Casser une clé WEP ou WPA - Navigation du site[Passer]

Sécurité
Casser une clé WEP ou WPA
Les réseaux sans fil posent de sérieux problèmes de
sécurité. Pour une entreprise, il est impératif de protéger le
réseau. Mettre en place un chiffrement WEP (wired
equivalent privacy) ne suffit pas et le recours à WPA (Wi-Fi
protected access) n'améliore les choses que si l'on choisit
une clé longue et compliquée (mélange de majuscules, de
minuscules, de chiffres et d'autres signes).
Casser le mot de passe de Windows
Casser une clé WEP ou WPA
Analyser la sécurité d'un ordinateur
Attention, il faut avoir l'autorisation expresse du propriétaire du réseau pour l'attaquer. Sinon, on
risque des poursuites civiles ou pénales et les sanctions peuvent être lourdes — jusqu'à trois ans
de réclusion (voir annexe 2).
La procédure
Voici comment casser une clé WEP au moyen du logiciel Aircrack-ng en faisant au plus simple.
Pour des explications supplémentaires, aller sur http://www.aircrack-ng.org, http://forums.remoteexploit.org (en anglais) ou http://fr.remote-exploit.org (en français).
1° Se procurer Aircrack
Aircrack fait partie de Backtrack, un Linux Live qu'on trouve sur http://www.backtrack-linux.org
sous forme d'image ISO (voir annexe 2).
Placer Backtrack dans le lecteur optique et redémarrer l'ordinateur. L'écran ci-dessous apparaît :
Casser une clé WEP ou WPA "
1"
http://www.jaquet.org, mars 2010
Si on souhaite une interface graphique, on tape la commande startx pour lancer KDE, mais,
attention, le clavier est en mode américain. En France et en Belgique, il faut donc taper stqrtx. Au
Canada et en Suisse, c'est startx.
Pour autant qu'on n'ait pas de problème de compatibilité et si on a choisi KDE, on change le
clavier avec un clic droit sur l'icône du drapeau américain dans la barre des tâches en bas à droite.
Terminer cette étape en ouvrant une session terminal. On peut le faire en cliquant sur l'icône d'un
écran noir dans la barre des tâches. La suite des opérations se passe dans le shell. L'invite de
commande apparaît :
2° Déterminer l'interface sans fil à utiliser
Pour afficher les interfaces sans fil de l'ordinateur qu'on utilise, taper la commande iwconfig :
root@bt: # iwconfig
La liste qui apparaît ressemble à ceci :
C'est la dernière interface de la liste qui est la bonne : wlan0. Celles qui sont marquées no wireless
extensions (« pas d'extensions sans fil ») ne nous intéressent pas.
Casser une clé WEP ou WPA "
2"
http://www.jaquet.org, mars 2010
3° Mettre l'interface sans fil en mode monitor
En mode normal, l'interface sans fil ne capture que les paquets qui lui sont adressés. Or, pour être
en mesure de casser la clé, il faut analyser un grand nombre de paquets. Pour cela, on passe la
réception en mode monitor. C'est le mode dans lequel l'interface capture tous les paquets qu'elle
capte et pas seulement ceux qui lui sont destinés. Pour cela, on utilise la commande airmon-ng.
Ouvrir une nouvelle fenêtre et taper :
airmon-ng start wlan0
en remplaçant wlan0 par le nom de l'interface qui s'est affiché quand on a tapé iwconfig.
Taper ensuite :
iwconfig
pour vérifier que l'interface s'est mise en mode monitor. L'indication Mode:Monitor doit remplacer
Mode:Managed.
Une seule interface doit être active. Si ce n'est pas le cas, éteindre les autres interfaces au moyen
de la commande :
airmon-ng stop wlan1
en remplaçant wlan1 par le nom adéquat. Iwconfig permet de vérifier que tout va bien.
4° Lancer la capture des paquets
On lance l'écoute au moyen de la commande airodump-ng. Ouvrir une nouvelle fenêtre et taper :
airodump-ng wlan0
en remplaçant bien entendu wlan0 par le nom de l'interface affiché quand on a tapé iwconfig.
Cette commande affiche tous les réseaux sans-fil captés par l'interface sans fil de l'ordinateur
qu'on utilise. Le résultat ressemble à ceci :
Casser une clé WEP ou WPA "
3"
http://www.jaquet.org, mars 2010
Les onze lignes d'en haut affichent la liste des points d'accès. La première colonne (BSSID) donne
leur adresse MAC, la sixième (CH) le canal qu'il utilisent, la huitième (ENC) leur système de
chiffrement et la dernière (ESSID) leur nom. Les trois lignes d'en bas indiquent les ordinateurs
actifs (appelés stations par airodump-ng).
