TP N°2

TECHNOLOGIES SANS FIL ET

INFRASTRUCTURE DES RESEAUX
HOSPITALIERS

SECURITE DES PROTOCOLES WiFi

WEP et WPA

Tuan Dung NGUYEN et Brice AUGUSTIN

José DIAZ et Said Hoceini
 RÉSEAUX
Réseaux sans fil TP n°2

Sommaire
1. Prologue ................................................................................................................ 3
2. Objectifs du TP ...................................................................................................... 3
3. Matériel nécessaire ............................................................................................... 3
4. Généralités ............................................................................................................ 4
5. Mise en place d’un réseau sans fil WiFi non-sécurisé .......................................... 6
5.1. Réinitialisation (reset) de la borne Linksys ..................................................... 6
5.2. Configuration de la borne et des PC utilisateurs ............................................ 7
5.3. Configuration du portable pirate ..................................................................... 7
5.4. Etudes des trames échangées ....................................................................... 9
6. Mise en place d’un réseau WiFi sécurisé par le protocole WEP ......................... 12
7. Cassage de la clé secrète du protocole WEP ..................................................... 13
8. Cassage de la clé secrète du protocole WPA ..................................................... 15

T. D. NGUYEN et B. AUGUSTIN, J. DIAZ, S. HOCEINI –

UPEC 2/16
 RÉSEAUX
Réseaux sans fil TP n°2

1. Prologue
Les réseaux sans fil WiFi sont particulièrement sensibles aux écoutes clandestines,
car les messages échangés par ondes radio peuvent être capturés par tous les nœuds
se trouvant à portée du réseau. Il est alors nécessaire de mettre en place des
mécanismes supplémentaires pour fournir un niveau de sécurité comparable à celui
des réseaux filaires. Le protocole WEP (Wired Equivalent Privacy) fait partie de la
norme IEEE 802.11. Il est une solution simple pour répondre à cette problématique.
Par contre, celui-ci ne fournit qu’un niveau de sécurité minimum à cause de plusieurs
faiblesses de conception. La solution alternative s’appelle le WPA (Wifi Protected
Access) qui est plus fiable en matière de sécurisation des accès, mais qui n’est pas
complètement efficace.

2. Objectifs du TP
Les objectifs de ce TP sont :
• de mettre en œuvre un réseau sans fil WiFi utilisant le protocole de sécurité
WEP et d’étudier les faiblesses de ce protocole.
• de mettre en œuvre un réseau sans fil WiFi utilisant le protocole de sécurité
WPA et d’étudier les faiblesses de ce protocole.

ATTENTION : Les contenus de ce TP sont utiles pour votre avenir professionnel

en tant qu’administrateur système et réseaux et les techniques employées ici ne
doivent pas être utilisés en dehors de la salle de TP.

3. Matériel nécessaire
- 1 PC sous Windows 7 (utilisateur)
- 1 portable sous Windows 7 (utilisateur)
- 1 portable analyseur sous Kali-Linux avec boot sur clé usb (pirate)
- 1 borne d’accès WiFi Linksys

T. D. NGUYEN et B. AUGUSTIN, J. DIAZ, S. HOCEINI –

UPEC 3/16
 RÉSEAUX
Réseaux sans fil TP n°2

4. Généralités
Dans la norme IEEE 802.11, le protocole WEP est utilisé pour fournir l’intégrité, la
confidentialité et l’authentification des communications dans les réseaux sans fil WiFi.

L’intégrité des données est assurée par l’algorithme polynomial CRC-32.

La confidentialité des données est assurée par l’algorithme de chiffrement par flot
RC4 ;
Deux mécanismes d’authentification sont fournis (Open ou Shared Key)

Les différentes fonctions du protocole WEP sont basées sur une clé de longueur fixe
qui peut être de 64, 128 ou 256 bits. Cette clé est composée d’une clé secrète et un
vecteur d’initialisation de 24 bits de longueur :
La clé secrète est connue par tous les nœuds du réseau et sa valeur est fixée à
l’avance (comme un mot de passe).
Le vecteur d’initialisation (IV) est généré aléatoirement à chaque trame échangée.

