Vous êtes sur la page 1sur 98

Kondah Hamza

Consultant et Formateur en Cybersécurité


Microsoft MVP en Sécurité des Entreprises
CEO de Nuxia Technologies
Formateur Alphorm.com
"Si j'avais huit heures pour abattre un arbre, je passerais
six heures à affûter ma hache."
- Abraham Lincoln, 16ème président américain
▪ Près de 120 000 cyberattaques ont lieu chaque jour dans le monde.

▪ (78,9 millions (2018) ; 138 milles (2004) contre 252 en 1990)

▪ Depuis l’évolution du piratage informatique, vers des attaques très structurées, ayant
pour finalité un gain financier
▪ 2018 : Pertes liées au piratage informatique estimées à 0,9 % du PIB mondial (entre 400
et 575 milliards de dollars!)
▪ Le cybercrime extrait 15 à 30 % de l’économie mondiale du Net de 3 trillions de dollars

▪ Périphériques de plus en plus connectés

▪ Ouverture complète au net ➔ Aucune notion de sécurité native/by-design ni lois !

▪ Le problème = L’ interconnexion des réseaux …


▪ Le Wardriving consiste à parcourir tous les lieux où la Wifi est déployée, muni d'un
ordinateur doté d'une carte Wifi et d'un récepteur GPS (Global Positioning System)
afin de découvrir toutes les bornes Wifi existantes (votre " box " Wifi) et de noter
l'adresse géographique (longitude - latitude) où elle sont trouvées.
▪ Un test d'exposition consiste à énumérer tous les actifs présents sur le
réseau public d'une organisation.
▪ Celui-ci permet d'avoir une vue globale de l'empreinte numérique visible
par un attaquant.
▪ La volatilité des infrastructures informatiques et des informations
numériques fait qu'il est parfois difficile d'évaluer pleinement la surface
d'exposition et d'attaque d'une organisation
Conexus Radio Frequency Telemetry Protocol
▪ Les deux principaux vecteurs d’intrusion sur les systèmes d’information sont les
attaques externes (depuis Internet) et internes (par un individu malveillant accédant
au réseau interne).
▪ La généralisation des accès sans fil offre toutefois de nouvelles pistes aux attaquants,
qui peuvent mener des intrusions internes sans accès physique aux systèmes ciblés.

▪ Le test d’intrusion Wi-Fi est réalisé sur site afin de mesurer le niveau de risque
associé à l’infrastructure sans-fil déployée.
▪ Qu’il s’agisse d’un point d’accès unique ou d’une configuration Wi-Fi complexe,
l’objectif est d’identifier les faiblesses qui pourraient profiter à un individu
malveillant à proximité des locaux du client.
▪ Les tests d'intrusion Red Team ont pour but d'évaluer la sécurité globale d'une
entreprise en mettant à l'épreuve ses différents moyens de protection, qu'ils soient
physiques, humains, organisationnels et informatiques.
▪ Cette prestation se déroule sur une période large de plusieurs semaines.
▪ Comme une véritable attaque ciblée, celle-ci se déroule en plusieurs phases
soigneusement préparées et pouvant atteindre tous les actifs de l'entreprise :

▪ Intrusion physique dans les locaux.


▪ Ingénierie sociale contre les employés.
▪ Intrusion via des vulnérabilités réseau ou système.
▪ Exploitation de failles dans les applications.

▪ Plusieurs intérêts à cette prestation :

▪ Évaluer le niveau de sécurité de votre système d'information de manière générale


▪ Évaluer les actions de votre équipe sécurité (votre blue team), ou de votre SOC, face à la
détection d'intrusions, quelle qu'elle soit.
Attaque ciblée Attaque classique

▪ Grand impact sur la cible. ▪ Impact faible ou moyen.

▪ Basée sur une stratégie et une ▪ La cible est découverte d’une


cible bien déterminée. façon opportuniste.

▪ Avec de très bonnes ▪ Variation des compétences


compétences techniques. (d’un script kiddie au hacker).

▪ Utilisation de techniques ▪ Les systèmes ciblés sont


sophistiquées et furtivité. souvent non ou partiellement
patchés.
▪ Le gain financier ou industriel
n’est pas immédiat. ▪ Le gain rapide.

▪ Le coût est non-négligeable. ▪ Recherche de la


reconnaissance.
▪ Périmètre à le porté du hacker
▪ Problématique des réseaux sans fil
▪ Erreurs de configuration récurrentes
▪ Comment contrôler la distance d’émission ?
▪ Accès physique
▪ Non vérification de l’accès physique.
▪ Un employé mal intentionné est plus dangereux qu’un hacker pour une
entreprise.