On arrête la capture avec la combinaison de touches Ctrl-C.
On la relance ensuite en ciblant le réseau à attaquer en indiquant son canal — par exemple 6 —
ainsi que l'adresse MAC du point d'accès (ces informations sont indiquées dans la fenêtre qu'on
vient de voir). Exemple :
airodump-ng --write log -c 6 --bssid 00:36:3f:bc:1b:22 wlan0
en remplaçant comme d'habitude wlan0 par le nom de l'interface et en indiquant la bonne adresse
MAC (où, soit dit en passant, les lettres sont en réalité des chiffres en base 16).
On laisse ensuite cette fenêtre ouverte. Elle va capturer les paquets envoyés par le point d'accès.
5° Vérifier si on est accepté par le point d'accès
Pour vérifier qu'on est accepté par le point d'accès, on ouvre une autre fenêtre terminal et on
utilise la commande aireplay-ng avec les paramètres suivants :
•
•
•
•
-1 0 "
"
"
-e nom-réseau"
"
-a adresse-point-accès"
-h adresse-poste" "
tiret, chiffre 1, espace, chiffre 0 ;
tiret, lettre e, espace, nom du réseau ;
tiret, lettre a, espace, adresse MAC du point d'accès ;
tiret, lettre h, adresse MAC de l'ordinateur qu'on utilise.
La commande ifconfig permet de connaître l'adresse MAC de notre ordinateur, exprimée en
hexadécimal (l'adresse MAC est aussi appelée hardware address ou HWaddr). Si une longue suite
de chiffres s'affiche, seules les six premières paires forment l'adresse.
La commande sera par exemple :
aireplay-ng -1 0 -e Jean -a 00:36:3f:bc:1b:22 -h 00:9a:54:6e:71:4a wlan0
Le -1 (c'est le chiffre 1 et non la lettre L minuscule) spécifie que c'est une demande d'authentification et le chiffre 0 que les demandes doivent se succéder sans observer de délai entre chaque
tentative. Le -e annonce le nom du réseau, qui est par exemple Jean . Attention, Backtrack est une
distribution Linux, il faut respecter la casse (majuscules et minuscules). Le -a est pour l'adresse
MAC du point d'accès et le -h pour celle de la station (de l'ordinateur qu'on est en train d'utiliser).
Le dernier argument est le nom de l'interface de la station.
Remarque : si le point d'accès a été configuré pour accepter seulement les adresses MAC qui
figurent sur une liste blanche, l'authentification ne peut réussir que si on donne à l'ordinateur qu'on
utilise une fausse adresse MAC autorisée (MAC spoofing). Pour cela, on désactive l'interface sans
fil (en remplaçant wlan0 par le nom adéquat) :
ifconfig wlan0 down
On lui attribue une adresse MAC autorisée, qu'on a trouvée par exemple avec airodump-ng :
ifconfig wlan0 hw ether 00:9a:54:6e:71:4a
Casser une clé WEP ou WPA "
4"
http://www.jaquet.org, mars 2010
Puis on relance l'interface :
ifconfig wlan0 up
6° Collecter d'autres paquets
La commande aireplay-ng sert aussi à collecter des paquets. Pour cela, on remplace l'argument -1
0 par -3 :
aireplay-ng -3 -e Jean -a 00:36:3f:bc:1b:22 -h 00:9a:54:6e:71:4a wlan0
La commande affiche quelque chose qui ressemble à ceci :
On laisse ensuite cette fenêtre ouverte pour permettre à la capture de s'effectuer. Dans l'exemple
ci-dessus, on voit qu'on en est à 1384 paquets capturés.
À ce stade, nous avons deux ensembles de paquets qui s'accumulent peu à peu dans deux
fenêtres. Il faut maintenant attendre quelques minutes pour laisser Aircrack-ng collecter les milliers
de paquets dont il a besoin pour parvenir à trouver la clé.
7° Casser la clé WEP
Après quelques minutes, on peut lancer la casse de la clé avec aircrack-ng. Ouvrir une nouvelle
fenêtre et taper :
aircrack-ng -z log*.cap
Le programme recherche la clé. Cela prend de quelques secondes à plusieurs dizaines de
minutes. Voici un exemple (source : http://www.codemonkeynotes.com/?p=8) :
Ici, la clé est Kizza. Le code de ces cinq caractères est 4B, 69, 7A, 7A et 61 (voir annexe 1).
