Sécurité

Casser une clé WEP ou WPA

Les réseaux sans fil posent de sérieux problèmes de

Casser le mot de passe de Windows
sécurité. Pour une entreprise, il est impératif de protéger le
réseau. Mettre en place un chiffrement WEP (wired Casser une clé WEP ou WPA
equivalent privacy) ne suffit pas et le recours à WPA (Wi-Fi
protected access) n'améliore les choses que si l'on choisit Analyser la sécurité d'un ordinateur
une clé longue et compliquée (mélange de majuscules, de
minuscules, de chiffres et d'autres signes).

Attention, il faut avoir l'autorisation expresse du propriétaire du réseau pour l'attaquer. Sinon, on
risque des poursuites civiles ou pénales et les sanctions peuvent être lourdes — jusqu'à trois ans
de réclusion (voir annexe 2).

La procédure

Voici comment casser une clé WEP au moyen du logiciel Aircrack-ng en faisant au plus simple.
Pour des explications supplémentaires, aller sur http://www.aircrack-ng.org, http://forums.remote-
exploit.org (en anglais) ou http://fr.remote-exploit.org (en français).

1° Se procurer Aircrack

Aircrack fait partie de Backtrack, un Linux Live qu'on trouve sur http://www.backtrack-linux.org
sous forme d'image ISO (voir annexe 2).

Placer Backtrack dans le lecteur optique et redémarrer l'ordinateur. L'écran ci-dessous apparaît :

Casser une clé WEP ou WPA " 1" http://www.jaquet.org, mars 2010
Si on souhaite une interface graphique, on tape la commande startx pour lancer KDE, mais,
attention, le clavier est en mode américain. En France et en Belgique, il faut donc taper stqrtx. Au
Canada et en Suisse, c'est startx.
Pour autant qu'on n'ait pas de problème de compatibilité et si on a choisi KDE, on change le
clavier avec un clic droit sur l'icône du drapeau américain dans la barre des tâches en bas à droite.
Terminer cette étape en ouvrant une session terminal. On peut le faire en cliquant sur l'icône d'un
écran noir dans la barre des tâches. La suite des opérations se passe dans le shell. L'invite de
commande apparaît :

2° Déterminer l'interface sans fil à utiliser

Pour afficher les interfaces sans fil de l'ordinateur qu'on utilise, taper la commande iwconfig :
root@bt: # iwconfig

La liste qui apparaît ressemble à ceci :

C'est la dernière interface de la liste qui est la bonne : wlan0. Celles qui sont marquées no wireless
extensions (« pas d'extensions sans fil ») ne nous intéressent pas.

Casser une clé WEP ou WPA " 2" http://www.jaquet.org, mars 2010
3° Mettre l'interface sans fil en mode monitor

En mode normal, l'interface sans fil ne capture que les paquets qui lui sont adressés. Or, pour être
en mesure de casser la clé, il faut analyser un grand nombre de paquets. Pour cela, on passe la
réception en mode monitor. C'est le mode dans lequel l'interface capture tous les paquets qu'elle
capte et pas seulement ceux qui lui sont destinés. Pour cela, on utilise la commande airmon-ng.

Ouvrir une nouvelle fenêtre et taper :

airmon-ng start wlan0

en remplaçant wlan0 par le nom de l'interface qui s'est affiché quand on a tapé iwconfig.
Taper ensuite :

iwconfig

pour vérifier que l'interface s'est mise en mode monitor. L'indication Mode:Monitor doit remplacer
Mode:Managed.

Une seule interface doit être active. Si ce n'est pas le cas, éteindre les autres interfaces au moyen
de la commande :

airmon-ng stop wlan1

en remplaçant wlan1 par le nom adéquat. Iwconfig permet de vérifier que tout va bien.

4° Lancer la capture des paquets

On lance l'écoute au moyen de la commande airodump-ng. Ouvrir une nouvelle fenêtre et taper :

airodump-ng wlan0
en remplaçant bien entendu wlan0 par le nom de l'interface affiché quand on a tapé iwconfig.

Cette commande affiche tous les réseaux sans-fil captés par l'interface sans fil de l'ordinateur
qu'on utilise. Le résultat ressemble à ceci :

Casser une clé WEP ou WPA " 3" http://www.jaquet.org, mars 2010
Les onze lignes d'en haut affichent la liste des points d'accès. La première colonne (BSSID) donne
leur adresse MAC, la sixième (CH) le canal qu'il utilisent, la huitième (ENC) leur système de
chiffrement et la dernière (ESSID) leur nom. Les trois lignes d'en bas indiquent les ordinateurs
actifs (appelés stations par airodump-ng).

