API PSA - Récupérer infos véhicule

[Lucas.D]

il y a 5 minutes, Thomas Pré a dit :

Si c'est sont les mêmes client-id pour tout le monde (vu que meme mypeugeot), pourquoi ne pas les inclure en valeur par défaut ?

Je rappel que ce sont des identifiants pour l'API et que ces identifiants appartiennent à PSA pour identifier l'app MyPeugeot.
Donc oui tu peux les donner mais je me pose toujours la question de la légalité de partager ce genre de données qui ne sont pas censées être accessibles sans modifications de l'app.

[Thomas Pré]

Ces informations sont accessibles sans modifier l'application.
Soit on les récupère depuis le code de l'application.
Sinon elles passent aussi sur le réseau internet.

Ok avec vous, il faut filouter pour les récupérer. Mais ce ne sont pas le login/pass qui sont eux personnels.

[denouche]

C'est marrant j'ai l'impression de revivre les discussions du boulot 😄

- "Non c'est pas bien de choper le client id et secret id du cli openshift"

- "Bah oui mais ils sont là devant nos yeux, ça serait dommage"

😋

De toute façon tant qu'ils ne permettront pas aux développeurs d'enregistrer leur application, les gens filouteront comme ça. 

Y'a qu'à voir comment ça se passe chez d'autres, Tesla par exemple, au hasard 😇

Modifié novembre 21, 2020 par denouche

[Lucas.D]

il y a 15 minutes, Thomas Pré a dit :

Ces informations sont accessibles sans modifier l'application.
Soit on les récupère depuis le code de l'application.
Sinon elles passent aussi sur le réseau internet.

Ok avec vous, il faut filouter pour les récupérer. Mais ce ne sont pas le login/pass qui sont eux personnels.

Je ne comprends ce qui parait compliqué dans "appartiennent à PSA" et " identifier l'app MyPeugeot".

Les client_id et client_secret appartiennent  à PSA, au même titre que les "login/pass qui sont eux personnels" nous appartiennent. Encore un autre détail, ces client_id et client_secret sont récupérés dans un fichier après un premier échange avec l'API, et ils ne sont pas à ma connaissance présent dans l'application à tout instant. Par défaut, ce fichier n'est PAS accessible par mesure de sécurité et on est obligé de déployer une version modifiée de l'app pour contourner cette sécurité.

Je ne sais pas si ces client_id et client_secret sont visible depuis le réseaux, je ne me suis pas amusé à spy et même si c'était le cas ça ne reste pas une bonne idée de les utiliser parce qu'ils sont visibles...

 

Mais toujours est il que dire aux personnes comment récupérer les client_id et client_secret et les donner c'est pas la même chose.

[Thomas Pré]

Non, la 2e méthode recupere les informations depuis l'apk directement. Il n'est ni modifié, ni installé (donc aucune première authentification)

[Lucas.D]

il y a 10 minutes, Thomas Pré a dit :

Non, la 2e méthode recupere les informations depuis l'apk directement. Il n'est ni modifié, ni installé (donc aucune première authentification)

Je ne comprends pas ce que tu sous entends par là

[Thomas Pré]

Extrait de la doc du projet github.

J'ai checké le code du script python, les informations sont accessibles directement (pas déchiffrage ou autre bricoles)

[Lucas.D]

il y a 23 minutes, Thomas Pré a dit :

Extrait de la doc du projet github.

J'ai checké le code du script python, les informations sont accessibles directement (pas déchiffrage ou autre bricoles)

Effectivement suite à la mis à jour du 19 novembre, @flobz a mis en place un système pour récupérer localement les client_id et client_secret (bien joué !).

 

En informatique ce n'est pas parce que tu as accès à une information que tu en fait ce que tu veux sans conséquence. Personnellement je n'ai pas la prétention de dire que je sais ce que PSA va faire si ces données sont utilisés, et publiées. Mais par mesure de précaution je ne joue pas avec le feu et j'ai averti que ce ne sont pas des client_id et client_secret qui nous appartiennent.

 

Qu'un particulier utilise ces informations qu'il a récupéré par lui même pour déployer une application localement, qu'il est le seul à utiliser c'est une chose (et peu d'entreprises vont se plaindre de ce genre de comportement). Par contre donner accés direct aux données d'identifications et ou les utiliser pour une application alternative, pour moi tu changes de contexte et donc les réactions possibles.

 

A vous de voir ce que vous faites avec. Mais je reste en désaccord avec les propositions de le partager publiquement, c'est mon avis, je le partage point final.

[flobz]

Effectivement je ne sais pas si c'est légal de partager ces identifiants. C'est pour ça que j'ai préféré ne pas le faire.

Modifié novembre 23, 2020 par flobz

[flobz]

Bonjour,

Pour information j'ai mise à jour mon application.

Cela simplifie grandement son utilisation.

Il suffit de télécharger l'application Android, ensuite lancer le script "app_decoder.py" qui va récupérer les informations dedans.

Ensuite on lance "server.py", à la première connexion on doit rentrer un code que l'on reçoit par SMS et c'est tout !

 

[vlycop]

Le token se renouvelle tout seul ou il faut le refaire à chaque expiration ?

 

Merci beaucoup pour ton boulot

[flobz]

Il se renouvele tout seul.

De rien