Une préparation de clé (seed), c’est la concaténation de la clé secrète et du vecteur

d’initialisation généré. En fonction de la longueur de la clé WEP, on obtient :
Clé WEP 64 = clé secrète 40 bits + vecteur IV 24bits
Clé WEP 128 = clé secrète 104 bits + vecteur IV 24 bits

Le rôle du vecteur IV est d’empêcher que la même clé WEP soit utilisée deux fois pour
le chiffrement des données.

La clé WEP est utilisée par un générateur pseudo-aléatoire de bits qui va créer un flot
de données (key stream). Ce flot de données aura une taille identique à celle des
données à chiffrer c'est-à-dire les données de la trame + le champ CRC (cf.
l’algorithme de chiffrement par flot RC4).

T. D. NGUYEN et B. AUGUSTIN, J. DIAZ, S. HOCEINI –

UPEC 4/16
 RÉSEAUX
Réseaux sans fil TP n°2

L’émetteur chiffre les données et le CRC de la trame en effectuant une opération

logique ou exclusive avec le flot de bits pseudo-aléatoire. Le résultat est encapsulé
dans une trame IEEE 802.11. Côté récepteur, la trame est déchiffrée de la même
manière en utilisant sa clé secrète et le vecteur IV transmis en clair dans les premiers
octets de la trame.

Données CRC32

IV Clé secrète Flots de bits

La faiblesse de ce protocole est due à la longueur de ses vecteurs IV relativement

courts et à la mise en commun d’une clé partagée. Cette clé secrète est souvent
utilisée pendant une longue période. C’est à l’administrateur de la changer
manuellement, car aucun protocole de gestion dynamique de clés n’est prévu.

En collectant suffisamment de trames chiffrées avec le même IV, un pirate peut

déterminer la clé secrète par un mécanisme statistique.

T. D. NGUYEN et B. AUGUSTIN, J. DIAZ, S. HOCEINI –

UPEC 5/16
 RÉSEAUX
Réseaux sans fil TP n°2

5. Mise en place d’un réseau sans fil WiFi non-sécurisé

Vous allez mettre en place la maquette suivante. Utilisateur 1 est représenté par
un PC de bureau de la paillasse et Utilisateur 2 est représenté par un PC portable
DELL Latitude. Le portable pirate est représenté par un PC portable DELL
Latitude.

Fig. 1 Schéma de la maquette

5.1. Réinitialisation (reset) de la borne Linksys

Question 0
Que devez-vous faire pour réinitialiser votre borne WIFI

T. D. NGUYEN et B. AUGUSTIN, J. DIAZ, S. HOCEINI –

UPEC 6/16
 RÉSEAUX
Réseaux sans fil TP n°2

5.2. Configuration de la borne et des PC utilisateurs

Reliez (par Ethernet) la borne Linksys avec le PC de bureau sous Windows.
La borne Wifi se configure avec un navigateur Web (Internet Explorer, Google Chrome
ou FireFox) en utilisant l’URL suivante :
http://192.168.1.1/

Question 1
Sur un schéma, proposez un plan d’adressage en adéquation avec l’URL de
configuration pour le PC de l’Utilisateur 1 et celui de l’Utilisateur 2.

Configurer un réseau sans-fil non sécurisé (pas de chiffrement) nommé tpwepX. (X

correspondant au n° de votre table de TP) et qui prend en compte votre plan
d’adressage.

5.3. Configuration du portable pirate

Vous allez utiliser une distribution Linux spécialisée dans l’évaluation de la sécurité
des réseaux appelée Kali-Linux (ex BackTrack).
Vous devez tout d’abord insérer la clé usb fournie par votre chargé de TP avant
démarrer le PC portable.
Au démarrage de la machine, appuyez sur la touche F12 pour lancer le démarrage
depuis la clé USB.

Lancez la version Live (pae-686)

Voici l’écran d’accueil de cette distribution Linux :

T. D. NGUYEN et B. AUGUSTIN, J. DIAZ, S. HOCEINI –

UPEC 7/16
 RÉSEAUX
Réseaux sans fil TP n°2

Attention : le mot de passe de l’administrateur est « toor ».

Commencez par configurer le clavier en français :

1. Cliquez sur le nom de

l’administrateur « root » en au
haut à droite de votre écran pour
faire apparaître un menu.
2. Sélectionnez le sous-menu
« System Settings ».