Casser une clé WEP ou WPA "
5"
http://www.jaquet.org, mars 2010
La conclusion est simple : WEP ne constitue pas une protection efficace, même si on la complète
par le filtrage des adresses MAC ou d'autres méthodes.
Casser une clé WPA
La procédure est presque la même pour casser une clé WPA 1 que pour une clé WEP. Un tutoriel :
- http://www.crack-wpa.fr/tutoriel-crack-wpa.php.
C'est surtout la dernière étape qui est différente parce que les clés WPA résistent aux attaques de
type reverse engineering. On les casse par force brute (parcours d'un dictionnaire).
Comme le dictionnaire est la seule méthode pour casser une clé WPA, il faut évidemment éviter
des clés comme 1234 ou admin, qui sont découvertes en une fraction de seconde. Il faut choisir
une clé très particulière qui ne figurera dans aucun dictionnaire et sera donc introuvable.
Malheureusement, dans le monde réel, la plupart des clés WPA ne sont pas bien sécurisées.
Valerie1234! est beaucoup plus répandu que ]%t5-O?0$&Q/{{.
En revanche, une clé WPA 2 est pratiquement impossible à casser pour l'instant.
Autres tutoriels
Quelques tutoriels en français sur Aircrack-ng :
- http://www.crack-wpa.fr/tutoriel-crack-wep-aircrack-ng-backtrack.php
- http://www.tuto-fr.com/tutoriaux/tutorial-crack-wep-aircrack.php
- http://www.zonegeeks.com/tutos/tutos-crack-wep-injection.php.
Un tutoriel en anglais :
- http://lifehacker.com/5305094/how-to-crack-a-wi+fi-networks-wep-password-with-backtrack.
SpoonWep
Il existe aussi un programme qui agit un peu comme une interface graphique pour Aircrack :
SpoonWep de Shamanvirtuel. On évite d'avoir à taper les commandes qu'on vient de voir, mais
certaines des informations qu'il faut donner à SpooneWep sont difficiles à trouver autrement
qu'en... tapant des commandes.
Sur la première fenêtre de Spoonwep version 2 (appelée Spoonwep Settings), il faut donner les
informations suivantes :
• Net Card : interface sans fil de l'ordinateur qu'on utilise. On
obtient par exemple cette information au moyen de la commande
iwconfig.
• Driver : le driver du sans-fil de l'ordinateur qu'on utililse.
• Mode : choisir Unknown victim et cliquer sur Next.
Casser une clé WEP ou WPA "
6"
http://www.jaquet.org, mars 2010
Sur la deuxième fenêtre (Victims Discovery) :
• Chan hopping : scanne tous les canaux.
• Fixed chan : si le canal est connu (on obtient cette information avec airodump-ng), on peut
changer Chan hopping en Fixed chan et indiquer le canal à cibler avec le curseur.
Cliquer ensuite sur Launch pour lancer la recherche. Si le réseau ciblé apparaît dans la liste qui
s'affiche, le sélectionner et cliquer sur Selection OK.
On arrive à la troisième fenêtre (Attack Panel). Choisir la méthode d'attaque, par exemple Replay
attack, et cliquer sur Launch pour la lancer. Après un certain temps, la clé apparaît en rouge en
bas de la fenêtre sous forme hexadécimale (voir annexe 1).
Casser une clé WEP ou WPA "
7"
http://www.jaquet.org, mars 2010
Annexe 1
Cette annexe donne des précisions sur quelques points de la procédure expliquée ci-dessus.
Le calcul du MD5
MD5 indiqué sur le site :
Quand on charge un fichier depuis l'internet, on peut vérifier
que le fichier n'est pas corrompu en utilisant son code MD5
(message-digest algorithm 5). C'est un nombre en hexadécimal
formé d'une trentaine de chiffres, nombre qui est calculé à partir
du fichier concerné.
Pour être sûr que le fichier qu'on a chargé n'a pas été corrompu et est identique à l'original, on
compare le code MD5 indiqué sur le site (voir image ci-dessus) avec celui qu'on recalcule (image
ci-contre). Les deux nombres doivent être identiques.
