1

Crack WPA/WPA2 Wireless

Cette expérience a été réalisée avec mon collaborateur Yoann Rodin. Je tiens à préciser en toute
légalité car cela a été fait sur mon réseau local. Le but était de comprendre comment il est possible
de récupérer la clé WPA d’une box internet. Ceci a été réalisé avec la distribution Linux Kali qui
permet de tester la sécurité de son réseau.

1) Passage en mode monitor

Le passage en mode monitor va permettre d’écouter les réseaux wifi.

# airmon-ng start interface_wifi

2) Airodump-ng : l’écoute des réseaux

L’outil airodump-ng permet d’écouter les réseaux wifi et d’enregistrer les paquets dans un
fichier de capture.

# airodump-ng interface_wifi

# airodump-ng –w nom_fichier --encrypt wpa –c n°canal --bssid MAC_Routeur mon0

3) Airplay-ng : l’attaque active

L’outil airplay-ng permet de forcer la déconnexion du client et capturer le handshake lorsqu’il

se reconnecte.
Le handshake : le protocole WPA utilise un « 4 Way HandShake » pour pouvoir démarrer une
communication sécurisée entre un client et un point d’accès.
En effet, c’est le seul moment dans la communication où ils s’échangent des informations
pour pouvoir se connecter avec succès et c’est la partie la plus importante du protocole.

# airplay-ng -0 0 –a MAC_Routeur –c MAC_Client mon0

# airplay-ng -0 0 –a MAC_Routeur mon0

25/03/2014 1
 2

4) Aircrack-ng : le bruteforce du handshake

Bruteforce : attaque en essayant toutes les clés possible une par une.
Pour cela, il faut télécharger des dictionnaires de mots de passes. Le dictionnaire va
comparer tous les MDP qu’il contient avec le fichier de capture où se trouve la clé WPA.

# aircrack-ng –w nom_fichier_dictionnaire nom_fichier_capture

Voici à quoi ressemble l’écran lorsque la clé est trouvée :

-c  permet de cibler un canal

--encrypt  permet de cibler selon l’encryptage des réseaux

-w  spécifie le nom du fichier de capture qui sera créé

--bssid  permet de cibler l’attaque sur un seul point d’accès

-0  signifie une attaque de déauthentification

0  délai de l’attaque

RXQ  qualité du signal radio (bonne si >50)

25/03/2014 2
 3

Après quelques bidouilles nous avons réussi à subtiliser la clé WPA de ma box. En effet, la recherche
de la clé avec l’attaque de bruteforce est très longue car les dictionnaires peuvent contenir
énormément de clés (plusieurs dizaines de Go) sans aucune assurance de résultat. Cela dépend aussi
de la capacité de calcul de la machine. Nous avons donc mis la clé WPA du routeur dans les premiers
termes du dictionnaire et relancer l’attaque de bruteforce. Après quelques minutes la clé est apparue
comme sur la capture d’écran ci-dessus. Il est donc possible de subtiliser des clés WPA mais c’est très
aléatoire et il faut avoir beaucoup de chance car les possibilités de clé sont quasiment infinies.

Pour plus de précisions, regarder ce tutoriel : http://www.coyotus.com/viewtopic.php?id=225

25/03/2014 3