules.d/. You can use command like pacman -Qo /usr/lib/udev/rules.d/60-vboxdrv.rules to determine if the udev rule file is outdated.

    Sometimes, on old Linux hosts, the USB subsystem is not auto-detected resulting in an error Could not load the Host USB Proxy service: VERR_NOT_FOUND or in a not visible USB drive on the host, even when the user is in the vboxusers group. This problem is due to the fact that VirtualBox switched from usbfs to sysfs in version 3.0.8. If the host does not understand this change, you can revert to the old behaviour by defining the following environment variable in any file that is sourced by your shell (e.g. your ~/.bashrc if you are using bash):

    ~/.bashrc
    VBOX_USB=usbfs
    Then make sure, the environment has been made aware of this change (reconnect, source the file manually, launch a new shell instance or reboot).

    Also make sure that your user is a member of the storage group.
     
    • Informatif Informatif x 1
  15. lot

    lot Ange

    Inscrit:
    12 Août 2007
    Messages:
    220
    Localité:
    Shanghai
    Ratings:
    +181 / -1
    Merci pour toutes ces informations.
    Je verifie ce soir les quelques points que je n'ai pas checke:
    - modules dans systemd?
    - /dev/vboxusb
    - usbfs et sysfs

    A ce soir.
     
  16. mars2012hk

    mars2012hk Ange

    Inscrit:
    24 Septembre 2013
    Messages:
    912
    Localité:
    香港/mer
    Ratings:
    +511 / -12
    Je me suis sans doute mal exprimé.

    Le problème est que si ça marche avec VirtualBox au milieu, ça veut dire qu'en traffiquant Virtualbox un hacker pourrait écouter, modifier voire simuler les messages échangés avec le dongle. Outre les risques de retro-engineering que cela présente, un petit malin pourrait sans doute arriver à créer un faux dongle logiciel afin de faire "croire" à la machine virtuelle que le dongle est présent même si ce n'est pas le cas (de la même manière qu'on peut monter une ISO dans le virtualiseur et faire croire l'OS à l'intérieur qu'un CD physique a été inséré dans un lecteur).

    Bref le rôle d'un dongle est généralement de s'assurer que l'utilisateur dispose d'une clef physique unique et non-duplicable, dans le cadre d'une authentification multi-facteurs. Le fait que ça marche dans une VM viendrait compromettre la vérification que tu disposes réellement du dongle avec toi, branché sur la machine depuis laquelle tu accèdes au site.

    Cela dit, tous les dongles ne sont pas fabriqués avec de telles contraintes... J'arrive à faire fonctionner la plupart de mes périphériques USB dans une VM Windows (alors que je suis sous OSX)
     
    #16 mars2012hk, 24 Juin 2016
    Dernière édition: 24 Juin 2016
  17. starzig

    starzig Membre Bronze

    Inscrit:
    23 Mars 2014
    Messages:
    92
    Ratings:
    +47 / -2
    Cela marche dans une VM ...

    Les dongles utilisent des principe cryptographiques qui font que même si tu interceptais la communication au niveau USB (pas besoin de VM pour ça, il existe des outils pour analyser le signal USB) tu ne pourrais pas le cracker ou le dupliquer. De même que si tu interceptes la communication entre un serveur https et un client qui se connecte dessus, tu ne peux pas en déduire les clef d'encryption du serveur. C'est pareil.
     
  18. bzhmaddog

    bzhmaddog Dieu Supérieur

    Inscrit:
    8 Mars 2013
    Messages:
    1 272
    Localité:
    Shanghai / Pudong
    Ratings:
    +634 / -5
    o_O
    J'utilise tous les jours VirtualBox avec un Clef usb Jamais eu de soucis. J'utilise aussi des 'programmeurs' ou convertisseurs TTL>RS232 (FTDI) dans mes VM windows XP sans aucun soucis.
    Les dongles des des banques ne sont pas des protections materielles mais juste des encrypteur (le dongle contient juste la clef publique de la banque)

    Edit: Oops J'avais pas vu le message de starszig
     
  19. lot

    lot Ange

    Inscrit:
    12 Août 2007
    Messages:
    220
    Localité:
    Shanghai
    Ratings:
    +181 / -1
    Re-bonjour,

    Il y a deux elements de reponse a ta remarque
    - Il est possible qu'un logiciel espion aille pomper la clef sur le dongle, dans le but d'usurper l'identite. Mais cela ne se limite pas a VirtualBox. C'est le meme risque pour Windows/Linux et tout logiciel installe sur ton ordinateur (host ou guest). Sur linux, l'outil le plus simple s'appelle 'dd' (disk dump).

    - Concernant l'obtention de la clef par ecoute des transactions, dis toi-bien que c'est la meme technique que celle qui est utilisee pour etablir des connections securisees (en https) depuis ton ordinateur. Et pourtant, il y en a un paquet de personnes qui peuvent ecouter les paquets criptes entre ton ordi et le serveur https distant. C'est justement parce qu'il n'est pas possible (jusqu'a present) de trouver la clef de chiffrement par cette methode que l'internet est securise.

    J'ai passe du temps a lire des documents sur la cryptographie (a l'epoque pour mettre en place mon V-P-N).

    Apres, tu verras, que ceci n'est pas vrai:
    "Le fait que ça marche dans une VM viendrait compromettre la vérification que tu disposes réellement du dongle avec toi, branché sur la machine depuis laquelle tu accèdes au site."

    Ce qui est vrai:
    - le site web genere une phrase aleatoire a signer par la clef privee que seul le dongle possede (peu importe ou il se trouve).
    - seul le vrai dongle peut generer la bonne reponse en signant la phrase aleatoire. Il renvoit un message signe.
    - le site web ne peut que verifier si le message signe a bien ete genere par le dongle (connaissant la phrase aleatoire, le message signe et la clef publique).

    Meme si quelqu'un obtient la phrase aleatoire, le message signe, la cle publique (ou meme plusieurs triplets), il n'est pas encore possible de trouver la clef privee (c'est tout justement le but de la cryptographie).

    Si quelqu'un d'autre signe avec n'importe quoi, le site web verra que la reponse n'est pas valide (avec la clef publique) et refusera la transaction (avec HTTPS, Firefox te retourne parfois "Impossible d'etablir une connection securisee")
     
    • Informatif Informatif x 1
  20. Mathieu

    Mathieu Alpha & Oméga
    Membre de l'équipe Admin

    Inscrit:
    15 Octobre 2006
    Messages:
    5 635
    Localité:
    Shanghai, People Square
    Ratings:
    +1 404 / -10
    Et pourquoi ne pas aller chez ICBC demander à remplacer ton usb par les nouvelles calculettes ?
    C'est encore plus safe et moins lourd à gérer coté software. C'est en plus compatible avec l'app mobile du coup meme pas besoin de pc pour tes transactions.
     
    • Informatif Informatif x 2

Partager cette page