On arrête la capture avec la combinaison de touches Ctrl-C.

On la relance ensuite en ciblant le réseau à attaquer en indiquant son canal — par exemple 6 —
ainsi que l'adresse MAC du point d'accès (ces informations sont indiquées dans la fenêtre qu'on
vient de voir). Exemple :
airodump-ng --write log -c 6 --bssid 00:36:3f:bc:1b:22 wlan0

en remplaçant comme d'habitude wlan0 par le nom de l'interface et en indiquant la bonne adresse
MAC (où, soit dit en passant, les lettres sont en réalité des chiffres en base 16).

On laisse ensuite cette fenêtre ouverte. Elle va capturer les paquets envoyés par le point d'accès.

5° Vérifier si on est accepté par le point d'accès

Pour vérifier qu'on est accepté par le point d'accès, on ouvre une autre fenêtre terminal et on
utilise la commande aireplay-ng avec les paramètres suivants :
• -1 0 " " " tiret, chiffre 1, espace, chiffre 0 ;
• -e nom-réseau" " tiret, lettre e, espace, nom du réseau ;
• -a adresse-point-accès" tiret, lettre a, espace, adresse MAC du point d'accès ;
• -h adresse-poste" " tiret, lettre h, adresse MAC de l'ordinateur qu'on utilise.

La commande ifconfig permet de connaître l'adresse MAC de notre ordinateur, exprimée en

hexadécimal (l'adresse MAC est aussi appelée hardware address ou HWaddr). Si une longue suite
de chiffres s'affiche, seules les six premières paires forment l'adresse.

La commande sera par exemple :

aireplay-ng -1 0 -e Jean -a 00:36:3f:bc:1b:22 -h 00:9a:54:6e:71:4a wlan0

Le -1 (c'est le chiffre 1 et non la lettre L minuscule) spécifie que c'est une demande d'authentifi-
cation et le chiffre 0 que les demandes doivent se succéder sans observer de délai entre chaque
tentative. Le -e annonce le nom du réseau, qui est par exemple Jean . Attention, Backtrack est une
distribution Linux, il faut respecter la casse (majuscules et minuscules). Le -a est pour l'adresse
MAC du point d'accès et le -h pour celle de la station (de l'ordinateur qu'on est en train d'utiliser).
Le dernier argument est le nom de l'interface de la station.

Remarque : si le point d'accès a été configuré pour accepter seulement les adresses MAC qui
figurent sur une liste blanche, l'authentification ne peut réussir que si on donne à l'ordinateur qu'on
utilise une fausse adresse MAC autorisée (MAC spoofing). Pour cela, on désactive l'interface sans
fil (en remplaçant wlan0 par le nom adéquat) :

ifconfig wlan0 down

On lui attribue une adresse MAC autorisée, qu'on a trouvée par exemple avec airodump-ng :
ifconfig wlan0 hw ether 00:9a:54:6e:71:4a

Casser une clé WEP ou WPA " 4" http://www.jaquet.org, mars 2010
Puis on relance l'interface :

ifconfig wlan0 up

6° Collecter d'autres paquets

La commande aireplay-ng sert aussi à collecter des paquets. Pour cela, on remplace l'argument -1
0 par -3 :
aireplay-ng -3 -e Jean -a 00:36:3f:bc:1b:22 -h 00:9a:54:6e:71:4a wlan0

La commande affiche quelque chose qui ressemble à ceci :

On laisse ensuite cette fenêtre ouverte pour permettre à la capture de s'effectuer. Dans l'exemple
ci-dessus, on voit qu'on en est à 1384 paquets capturés.
À ce stade, nous avons deux ensembles de paquets qui s'accumulent peu à peu dans deux
fenêtres. Il faut maintenant attendre quelques minutes pour laisser Aircrack-ng collecter les milliers
de paquets dont il a besoin pour parvenir à trouver la clé.

7° Casser la clé WEP

Après quelques minutes, on peut lancer la casse de la clé avec aircrack-ng. Ouvrir une nouvelle
fenêtre et taper :

aircrack-ng -z log*.cap

Le programme recherche la clé. Cela prend de quelques secondes à plusieurs dizaines de

minutes. Voici un exemple (source : http://www.codemonkeynotes.com/?p=8) :

Ici, la clé est Kizza. Le code de ces cinq caractères est 4B, 69, 7A, 7A et 61 (voir annexe 1).