▪ Supports/Hardware infectés

▪ Attaques réseaux
▪ Découverte de partages réseau.
▪ Man In The Middle (MITM).
▪ Accès persistant au réseau.
▪ Le Social engineering est la pratique d'obtention d'informations critiques en
exploitant la faille humaine
▪ Art Of Deception
▪ Vitale pour les pentesteur dans le sens ou il y a un manque d'information
concernant la cible
▪ L‘être humain = Le maillon faible dans la ligne de défense de l'entreprise/cible
▪ La couche la plus vulnérable dans une infrastructure
▪ En tant qu‘être social, cela nous rend automatiquement vulnérable à des attaques
de social engineering
▪ Plusieurs vecteurs d'attaque
Pre-
engagement Reporting
interactions

Intelligence Post
gathering exploitation

Vulnerability
Exploitation
analysis
CVE CVSS Mitre
▪ IEEE 802.11 est un ensemble de normes concernant les réseaux sans fil locaux (le Wi-Fi)
▪ Il a été mis au point par le groupe de travail du comité de normalisation LAN/MAN de
l'IEEE (IEEE 802).
▪ Le terme IEEE 802.11 est également utilisé pour désigner la norme d'origine 802.11
▪ Chaque périphérique WiFi représente un transmetteur
▪ C’est-à-dire qu’il peut transmettre TX et recevoir RX des ondes
▪ Chaque périphériques possède ses propres spécifiés
▪ L’utilisation d’applications tierces peuvent entraver le processus
▪ Atheros représente une excellente chipset + quelques produits Realtek & RaLink
▪ L’interfaçage se fait en mode PCI
▪ Cas spécial : les SoC (System On a Chip)
Multipoint-
Point-To- Point-To-
To-
Point Muti-Point
Multipoint
Monitor
Master Managed
(RFMON)
▪ Le spectre radio est divisé en différent canaux
▪ Au niveau des spectres 2.4 Ghz , il existe 14canaux
▪ Overlapping au niveau des canaux 1,6 et 11 et 14
▪ Les canaux dépendant des régions
▪ Amérique du nord 1 a 11 (légal) & Europe 1-13
▪ Le cas 5ghz
▪ Réseaux sans fils
▪ Complexité
▪ Politique allocation (spectre)
▪ Niveau de puissance
▪ USA ➔ FCC
• Régulation
• Changer ces paramètres ➔ Contre la lois !!
Association Association Reassociation
Authentication Deauthentication
request response request

Reassociation Probe response


Disassociation Beacon Probe request
response
Acknowledgement
Request to Send Clear to Send
(ACK)
(RTS) (CTS)
Point d accès Wi-Fi

Victime
Analyseur de paquets
Le dépannage et l'analyse de réseaux
informatiques
Le développement de protocoles
L'éducation et la rétro-ingénierie
Gère plus de 1300 protocoles
Filtres Filtres de
d’affichage captures
Wireshark permet de créer des profils à chaque
scénario spécifique
On peut associer chaque profil peut être associé
:
• Paramètres et réglages
• Des filtres de captures
• Des filtres d’affichage
• Règles de coloration
▪ SSID caché ➔ HSSID
▪ Le but ?
▪ Faux sentiment de sécurité
▪ Beacon frames
▪ Découverte facile
▪ Le plus grand risque : Se faire détecter par la cible
▪ La cible peut vous identifier à chaque moment
▪ Il existe des techniques de camouflage pour éviter
▪ Les recherches initiales doivent se baser principalement sur les personnes et Business
liées à la cible
▪ Base du Pentesteur
▪ Analyser tous les aspects
▪ Plus grande surface d’attaque

«Connaitre son ennemi » Sun Tzu, L’art de la guerre


▪ Filtres MAC
▪ Très ancienne technique basée sur le filtrage des adresses MAC du
client
▪ Code d’identification assigné à l’interface réseau
▪ Le routeur est capable de vérifier cette dernière et la comparer à une
Access List
▪ Bypassable ☺
▪ WEP (Wired Equivalent Privacy ou Protection Equivalente au Filare)
▪ Clé d’une longueur de 64 à 256 bits dont 24 ne sont pas utilisés pour le
▪ chiffrement.
▪ Cela fait une clé, si on la compare à un mot, d’une longueur de 5 à 29
▪ caractères.
▪ La majorité des clés sont composées de 13 caractères.
▪ Faille algorithme
▪ Doit être initialisée à chaque échange pour ne pas utiliser deux fois la même clé
▪ une partie de la clé (les 24 bits en question) est utilisée
▪ comme élément d’initialisation (vecteur d’initialisation) et celui-ci n’est pas chiffré.
▪ KRACK Attack qui repose sur une faille d’implémentation
▪ PMKID ☺
▪ Les attaques utilisant WPS (https://en.wikipedia.org/wiki/Wi-Fi_Protected_Setup),
consistant à deviner un PIN ou utiliser un PIN par défaut afin de récupérer la clé PSK (le mot
de passe du point d’accès) et de s’y connecter
▪ Les attaques basées sur l’interception de trafic sans-fils et permettant d’injecter des
paquets de manière arbitraire
▪ L’attaque la plus commune ➔ applicable à tous les réseaux WPA/WPA2 : la capture d’un
challenge, permettant de recouvrer le mot de passe à partir d’une liste type dictionnaire ou
brute-force
▪ l’attaque consiste à capturer un échange complet EAPOL (composé de 4 échanges),
contenant de quoi recomposer un élément appelé PTK (Pairwise-Transient-Key), qui peut
enfin être utilisé comme élément de comparaison à partir d’une liste de mot de passe.

