PROJET AUTOBLOG

Dattaz

Site original : Dattaz

⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

Aperçu de l'appli SAIP sous le capot.

lundi 13 juin 2016 à 12:03
Edit 13/06/16 22:00 : Via le commentaire de Vincent j'ai finalement réussi à déclencher une alerte.
Note: Je publie en l'état les informations que j'ai pu récolter, car malheureusement par manque de temps (et de connaissance sur les apps android) je ne vais pas continuer.



L'application SAIP à été lancer par le ministère de l'intérieur pour prévenir les populations de danger à venir, la principale motivation de la création de cette application sont les attentats de 2015.

Pour en savoir plus, l'article de Nextinpact la présente bien : Le gouvernement lance SAIP, l'application officielle « spéciale attentats »

L'application a été crée par deveryware, une entreprise française qui travaille avec le ministère de l'intérieur depuis quelques années, dans les archives d'owni on retrouve un article intéressant sur cette société... Ils fournissent aussi les sondes de géolocalisation pour les services de renseignement...Raison de plus pour être méfiant.

Le ministère insiste bien pour dire qu'aucune donnée de localisation n'est envoyée - ce qui semble être vrai (mais je ne maîtrise pas assez le programme et l'android pour en être certain)-, en effet l'application fonctionne de la façon suivante, elle récupère la liste de toutes les alertes de France, puis localement elle opère le traitement pour savoir s'il faut vous afficher l'écran d'alerte ou pas. Techniquement c'est une bonne solution, en effet aucun traitement côté serveur ce qui diminue le risque de problème potentiel pour cette application qui doit avoir une disponibilité de 100%.

Qu'elles sont les données récupèrable ?

Pas grand chose :

L'api :

Le fichier des alertes est disponible ici : https://3718fa66e6.optimicdn.com/alert_list.txt
Le format est un json, voici un exemple d'alerte:



{
       "creation_date":1465590469000,
        "alerts":[
                {
                        "id":1,
                        "category": "TOXIC",
                        "title": "Invasion de zombie",
                        "details" : {
                                "fr" : "Les Zombies arrivent",
                                "en" : "Zombies are coming"
                        },
                        "share_urls": {
                                "fr" : "http://perdu.com/",
                                "en" : "http://perdu.com/"
                        },
                        "area": { 
                                "type" : "circle", 
                                "radius" : 99999,
                                "center": 
                                        { 
                                                "lat": 48.8534 , 
                                                "lon" : 2.3488 
                                        }
                        },
                        "start_time" : 1465590469000,
                        "end_time" : 1497126469000,
                        "broadcast_time" : 1465590469000,
                        "status": "ONGOING",
                        "severity": "ALERTE",
                        "file_creation_date" : 1465590469000,
                        "version":  4,
                        "type": "ALERTE",
                        "department_codes" : [ 75 ],
                        "insee_codes" : [ 75101 ]
                }
        ]
}
Détaillons les champs et les valeurs que peuvent prendre ces champs:
Les dates correspondent au temps posix en millisecondes.
Pour "details" et "share_url" les langues sont (pour l'instant en tout cas) uniquement "fr" (français) et "en" (anglais). "share_url" correspond à l'url complète de partage sur les réseaux sociaux
area : ça semble être du geojson et il y a 2 possibilité : insee_codes : codes insee des communes où l'alerte sera affiché
department_codes : je ne sais pas..

nom valeur possible
category TOXIC , DAM, NUCLEAR, ATTEMPT, DEFAULT
status ONGOING , CLOSED
severity ALERTE
version un entier
type ALERTE , TEST
Note : le post sera mis à jour avec le bon format quand je l'aurais.

On réinvente la roue ?

Certains on évoquer, à juste titre, que l'application redéfinie un standard qui existe déjà sur la téléphonie : la diffusion cellulaire . C'est clairement quelque chose qui devrait être utilise depuis longtemps, de plus ça remplie tous les critères et ça ne fonctionne pas que sur les smartphones mais, sur tous les téléphones portables (même le 3310).
Par contre, ça ne peut effectivement pas être utilisé pour une alerte terrorisme, car les fabricants de téléphone implémente cette alerte différemment et certains sonnent lors du déclenchement de cette alerte. (et un téléphone qui sonne lors d'un attentat/prise d'otage ce n'est pas bon)
D'autres points problématique ont été soulevés dans cet article : Intrusive, tardive, opaque : l’app d’urgence SAIP déjà critiquée

Comment j'ai analysé tout ça ? :

2 méthodes :
décompilation d'apk avec dex2jar.sh puis jd-gui
MiTM de l'api avec un dns menteur et une CA auto-signer..