Pour ce recalcul, tout dépend du système d'exploitation. Sous Linux, avec le fichier de Backtrack,
qui s'appelle bt4-final.iso, c'est :
md5sum bt4-final.iso
MD5 recalculé après le download :
Sous Mac OS, c'est :
md5 bt4-final.iso
Sous Windows, la commande n'existe pas, mais
on trouve des outils créés par des sociétés tierces, par exemple WinMD5Sum de Nullriver (http://
www.nullriver.com).
L'extraction d'une image ISO
Backtrack est une image ISO, ce qui veut dire qu'on grave le DVD au moyen de la fonction Graver
une image ISO et non Copier des fichiers. Les deux opérations sont complètement différentes :
• copier des fichiers revient à créer un second exemplaire de chaque fichier, et ils sont identiques
aux originaux ; ici, on obtiendrait une copie (parfaitement inutile) du fichier bt4-final.iso ;
• graver une image ISO consiste à transformer un fichier ISO unique en une collection de
répertoires 1 et de fichiers (souvent des milliers), collection qui n'a pas la moindre ressemblance
avec le fichier unique original.
Sous Windows 7, faire un clic droit sur l'icône du fichier bt4-final.iso et choisir Graver l'image du
disque.
Sous les autres versions de Windows, le mieux est d'installer un programme tiers. Avec Burnaware
Free (http://www.burnaware.com), c'est l'option Graver une image dans la rubrique Images de
disques. Avec Ashampoo Burning Studio Free (http://download.cnet.com/Ashampoo-BurningStudio-Free/3000-2646_4-10776287.html), c'est Créer/Graver Images Disque puis Graver CD/
DVD/Disque Blu Ray depuis Image Disque.
1
Les répertoires sont appelés « dossiers » par Microsoft.
Casser une clé WEP ou WPA "
8"
http://www.jaquet.org, mars 2010
Sous Mac OS, il y a l'Utilitaire de disque, mais le plus simple est d'utiliser la commande hdiutil :
hdiutil burn bt4-final.iso
Sous Linux, cela dépend de l'interface avec l'utilisateur et du
gestionnaire de fichiers utilisés. Avec le gestionnaire de
fichiers par défaut et Gnome, faire un clic droit sur l'icône du
fichier bt4-final.iso et choisir Ouvrir avec « Gravure de disque ». Avec KDE, c'est Applications →
Multimédia → Gravure de CD et de DVD. Avec Xfce, c'est Applications → Multimédia → Brasero.
Boot sequence
Quand on fait redémarrer l'ordinateur, il arrive que Backtrack ne se lance pas et que l'écran
d'accueil normal s'affiche. Si c'est le cas, aller dans le BIOS et mettre le lecteur de disques
optiques en premier dans la boot sequence (ordre des mémoires lues au démarrage).
Conversion d'ASCII en hexadécimal
Déc
Hex
Nom
Car
Déc
Hex
Car
Déc
Hex
Car
Déc
Hex
Car
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
0
1
2
3
4
5
6
7
8
9
A
B
C
D
E
F
10
11
12
13
14
15
16
17
18
19
1A
1B
1C
1D
1E
1F
Rien (null)
Début d'en-tête
Début de texte
Fin de texte
Fin d'émission
Requête
Accusé de réception
Son (bell)
Effacemnt arrière (backspace)
Tabulation horizontale
À la ligne (line feed)
Tabulation verticale
Page suivante (form feed)
Retour chariot (return)
Car. de code spécial (shift out)
Car. de code normal (shift in)
Ab. liaison (data link escape)
Commande d'appareil 1
Commande d'appareil 2
Commande d'appareil 3
Commande d'appareil 4
Accusé de réception négatif
T. inactivité (synchronous idle)
Fin du bloc de transmission
Annuler (cancel)
Fin du support
Substituer
Abandonner (escape)
Séparateur de fichier
Séparateur de groupe
Séparateur d'enregistrement
Séparateur d'unité
NUL
SOH
STX
ETX
EOT
ENQ
ACK
BEL
BS
HT
LF
VT
FF
CR
SO
SI
DLE
DC1
DC2
DC3
DC4
NAK
SYN
ETB
CAN
EM
SUB
ESC
FS
GS
RS
US
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
20
21
22
23
24
25
26
27
28
29
2A
2B
2C
2D
2E
2F
30
31
32
33
34
35
36
37
38
39
3A
3B
3C
3D
3E
3F
Espace
!
"
#
$
%
&
'
(
)
*
+
,
.
/
0
1
2
3
4
5
6
7
8
9
:
;
<
=
>
?