Casser une clé WEP ou WPA " 5" http://www.jaquet.org, mars 2010
La conclusion est simple : WEP ne constitue pas une protection efficace, même si on la complète
par le filtrage des adresses MAC ou d'autres méthodes.

Casser une clé WPA

La procédure est presque la même pour casser une clé WPA 1 que pour une clé WEP. Un tutoriel :
- http://www.crack-wpa.fr/tutoriel-crack-wpa.php.
C'est surtout la dernière étape qui est différente parce que les clés WPA résistent aux attaques de
type reverse engineering. On les casse par force brute (parcours d'un dictionnaire).
Comme le dictionnaire est la seule méthode pour casser une clé WPA, il faut évidemment éviter
des clés comme 1234 ou admin, qui sont découvertes en une fraction de seconde. Il faut choisir
une clé très particulière qui ne figurera dans aucun dictionnaire et sera donc introuvable.
Malheureusement, dans le monde réel, la plupart des clés WPA ne sont pas bien sécurisées.
Valerie1234! est beaucoup plus répandu que ]%t5-O?0$&Q/{{.
En revanche, une clé WPA 2 est pratiquement impossible à casser pour l'instant.

Autres tutoriels

Quelques tutoriels en français sur Aircrack-ng :

- http://www.crack-wpa.fr/tutoriel-crack-wep-aircrack-ng-backtrack.php
- http://www.tuto-fr.com/tutoriaux/tutorial-crack-wep-aircrack.php
- http://www.zonegeeks.com/tutos/tutos-crack-wep-injection.php.

Un tutoriel en anglais :
- http://lifehacker.com/5305094/how-to-crack-a-wi+fi-networks-wep-password-with-backtrack.

SpoonWep

Il existe aussi un programme qui agit un peu comme une interface graphique pour Aircrack :
SpoonWep de Shamanvirtuel. On évite d'avoir à taper les commandes qu'on vient de voir, mais
certaines des informations qu'il faut donner à SpooneWep sont difficiles à trouver autrement
qu'en... tapant des commandes.

Sur la première fenêtre de Spoonwep version 2 (appelée Spoonwep Settings), il faut donner les
informations suivantes :
• Net Card : interface sans fil de l'ordinateur qu'on utilise. On
obtient par exemple cette information au moyen de la commande
iwconfig.
• Driver : le driver du sans-fil de l'ordinateur qu'on utililse.
• Mode : choisir Unknown victim et cliquer sur Next.

Casser une clé WEP ou WPA " 6" http://www.jaquet.org, mars 2010
Sur la deuxième fenêtre (Victims Discovery) :
• Chan hopping : scanne tous les canaux.
• Fixed chan : si le canal est connu (on obtient cette information avec airodump-ng), on peut
changer Chan hopping en Fixed chan et indiquer le canal à cibler avec le curseur.

Cliquer ensuite sur Launch pour lancer la recherche. Si le réseau ciblé apparaît dans la liste qui
s'affiche, le sélectionner et cliquer sur Selection OK.

On arrive à la troisième fenêtre (Attack Panel). Choisir la méthode d'attaque, par exemple Replay
attack, et cliquer sur Launch pour la lancer. Après un certain temps, la clé apparaît en rouge en
bas de la fenêtre sous forme hexadécimale (voir annexe 1).

Casser une clé WEP ou WPA " 7" http://www.jaquet.org, mars 2010
 Annexe 1

Cette annexe donne des précisions sur quelques points de la procédure expliquée ci-dessus.

Le calcul du MD5
MD5 indiqué sur le site :
Quand on charge un fichier depuis l'internet, on peut vérifier
que le fichier n'est pas corrompu en utilisant son code MD5
(message-digest algorithm 5). C'est un nombre en hexadécimal
formé d'une trentaine de chiffres, nombre qui est calculé à partir
du fichier concerné.
Pour être sûr que le fichier qu'on a chargé n'a pas été corrompu et est identique à l'original, on
compare le code MD5 indiqué sur le site (voir image ci-dessus) avec celui qu'on recalcule (image
ci-contre). Les deux nombres doivent être identiques.

Pour ce recalcul, tout dépend du système d'exploitation. Sous Linux, avec le fichier de Backtrack,
qui s'appelle bt4-final.iso, c'est :
md5sum bt4-final.iso
MD5 recalculé après le download :
Sous Mac OS, c'est :
md5 bt4-final.iso

Sous Windows, la commande n'existe pas, mais

on trouve des outils créés par des sociétés tierces, par exemple WinMD5Sum de Nullriver (http://
www.nullriver.com).