PS : il y a un gros problème avec l'application quand même...je vous laisse réfléchir, relisez bien la dernière ligne...

Aperçu de l'appli SAIP sous le capot.

lundi 13 juin 2016 à 12:03

Edit 13/06/16 22:00 : Via le commentaire de Vincent j'ai finalement réussi à déclencher une alerte.
~~Note: Je publie en l'état les informations que j'ai pu récolter, car malheureusement par manque de temps (et de connaissance sur les apps android) je ne vais pas continuer. ~~

L'application SAIP à …

Aperçu de l'appli SAIP sous le capot.

lundi 13 juin 2016 à 12:03

Edit 13/06/16 22:00 : Via le commentaire de Vincent j'ai finalement réussi à déclencher une alerte.
~~Note: Je publie en l'état les informations que j'ai pu récolter, car malheureusement par manque de temps (et de connaissance sur les apps android) je ne vais pas continuer. ~~

L'application SAIP à été lancer par le ministère de l'intérieur pour prévenir les populations de danger à venir, la principale motivation de la création de cette application sont les attentats de 2015.

Pour en savoir plus, l'article de Nextinpact la présente bien : Le gouvernement lance SAIP, l'application officielle « spéciale attentats »

L'application a été crée par deveryware, une entreprise française qui travaille avec le ministère de l'intérieur depuis quelques années, dans les archives d'owni on retrouve un article intéressant sur cette société... Ils fournissent aussi les sondes de géolocalisation pour les services de renseignement...Raison de plus pour être méfiant.

Le ministère insiste bien pour dire qu'aucune donnée de localisation n'est envoyée - ce qui semble être vrai (mais je ne maîtrise pas assez le programme et l'android pour en être certain)-, en effet l'application fonctionne de la façon suivante, elle récupère la liste de toutes les alertes de France, puis localement elle opère le traitement pour savoir s'il faut vous afficher l'écran d'alerte ou pas. Techniquement c'est une bonne solution, en effet aucun traitement côté serveur ce qui diminue le risque de problème potentiel pour cette application qui doit avoir une disponibilité de 100%.

Qu'elles sont les données récupèrable ?

Pas grand chose :

L'api :

Le fichier des alertes est disponible ici : https://3718fa66e6.optimicdn.com/alert_list.txt
Le format est un json, voici un exemple d'alerte: 

{
       "creation_date":1465590469000,
        "alerts":[
                {
                        "id":1,
                        "category": "toxic",
                        "title": "Invasion de zombie",
                        "details" : {
                                "fr" : "Les Zombies arrivent",
                                "en" : "Zombies are coming"
                        },
                        "share_urls": {
                                "fr" : "http://perdu.com/",
                                "en" : "http://perdu.com/"
                        },
                        "area": { 
                                "type" : "circle", 
                                "radius" : 99999,
                                "center": 
                                        { 
                                                "lat": 48.8534 , 
                                                "lon" : 2.3488 
                                        }
                        },
                        "start_time" : 1465590469000,
                        "end_time" : 1497126469000,
                        "broadcast_time" : 1465590469000,
                        "status": "ongoing",
                        "severity": "alert",
                        "file_creation_date" : 1465590469000,
                        "version":  4,
                        "type": "ALERTE",
                        "department_codes" : [ 75 ],
                        "insee_codes" : [ 75101 ]
                }

        ]
}

UPDATE 15/07/16 : Voici le format certain d'une alerte , car l'application à malheuresement dû être utilisé : nice.json

Détaillons les champs et les valeurs que peuvent prendre ces champs:
Les dates correspondent au temps posix en millisecondes.
Pour "details" et "share_url" les langues sont (pour l'instant en tout cas) uniquement "fr" (français) et "en" (anglais). "share_url" correspond à l'url complète de partage sur les réseaux sociaux
area : ça semble être du geojson et il y a 2 possibilité :

insee_codes : codes insee des communes où l'alerte sera affiché
department_codes : je ne sais pas..

nom valeur possible
category toxic, dam, nuclear, attempt, default
status ongoing , closed
severity alert
version un entier
type alert , text

On réinvente la roue ?