3. Cliquez sur l’icône de personnalisation du

clavier.
4. Cliquez sur le lien « Layout Settings ».
5. Ajoutez le clavier français et placez-le en
premier.
6. Supprimez le clavier Anglais (US).

T. D. NGUYEN et B. AUGUSTIN, J. DIAZ, S. HOCEINI –

UPEC 8/16
 RÉSEAUX
Réseaux sans fil TP n°2

5.4. Etudes des trames échangées

L’interface Wifi de votre portable s’appelle wlan0.
Vous pouvez l’identifier en utilisant deux commandes soit ifconfig soit iwconfig.
1. Essayez d’activer la carte wlan0 avec la commande « ifconfig wlan0 up ».
2. Si vous ne pouvez pas activer votre carte wifi (message rfkill) : « rfkill
unblock 0 »
3. Désactivez la carte wlan0 : « ifconfig wlan0 down »
4. Par défaut, cette interface est configurée en mode de fonctionnement
« managed ». Ce mode est utilisé pour une connectivité sur plusieurs points
d’accès Wifi et il est déterminé automatiquement au démarrage de votre
système en analysant les réseaux wifi en présence (ce qui correspond à
l’environnement Wifi de l’IUT). Pour pouvoir l’utiliser dans le cadre de ce TP,
l’interface wlan0 doit être en mode moniteur pour écouter des réseaux :
« iwconfig wlan0 mode monitor ».

La distribution Kali-Linux de votre clé usb contient une suite d’outils logiciels permettant
d’évaluer la sécurité d’un réseau WiFi appelée Aircrack-ng1. Ces outils sont à
utiliser en ligne de commande.

Procédure de configuration d’airmon-ng

Le premier outil que vous allez mettre en œuvre s’appelle « airmon-ng ».
Son rôle est de vérifier que votre système d’exploitation n’interférera pas avec votre
évaluation de sécurité et vous l’utiliserez aussi pour mettre votre carte réseau Wifi en
mode d’écoute passive (mode espion).

1. Vérifiez la liste des processus systèmes pouvant interférer : « airmon-ng

check».

Question 2 :
Quels sont les processus désignés par cette vérification du système ?

1
Pour plus de détails consulter le site http://www.aircrack-ng.org
T. D. NGUYEN et B. AUGUSTIN, J. DIAZ, S. HOCEINI –
UPEC 9/16
 RÉSEAUX
Réseaux sans fil TP n°2

2. Si le processus bloquant est un service (c’est à dire que son nom est dans le
répertoire /etc/init.d/), vous devez les stopper avec la commande « service
nom_du_service stop ». Sinon, utilisez la commande « killall
nom_du_processus ».

3. Configurez le portable pirate pour la capture des trames WiFi : « airmon-ng

start wlan0 »

Question 3 :
Quelle nouvelle interface réseau a été créée ? Appelons-la $INTERFACE_MON

Découverte de l’environnement Wifi de la salle de TP

L’outil qui va vous service à analyser votre environnement s’appelle airodump-ng.
Pour lancez la découverte de réseaux WiFi proches avec cette commande, tapez :
« airodump-ng $INTERFACE_MON »
Lorsque airodump-ng est lancé, vous pouvez utiliser certaines touches du clavier pour faciliter la
visualisation des informations :
• a : sélectionner de la zone active de l’affichage (AP pour point d’accès, STA pour station et
ACK pour acquittement).
• m : marquer avec une couleur une ligne pour en suivre l’évolution.
• s : sélectionner la colonne qui servira pour le tri (par défaut le tri est croissant).
• i : inverser l’ordre de tri
• d : supprimer le filtre de tri
• TAB : activer/désactiver le défilement dans l’affichage avec les flèches haut et bas.
• ESPACE : figer/débloquer l’afficher

Question 4 :
Quelles informations sont fournies par cette commande ? Quel est le canal
utilisé par votre borne WiFi ? Quelle est son adresse MAC ? Quel est son mode
de chiffrement ?

