Capture - Techniques Des Réseaux Informatiques

Les Techniques d'attaques WiFi
Chap 1 : Le protocole WEP & son expoitation
Par Steeve ASENSI
Passionné de Sécurité & nouvelles technologies
1
Prérequis
La suite Kali Linux complète
1 carte Wifi supportant le mode injection
Sommaire
1/ Présentation du protocole WEP & de ses vulnérabilités.
2/ Présentation de la suite aircrack-ng
3/ Cracker une clé WEP AVEC clients
3.1/ Découverte du réseau wifi
3.2/ Association au point d'accès
3.3/ Attaque par rejeu d'ARP
3.4/ Cracker la clé wep
3.5/ A suivre ...
2
Le protocole WEP & ses vulnérabilités
Présentation :
Le WEP (Wired Equivalent Privacy)est un protocole qui permet (en théorie, tout du moins) d’éviter
le eavesdropping (écoute clandestine) en chiffrant les communications.
Il peut être utilisé pendant la phase d’authentification ou encore pour chacune des trames de
données.
Il repose sur l’algorithme à clé symétrique RC4, Le gros avantage est qu’il fournit un niveau de
sécurisation assez élevé, tout en étant implantable de façon logicielle, donc à faible coût.
RC4 est l’un des protocoles de chiffrement les plus utilisés dans le monde.
Deux longueurs de clé WEP peuvent être choisies sur les équipements Wi-Fi :
➢ 64 bits
➢ 128 bits
Vulnérabilités :
Les principales failles du WEP sont essentiellement les suivantes :
•
Les algorithmes de vérification d’intégrité et d’authentification sont très facilement
contournables.
•
Possibilité de construire des dictionnaires fournissant en fonction d’un Vecteur
d'Initialisation, le keystream.
•
L’algorithme de chiffrement RC4 présente des clés faibles et l’espace disponible pour les IV
est trop petit.
•
Une même clé est utilisée pour tout le réseau et les clés de chiffrement sont statiques .
•
Clés courtes 40 bits (5 caractères !!!) ou 104 bits et/ou trop simples (attaque par
dictionnaire)
•
Gestion des clés
Pour plus d'informations sur le mécanisme de fonctionnement du protocole WEP & ses faiblesses,
je vous encourage à consulter ce magnifique ouvrage :
http://repository.root-me.org/R%C3%A9seau/FR%20-%20Wifi%20protocole%20WEP:%20m
%C3%A9canismes%20et%20failles.pdf
3
La suite Aircrack-ng
Historique :
Le 8 août 2004, Korek, un hacker, diffuse sur le forum de Netstumbler l’outil CHOPPER
(celui-ci n’est plus disponible) qui permet de casser la clé WEP, en capturant un nombre réduit
d’IVs, faibles ou non. Il suffit d’environ 150000 trames pour retrouver une clé de 64 bits et de
500000 pour une clé de 128 bits.
Il s’agit d’une attaque par cryptanalyse statistique des données chiffrées.
Des développeurs entreprirent de continuer le travail de Korek.
Rapidement, la suite AIRCRACK (développé par le Français Christophe Devine) apparaît,
combinant l’attaque FMS et celle de Korek.
Il est le premier d’une longue série de logiciels (on peut citer WepLab, Aircrack-ng) démontrant les
failles dues aux collisions des IVs.
Une dizaine de minutes suffisent alors pour retrouver une clé WEP par ces moyens.
Présentation :
La suite d’outils Aircrack est constituée de 3 outils principaux :
•
Airodump (équivalent de Kismet) qui collecte les trames sur le WLAN.
•
Aircrack qui casse les clés WEP.
•
Aireplay qui génère du trafic artificiel afin de diminuer le temps de collecte des trames
chiffrées avec un même IV.
La suite Aircrack-ng repose sur la combinaison de 3 attaques qui ont fait leurs preuves :
➢ Attaque FMS
➢ Attaque Korek
➢ Bruteforce
Les attaques Korek & FMS démontrent les failles du aux collisions des IVs, une dizaine de minutes
suffisent alors pour retrouver la clé WEP par ces moyens.
4
Cracker une clé WEP
(Avec client connecté)
Pour cet exemple, nous allons cracker la clé WEP d'une Livebox. La méthode utiliser est la même
pour toutes les box utilisant le WEP comme sécurité. Nous allons procéder par étapes de manière à
liée la théorie à la pratique.
Découverte du réseau Wifi :
Commençons par activer le mode monitor/injection de notre carte wifi :
➔ airmon-ng start <interface_wifi>
Nous allons scanner le réseau Wifi environnant à la recherche de points d'accés WEP à l'aide
d'airodump-ng & de notre interface wifi mode monitor :
➔ airodump-ng –encrypt wep <interface_monitor>
Nous sélectionnons le point d'accés ciblé en récupérant son BSSID & le canal de diffusion, puis
nous écoutons le trafic que nous allons sauvegarder dans un fichier :
➔ airodump-ng -w <fichier_capture> -c <canal_diffusion> --bssid <adresse_mac_box>
<interface_monitor>
On voit qu'airodump-ng surveille exclusivement notre réseau cible.
En bas, l'ordinateur connecté à la Livebox (le client). La colonne "rxq" indique la qualité du signal
radio (entre 0 et 100), ici avec un rxq à 100 le signal est excellent et le crack devait se dérouler dans
les meilleures conditions.