L'extraction d'une image ISO

Backtrack est une image ISO, ce qui veut dire qu'on grave le DVD au moyen de la fonction Graver
une image ISO et non Copier des fichiers. Les deux opérations sont complètement différentes :
• copier des fichiers revient à créer un second exemplaire de chaque fichier, et ils sont identiques
aux originaux ; ici, on obtiendrait une copie (parfaitement inutile) du fichier bt4-final.iso ;
• graver une image ISO consiste à transformer un fichier ISO unique en une collection de
répertoires 1 et de fichiers (souvent des milliers), collection qui n'a pas la moindre ressemblance
avec le fichier unique original.

Sous Windows 7, faire un clic droit sur l'icône du fichier bt4-final.iso et choisir Graver l'image du
disque.

Sous les autres versions de Windows, le mieux est d'installer un programme tiers. Avec Burnaware
Free (http://www.burnaware.com), c'est l'option Graver une image dans la rubrique Images de
disques. Avec Ashampoo Burning Studio Free (http://download.cnet.com/Ashampoo-Burning-
Studio-Free/3000-2646_4-10776287.html), c'est Créer/Graver Images Disque puis Graver CD/
DVD/Disque Blu Ray depuis Image Disque.

1 Les répertoires sont appelés « dossiers » par Microsoft.

Casser une clé WEP ou WPA " 8" http://www.jaquet.org, mars 2010
Sous Mac OS, il y a l'Utilitaire de disque, mais le plus simple est d'utiliser la commande hdiutil :

hdiutil burn bt4-final.iso

Sous Linux, cela dépend de l'interface avec l'utilisateur et du

gestionnaire de fichiers utilisés. Avec le gestionnaire de
fichiers par défaut et Gnome, faire un clic droit sur l'icône du
fichier bt4-final.iso et choisir Ouvrir avec « Gravure de disque ». Avec KDE, c'est Applications →
Multimédia → Gravure de CD et de DVD. Avec Xfce, c'est Applications → Multimédia → Brasero.

Boot sequence

Quand on fait redémarrer l'ordinateur, il arrive que Backtrack ne se lance pas et que l'écran
d'accueil normal s'affiche. Si c'est le cas, aller dans le BIOS et mettre le lecteur de disques
optiques en premier dans la boot sequence (ordre des mémoires lues au démarrage).

Conversion d'ASCII en hexadécimal

Déc Hex Nom Car Déc Hex Car Déc Hex Car Déc Hex Car

0 0 Rien (null) NUL 32 20 Espace 64 40 @ 96 60 `

1 1 Début d'en-tête SOH 33 21 ! 65 41 A 97 61 a
2 2 Début de texte STX 34 22 " 66 42 B 98 62 b
3 3 Fin de texte ETX 35 23 # 67 43 C 99 63 c
4 4 Fin d'émission EOT 36 24 $ 68 44 D 100 64 d
5 5 Requête ENQ 37 25 % 69 45 E 101 65 e
6 6 Accusé de réception ACK 38 26 & 70 46 F 102 66 f
7 7 Son (bell) BEL 39 27 ' 71 47 G 103 67 g
8 8 Effacemnt arrière (backspace) BS 40 28 ( 72 48 H 104 68 h
9 9 Tabulation horizontale HT 41 29 ) 73 49 I 105 69 i
10 A À la ligne (line feed) LF 42 2A * 74 4A J 106 6A j
11 B Tabulation verticale VT 43 2B + 75 4B K 107 6B k
12 C Page suivante (form feed) FF 44 2C , 76 4C L 108 6C l
13 D Retour chariot (return) CR 45 2D - 77 4D M 109 6D m
14 E Car. de code spécial (shift out) SO 46 2E . 78 4E N 110 6E n
15 F Car. de code normal (shift in) SI 47 2F / 79 4F O 111 6F o
16 10 Ab. liaison (data link escape) DLE 48 30 0 80 50 P 112 70 p
17 11 Commande d'appareil 1 DC1 49 31 1 81 51 Q 113 71 q
18 12 Commande d'appareil 2 DC2 50 32 2 82 52 R 114 72 r
19 13 Commande d'appareil 3 DC3 51 33 3 83 53 S 115 73 s
20 14 Commande d'appareil 4 DC4 52 34 4 84 54 T 116 74 t
21 15 Accusé de réception négatif NAK 53 35 5 85 55 U 117 75 u
22 16 T. inactivité (synchronous idle) SYN 54 36 6 86 56 V 118 76 v
23 17 Fin du bloc de transmission ETB 55 37 7 87 57 W 119 77 w
24 18 Annuler (cancel) CAN 56 38 8 88 58 X 120 78 x
25 19 Fin du support EM 57 39 9 89 59 Y 121 79 y
26 1A Substituer SUB 58 3A : 90 5A Z 122 7A z
27 1B Abandonner (escape) ESC 59 3B ; 91 5B [ 123 7B {
28 1C Séparateur de fichier FS 60 3C < 92 5C \ 124 7C |
29 1D Séparateur de groupe GS 61 3D = 93 5D ] 125 7D }
30 1E Séparateur d'enregistrement RS 62 3E > 94 5E ^ 126 7E ~
31 1F Séparateur d'unité US 63 3F ? 95 5F _ 127 7F DEL