Certains on évoquer, à juste titre, que l'application redéfinie un standard qui existe déjà sur la téléphonie : la diffusion cellulaire . C'est clairement quelque chose qui devrait être utilise depuis longtemps, de plus ça remplie tous les critères et ça ne fonctionne pas que sur les smartphones mais, sur tous les téléphones portables (même le 3310).
Par contre, ça ne peut effectivement pas être utilisé pour une alerte terrorisme, car les fabricants de téléphone implémente cette alerte différemment et certains sonnent lors du déclenchement de cette alerte. (et un téléphone qui sonne lors d'un attentat/prise d'otage ce n'est pas bon)
D'autres points problématique ont été soulevés dans cet article : Intrusive, tardive, opaque : l’app d’urgence SAIP déjà critiquée

Comment j'ai analysé tout ça ? :

2 méthodes :
décompilation d'apk avec dex2jar.sh puis jd-gui
MiTM de l'api avec un dns menteur et une CA auto-signer..

PS : il y a un gros problème avec l'application quand même...je vous laisse réfléchir, relisez bien la dernière ligne...

L'algorithme d'APB - phase 1

mercredi 1 juin 2016 à 10:33
Admission Post-Bac (APB) est le service et le site web mis en place en France par le ministère de l'Enseignement supérieur et de la Recherche pour réguler la demande de places en première année dans l'enseignement supérieur (en savoir plus : [https://fr.wikipedia.org/wiki/Admission_Post-Bac|wikipedia]

Le ministère a décidé de publier un petit bout de l'algorithme d'APB suite à la demande de droits des lycéens , enfin un algorithme en langage humain, pas le code... (alors que des différences entre l'algorithme théorique et le code peuvent exister...)
Alors, comment cet algorithme travaille :
Pour chacun de vos voeux apb correspond :

Ensuite, APB attribut les places en fonctions des voeux relatifs, en commençant par ceux qui candidatent dans leur académie.Pour chaque formation (licence/PACES) existante dans APB et dont les capacités d'accueil sont insuffisantes au regard du nombre de candidatures :

  1. Il prend tous les voeux relatifs 1 et absolus 1 pour cette formation, mélange tous ces candidats
  2. puis tous les voeux relatifs 1 et absolus 2 pour cette formation, mélange tous ces candidats et les ajoute à la suite du classement précédent
  3. puis tous les voeux relatifs 1 et absolus x pour cette formation, mélange tous ces candidats et les ajoute à la suite du classement précédent
  4. etc..jusqu'à avoir pris tous les voeux relatifs 1 pour cette formation.
  5. puis tous les voeux relatifs 2 et absolus 2 (ça ne peut pas être absolu 1, car le relatif est le deuxième ;)) pour cette formation , mélange tous ces candidats et les ajoute à la suite du classement précédent
  6. puis tous les voeux relatifs 2 et absolus 3 pour cette formation , mélange tous ces candidats et les ajoute à la suite du classement précédent
  7. etc...jusqu’à avoir pris tous les voeux relatifs 2 pour cette formation
  8. il recommence jusqu’à avoir pris tous les voeux relatifs des candidats pour cette formation et pour ceux dont l’académie de passage du bac et/ou de résidence est la même que l'académie de la formation
  9. Puis il continu la même chose avec les voeux à l'extérieur de l’académie de résidence et/ou de passage du bac du candidat
  10. Ainsi il a une liste complète et ordonnée des personnes candidatant dans une formation. Il prend les x premiers du classement (x étant égale au nombre de places)

c'est la théorie, reste à voir le code source, ainsi que tous les autres algorithmes d'APB

L'algorithme d'APB - phase 1

mercredi 1 juin 2016 à 10:33

Admission Post-Bac (APB) est le service et le site web mis en place en France par le ministère de l'Enseignement supérieur et de la Recherche pour réguler la demande de places en première année dans l'enseignement supérieur (en savoir plus : [https://fr.wikipedia.org/wiki/Admission_Post-Bac|wikipedia]

Le ministère a …