https://www.ssl247.fr/entreprise/blog/nouvelle-
attaque-wpa-wpa2
▪ l’attaque consiste à capturer un échange complet EAPOL (composé de 4 échanges),
contenant de quoi recomposer un élément appelé PTK (Pairwise-Transient-Key), qui peut
enfin être utilisé comme élément de comparaison à partir d’une liste de mot de passe.

https://www.ssl247.fr/entreprise/blog/nouvelle-
attaque-wpa-wpa2
https://www.ssl247.fr/entreprise/blog/nouvelle-
attaque-wpa-wpa2
https://www.ssl247.fr/entreprise/blog/nouvelle-
attaque-wpa-wpa2
Capturer ce fameux PMKID
Utiliser les éléments d’un dictionnaire pour calculer, tour à tour :
Un PMK correspondant à chaque mot de passe
Un PMKID correspondant à chaque PMK calculé
Pour chaque PMKID calculé, celui-ci sera comparé au PMKID capturé, jusqu’à ce que nous ayons un
« match »
Le standard 802.1X a été mis au point par l’IEEE en juin 2001
Il a pour but d’authentifier un client (en filaire ou en WiFi) afin de
lui autoriser l’accès à un réseau
On utilise le protocole EAP (Extensible Authentication Protocol) et
un serveur d’authentification qui est généralement un serveur
RADIUS
Le serveur RADIUS va authentifier chaque client qui se connecte
au réseau sur un port
Client RADIUS

Port non contrôlé


Serveur radius

Client
Réseau
Port contrôlé
Client RADIUS

Port non contrôlé


Serveur radius

Client
Réseau
Port contrôlé
Le protocole Extended Authentication Protocol sert pour le
transport des données nécessaires à l’authentification
Ce protocole est extensible, car on peut définir de nouvelles
méthodes d’authentification, car il est indépendant de la méthode
utilisée
EAP-MD5 : Authentification avec un mot de passe
EAP-TLS : Authentification avec un certificat électronique
EAP-TTLS : Authentification avec n’importe quelle méthode
d’authentification, au sein d’un tunnel TLS
EAP-PEAP : Authentification avec n’importe quelle méthode
d’authentification EAP, au sein d’un tunnel TLS
TYPE D'EAP Méthode d'authentification Caractèristique

Facile à implémenter

Supporté par la plupart des serveurs


EAP-MDS login / password
Attaquable par dictionnaire hors-ligne
Pas d'authentification mutuelle

Utilisation de certificats par le client et le serveur , de ce fait création d'un tunnel sur

EAP-TLS certificat Authentification mutuelle entre le client et serveur

Lourd à mettre en place à cause des certificats coté client

Création d'un tunnel TLS

EAP-PEAP EAP-TTLS login / password et certificat Moins lourd que EAP-TLS , car pas de certificat du côté client

Moins sur que EAP-TLS , car pas de certificat du côté client


Le protocole
Ce protocole se situe au-dessus de la couche de transport UDP, sur les ports 1812 et 1813
Pour l’authentification il y a quatre types de paquets :

• Envoyé par le contrôleur d’accès, contenant les informations sur le client (login/mot de
Access-Request
passe,...)

Access-Accept • Envoyé par le serveur dans le cas où l’authentification est un succès

• Envoyé par le serveur dans le cas où l’authentification est un échec, ou si il souhaite fermer la
Access-Reject
connexion

• Envoyé par le serveur pour demander des informations complémentaires, et donc la


Access-Challenge
réémission d’un paquet Access-Request
Les types de paquets de base :
EAP Request : Envoyé par le contrôleur d’accès au client
EAP Response : Réponse du client au contrôleur d’accès
EAP Success : Paquet envoyé au client en fin d’authentification si elle est
réussie
EAP Failure : Paquet envoyé au client en fin d’authentification si elle est ratée
• Hostapd-wpe /etc/hostapd-wpe/hostapd-wpe.conf
• asleap -C 'd6:ff:33:73:aa:35:3f:3b' -R
'4e:45:c7:ba:b0:93:d7:01:1e:9b:3a:5d:f7:d9:fa:88:21:2b:ea:c5:ac:9c:8c:47' -W
~/Downloads/rockyou.txt
• Avec hashcat ➔ username::::response:challenge
• ./hashcat -m 5500 -a 0 a.1 ~/Downloads/rockyou.txt