Déc = décimal ; Hex = hexadécimal ; Car = caractère ; Del (delete) = effacement ; Ab. = abandon ; T. inactivité = temps
d'inactivité synchrone.

Casser une clé WEP ou WPA " 9" http://www.jaquet.org, mars 2010
 Annexe 2 : le cadre juridique

Tout accès non autorisé à un système informatique expose la personne à des poursuites civiles,
mais aussi pénales.

En France, ce sont les articles 323-1 à 323-3-1 du Code pénal (http://www.legifrance.gouv.fr) :

En Belgique : « Celui qui, sachant qu'il n'y est pas autorisé, accède à un système informatique ou
s'y maintient, est puni d'un emprisonnement de trois mois à un an et d'une amende de vingt-six
francs à vingt-cinq mille francs ou d'une de ces peines seulement » (art. 550 bis, Code pénal,
http://www.juridat.be).

En Suisse : « Celui qui, sans dessein dʼenrichissement, se sera introduit sans droit, au moyen dʼun
dispositif de transmission de données, dans un système informatique appartenant à autrui et
spécialement protégé contre tout accès de sa part, sera, sur plainte, puni dʼune peine privative de
liberté de trois ans au plus ou dʼune peine pécuniaire » (art. 143 bis, Code pénal, http://
www.admin.ch).
Ces textes s'appliquent dès que la personne est consciente d'avoir accédé à un système non
autorisé. Ni l'intention de nuire, ni même la volonté d'y accéder ne sont nécessaires. Autrement dit,
une personne qui entre dans un système par inadvertance tombe sous le coup de ces dispositions
dès l'instant où elle y reste sans droit.

Par contre, si le réseau n'est pas protégé et qu'il est possible d'y accéder au moyen d'un simple
navigateur, la Cour d'appel de Paris a considéré le 30 octobre 2002 que l'accès n'est pas
répréhensible.
En Belgique, je ne connais pas de décision de jurisprudence en la matière.

En Suisse, le problème est réglé dans la loi puisque l'art. 143 bis s'applique pour autant que le
système attaqué soit « spécialement protégé » contre tout accès non autorisé.
Autrement dit, il faut sécuriser le réseau, ne serait-ce qu'avec une clé WEP, sinon on n'est pas
protégé par le droit (en tout cas en France et en Suisse). C'est une protection insuffisante, mais
c'est une protection puisqu'on ne peut pas la traverser sans utiliser des outils logiciels
spécialement destinés à la casser, ce qui rend ipso facto tout accès non autorisé illégal.

La non-protection d'un système informatique pose un autre problème : la protection des

données, qui découle du droit au respect de la vie privée (article 9 du Code civil français).

En Suisse, elle fait l'objet de la Loi fédérale sur la protection des données (http://www.admin.ch/ch/
f/rs/235_1/index.html).

Casser une clé WEP ou WPA " 10" http://www.jaquet.org, mars 2010
En Europe, elle fait l'objet d'une directive du Parlement européen et du Conseil (Directive 95/46/
CE du 24 octobre 1995, http://eur-lex.europa.eu) :

Le responsable du traitement de ces données peut donc être rendu responsable d'une fuite s'il n'a
pas pris les précautions nécessaires pour l'empêcher.
En France, le principe est réglé dans la Loi Informatique et libertés (loi n°78-17 relative à
l'informatique, aux fichiers et aux libertés, http://www.legifrance.gouv.fr) : « Le responsable du
traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données
et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment,
empêcher quʼelles soient déformées, endommagées, ou que des tiers non autorisés y aient
accès » (art. 34).
En Belgique, c'est l'article 16 § 4 de la Loi vie privée (loi relative à la protection de la vie privée à
l'égard des traitements de données à caractère personnel, http://www.privacycommission.be/fr/
legislation/national).

En Suisse, c'est l'article 7 de la Loi sur la protection des données.

Casser une clé WEP ou WPA " 11" http://www.jaquet.org, mars 2010