Configurez votre interface wlan0 afin qu’elle se focalise sur votre point d’accès :
1. Désactivez l’interface $INTERFACE_MON avec la commande : « airmon-ng
stop mon0 »
2. Activez l’interface $INTERFACE_MON pour qu’elle se focalise sur le canal de
votre AP avec la commande : « airmon-ng start wlan0 $CANAL »

Par défaut, airodump-ng écoute sur tous les canaux de la bande 2.4Ghz.
Utilisez l’option –-channel pour vous focaliser sur le canal de votre borne WiFi.

T. D. NGUYEN et B. AUGUSTIN, J. DIAZ, S. HOCEINI –

UPEC 10/16
 RÉSEAUX
Réseaux sans fil TP n°2

Question 5 :
Observez l’effet de cette commande sur le nombre de paquets capturés.
Comment expliquez-vous ce phénomène ?

Lancez la capture de trames avec l’outil wireshark, puis générez du trafic (par
exemple, des pings) entre les deux PC utilisateurs.

Question 6 :
Qu’observez-vous dans l’analyseur ?
Sélectionnez une trame de type IEEE 802 Data.

Question 7 :
Quel est le rôle de ce type de trame ? Le trafic est-il chiffré ?

T. D. NGUYEN et B. AUGUSTIN, J. DIAZ, S. HOCEINI –

UPEC 11/16
 RÉSEAUX
Réseaux sans fil TP n°2

6. Mise en place d’un réseau WiFi sécurisé par le protocole

WEP
1. Dans l’onglet « Wireless Security », configurez la borne d’accès en mode sécurisé par
le protocole WEP (Chriffrement de 64 bits).
2. Sélectionnez la clé n°1 par défaut.
3. Indiquez une passphrase et générez les clés.

La clé WEP correspondante est alors indiquée dans le champ « Key 1 » de la page
Web. Utilisez cette clé pour reconnecter le PC utilisateur n°2 au réseau WiFi.
Lancez à nouveau Wireshark sur le portable pirate et observez le trafic entre les
deux PC.

Question 8 :
Le trafic est-il chiffré ?

Question 9 :
Relevez et expliquez les différents champs dans la partie « WEP parameters »
d’une des trames capturées (en particulier, le vecteur IV, et l’index de clé).

Question 10 :
Est-ce que le vecteur IV est le même pour deux trames différentes ?

T. D. NGUYEN et B. AUGUSTIN, J. DIAZ, S. HOCEINI –

UPEC 12/16
 RÉSEAUX
Réseaux sans fil TP n°2

7. Cassage de la clé secrète du protocole WEP

Dans cette partie, vous allez utiliser les outils aircrack-ng pour cracker la clé WEP
et donc gagner un accès non autorisé au réseau WiFi tpwepX.

Dans un premier terminal, lancez la capture de trafic et enregistrez la capture dans un

fichier en utilisant la commande ci-dessous :

airodump-ng --channel $CANAL --bssid $BSSID -w output $INTERFACE_MON

Remarque : Remplacez $BSSID par l'adresse MAC de votre borne WiFi.

Arrêtez la capture et ouvrez le fichier output*.cap avec l’outil Wireshark.

Question 11 :
Que constatez-vous ? Donner le rôle des différents paramètres de la commande
airodump-ng.
Relancez la capture du trafic.

Pour identifier la clé WEP avec la suite aircrack-ng, il faut capturer une grande quantité
de paquets de données (Data) pour récolter suffisamment d'IV. Pour accélérer le
processus, on utilise un outil d'injection de paquets qui capture les requêtes ARP
légitimes et les réinjecte en grand nombre dans le réseau.

Dans un autre terminal, associez votre PC pirate au point d’accès :

aireplay-ng -1 0 -e tpwepX –a $BSSID -h $MAC_INTERFACE $INTERFACE_MON

Question 12 :
Donner le rôle des différents paramètres de la commande aireplay-ng.

Ouvrer encore un autre terminal, préparez l'injection de paquets :

aireplay-ng -3 -b $BSSID -h $MAC_INTERFACE $INTERFACE_MON

Question 13 :
Donner le rôle des différents paramètres de la commande aireplay-ng.

Remarque : remplacez $MAC_INTERFACE par l'adresse MAC de la carte WiFi du

portable pirate.