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
40
41
42
43
44
45
46
47
48
49
4A
4B
4C
4D
4E
4F
50
51
52
53
54
55
56
57
58
59
5A
5B
5C
5D
5E
5F
@
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
[
\
]
^
_
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
60
61
62
63
64
65
66
67
68
69
6A
6B
6C
6D
6E
6F
70
71
72
73
74
75
76
77
78
79
7A
7B
7C
7D
7E
7F
`
a
b
c
d
e
f
g
h
i
j
k
l
m
n
o
p
q
r
s
t
u
v
w
x
y
z
{
|
}
~
DEL
Déc = décimal ; Hex = hexadécimal ; Car = caractère ; Del (delete) = effacement ; Ab. = abandon ; T. inactivité = temps
d'inactivité synchrone.
Casser une clé WEP ou WPA "
9"
http://www.jaquet.org, mars 2010
Annexe 2 : le cadre juridique
Tout accès non autorisé à un système informatique expose la personne à des poursuites civiles,
mais aussi pénales.
En France, ce sont les articles 323-1 à 323-3-1 du Code pénal (http://www.legifrance.gouv.fr) :
En Belgique : « Celui qui, sachant qu'il n'y est pas autorisé, accède à un système informatique ou
s'y maintient, est puni d'un emprisonnement de trois mois à un an et d'une amende de vingt-six
francs à vingt-cinq mille francs ou d'une de ces peines seulement » (art. 550 bis, Code pénal,
http://www.juridat.be).
En Suisse : « Celui qui, sans dessein dʼenrichissement, se sera introduit sans droit, au moyen dʼun
dispositif de transmission de données, dans un système informatique appartenant à autrui et
spécialement protégé contre tout accès de sa part, sera, sur plainte, puni dʼune peine privative de
liberté de trois ans au plus ou dʼune peine pécuniaire » (art. 143 bis, Code pénal, http://
www.admin.ch).
Ces textes s'appliquent dès que la personne est consciente d'avoir accédé à un système non
autorisé. Ni l'intention de nuire, ni même la volonté d'y accéder ne sont nécessaires. Autrement dit,
une personne qui entre dans un système par inadvertance tombe sous le coup de ces dispositions
dès l'instant où elle y reste sans droit.
Par contre, si le réseau n'est pas protégé et qu'il est possible d'y accéder au moyen d'un simple
navigateur, la Cour d'appel de Paris a considéré le 30 octobre 2002 que l'accès n'est pas
répréhensible.
En Belgique, je ne connais pas de décision de jurisprudence en la matière.
En Suisse, le problème est réglé dans la loi puisque l'art. 143 bis s'applique pour autant que le
système attaqué soit « spécialement protégé » contre tout accès non autorisé.
Autrement dit, il faut sécuriser le réseau, ne serait-ce qu'avec une clé WEP, sinon on n'est pas
protégé par le droit (en tout cas en France et en Suisse). C'est une protection insuffisante, mais
c'est une protection puisqu'on ne peut pas la traverser sans utiliser des outils logiciels
spécialement destinés à la casser, ce qui rend ipso facto tout accès non autorisé illégal.
La non-protection d'un système informatique pose un autre problème : la protection des
données, qui découle du droit au respect de la vie privée (article 9 du Code civil français).
En Suisse, elle fait l'objet de la Loi fédérale sur la protection des données (http://www.admin.ch/ch/
f/rs/235_1/index.html).
Casser une clé WEP ou WPA "
10"
http://www.jaquet.org, mars 2010
En Europe, elle fait l'objet d'une directive du Parlement européen et du Conseil (Directive 95/46/
CE du 24 octobre 1995, http://eur-lex.europa.eu) :
Le responsable du traitement de ces données peut donc être rendu responsable d'une fuite s'il n'a
pas pris les précautions nécessaires pour l'empêcher.
En France, le principe est réglé dans la Loi Informatique et libertés (loi n°78-17 relative à
l'informatique, aux fichiers et aux libertés, http://www.legifrance.gouv.fr) : « Le responsable du
traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données
et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment,
empêcher quʼelles soient déformées, endommagées, ou que des tiers non autorisés y aient
accès » (art. 34).
En Belgique, c'est l'article 16 § 4 de la Loi vie privée (loi relative à la protection de la vie privée à
l'égard des traitements de données à caractère personnel, http://www.privacycommission.be/fr/
legislation/national).
En Suisse, c'est l'article 7 de la Loi sur la protection des données.
Casser une clé WEP ou WPA "
11"
http://www.jaquet.org, mars 2010