En se rendant dans le dossier depuis lequel nous avons lancé airodump-ng, nous pouvons voir les 2
fichiers créés:
➔ out-01.cap (le fichier de capture contenant les paquets)
➔ out-01.txt (un fichier log contenant toutes les informations concernant les essids, adresses
mac des points d'accès, stations etc... contenus dans le fichier de capture).
5
Association au point d'accès :
Dans un nouveau terminal, nous allons utiliser aireplay-ng pour vérifier si nous pouvons nous
associer au point d'accès. Ici, les conditions sont optimales pour le crack:
Le signal est excellent et un client est connecté au point d'accès.
Si le signal était moins bon, nous pourrions avoir des difficultés à nous associer au point d'accès.
Il est judicieux de tenter une association avant de se lancer dans l'injection de paquet.
Cela permet de voir si la connectivité est bonne, et cela peut aussi permettre de savoir si un point
d'accès utilise le filtrage par adresse mac.
Petite explication sur le filtrage mac :
Certaines box n'autorisent à s'associer que les clients figurant dans leur liste de clients autorisés.
Pour résumer, si vous n'avez pas une adresse mac valide vous ne pourrez pas communiquer avec le
point d'accès, ce qui rendra le crack et la connection impossible. Sachez que le filtrage mac est
activé par défaut sur les Livebox, mais il est désactivé par défaut sur les routeurs Tecom (Club
Internet). Connaitre les règlages par défaut des box permet bien souvent de savoir à l'avance si un
filtrage mac est activé ou pas.
Les différentes attaques de aireplay-ng sont:
--deauth count : deauthenticate 1 or all stations (-0)
--fakeauth delay : fake authentication with AP (-1)
--interactive : interactive frame selection (-2)
--arpreplay : standard ARP-request replay (-3)
--chopchop : decrypt/chopchop WEP packet (-4)
--fragment : generates valid keystream (-5)
--caffe-latte : query a client for new IVs (-6)
--cfrag : fragments against a client (-7)
--test : tests injection and quality (-9)
Notre commande pour l'attaque (association & authentification) sera:
➔ aireplay-ng -1 0 -e <nom_box> -a <adresse_mac_box> -b <adresse_mac_box> -h
<adresse_mac_client> <interface_monitor>
6
Attaque par rejeu d'ARP :
Les anciennes versions de la suite aircrack-ng permettaient de cracker une clé WEP avec 1 millions
d'Ivs, entre la capture, l'injection et le crack il fallait bien souvent pas loin d'une heure pour cracker
le réseau.
La version actuelle de la suite aircrack-ng utilise l'algorithme "PTW" qui permet de cracker un
réseau WEP 128 bits avec à peine 45000 datas.
Cependant, l'algoritme PTW n'utilise pas les Ivs, mais les arp pour le crack.
C'est la raison pour laquelle l'attaque par rejeu d'arp est la solution la plus performante et la plus
rapide pour cracker une clé WEP.
Notre commande pour l'attaque (rejeu d'arp) sera:
➔ aireplay-ng -3 -e <nom_box> -a <adresse_mac_box> -b <adresse_mac_box> -h
<adresse_mac_client> -x <nbres_paquet_injecter/sec> -r <fichier_capture.cap>
<interface_monitor>
Une fois l'attaque lancée, on peut voir en bas le nombre d'arp requests (requetes arp) contenus dans
notre fichier de capture. A partir de 40000 arp, il est possible de cracker une clé WEP 128 bits.
Les requetes arp sont également sauvegardées dans un fichier appelé replay-arp-date-heure.cap.
Retournons dans notre shell airodump-ng pour découvrir ce qu'il se passe. On peut y voir les effets
de notre attaque:
➔ La colonne "Data" augmente, ce qui signifie que le fichier de capture contient des Ivs.
➔ La colonne "#/s" indique un nombre « n », ce qui signifie que nous captons « n »
datas/seconde
Information :
Quelques minutes de patience s'imposent, une fois que les datas et arp commencent à atteindre un
nombre intéressant (10000 arp pour une clé WEP 64 bits, 40000 arp pour une clé WEP 128 bits)
nous pouvons ouvrir un nouveau shell et lancer aircrack-ng pour cracker la clé WEP du réseau.
7
Craquer la clé WEP avec aircrack-ng
Aircrack-ng est très simple d'utilisation.
usage:
➔ aircrack-ng [options] <.cap / .ivs file(s)>
En tapant aircrack-ng dans le shell vous découvrirez les différentes options disponibles.
Pour ce type de crack, la commande est basique:
➔ aircrack-ng nom-du-fichier-de-capture
Dans notre exemple:
➔ aircrack-ng out-01.cap
Conclusion :
Assez rapidement (on peut le voir sur le compteur, cela n'a pris que quelques petites minutes pour
venir à bout de la clé 128 bits) ...
C'est ainsi que ce premier chapitre sur les techniques d'attaques WiFi touche à sa fin,
J'espère que ce programme vous aura plus & vous aura permis appréhender de nouvelles
connaissances.
A suivre …
Dans le numéro suivant, vous découvrirez comment cracker une clé WEP sans clients connecté au
point d'accés WiFi ! avec comme seule aide les techniques d'attaques ChopChop & Fragmentation.
Alors ne loupez pas ce prochain épisode très instructif & à bientôt !
8