T. D. NGUYEN et B. AUGUSTIN, J. DIAZ, S. HOCEINI –

UPEC 13/16
 RÉSEAUX
Réseaux sans fil TP n°2

aireplay-ng a besoin de capturer au moins une requête ARP avant de lancer

l'injection. Sur un réseau “normal” avec plusieurs machines en activité, les requêtes
ARP sont émises fréquemment, mais il faut parfois faire preuve de patience !

Pour gagner du temps, simulez une activité réseau en lançant un ping, à partir d'un
PC utilisateur, vers une adresse IP non-allouée dans le réseau.

Question 14:
Retournez à l’écran de capture. Que constatez-vous ?

Poursuivez l'injection et la capture pendant quelques minutes, puis arrêtez-la.

Ouvrez à nouveau output*.cap dans Wireshark.

Question 15 :
Quel type de paquets est majoritairement présent dans la capture ? Quelles sont
les caractéristiques de ces paquets ? (type, taille, …) A votre avis, à quoi
correspondent-ils ?

Enfin, lancez le processus de découverte de la clé WEP à partir des vecteurs IVs
collectés précédemment.
aircrack-ng -b $BSSID output*.cap

Question 16 :
Quel est le temps nécessaire pour déterminer la clé du réseau wifi ?

Question 17 :
Relevez la clé obtenue ainsi que le nombre de vecteurs IVs utilisés.

Question 18 :
En administrateur avisé, quel conseil donneriez-vous à un utilisateur qui
souhaiterait mettre en place son réseau sans fil WiFi ?

T. D. NGUYEN et B. AUGUSTIN, J. DIAZ, S. HOCEINI –

UPEC 14/16
 RÉSEAUX
Réseaux sans fil TP n°2

8. Cassage de la clé secrète du protocole WPA

Modifiez la configuration de votre borne pour qu'elle utilise le protocole de sécurité
WPA personnel avec l’algorithme TKIP. Utilisez le mot de passe « security ».

N'oubliez pas de modifier la configuration du PC portable utilisateur pour qu'il se

connecte aussi en WPA.

Lancez la capture de trames WiFi sur le portable pirate, et enregistrez les paquets
dans un fichier.

Question 19 :
Donnez la commande utilisée.

La découverte de clé WPA nécessite la capture d'un handshake d'authentification

(paquets échangés entre un client légitime et la borne WiFi quand le client s'associe
au réseau WiFi). Il suffit donc d'attendre qu'un nouvel utilisateur se connecte pour
pouvoir poursuivre l'attaque.
Pour gagner du temps, simulez l'arrivée d'un nouvel utilisateur en déconnectant et
reconnectant le PC utilisateur WiFi.

Si airodump-ng a réussi à capturer le handshake, il affiche un message « WPA

handshake: ... » en haut à droite. Si ce n'est pas le cas, recommencez la
déconnexion/reconnexion de l'utilisateur.

Le handshake capturé, on peut passer à la découverte de la clé à l'aide d'un

dictionnaire de mots (wordlist) que vous pourrez trouver sur internet.

Pour l’exemple de ce TP, vous trouverez un dictionnaire généré par vos professeurs
sur EPREL (dico.txt).
Pour le télécharger, utilisez la carte Ethernet du PC pirate :
1. Activez l’interface eth0 : « ifconfig eth0 up »
2. Activez le client dhcp : « dhclient eth0 –v »
3. Configurez le proxy pour le client web : servad.u-pec.fr (port 3128)
4. Connectez-vous a EPREL et téléchargez le fichier dans le répertoire /root.

Question 20 :
Que contient ce fichier ? Comment fonctionne une attaque par dictionnaire ?

T. D. NGUYEN et B. AUGUSTIN, J. DIAZ, S. HOCEINI –

UPEC 15/16
 RÉSEAUX
Réseaux sans fil TP n°2

Lancez la recherche de la clé :

aircrack-ng -w /root/dico.txt -b $BSSID psk*.cap

Question 21 :
Quel est le temps nécessaire pour obtenir la clé WPA ?

Question 22 :
L'attaque peut-elle fonctionner si la clé WPA n'est pas présente dans le
dictionnaire ? Que peut faire un attaquant dans ce cas ?

T. D. NGUYEN et B. AUGUSTIN, J. DIAZ, S. HOCEINI –

UPEC 16/16