08 Attaque Wi Fi

AKHAM Omar
IT Talents School
Attaque sur les
réseaux sansfil
Formation PIRATAGE ETHIQUE 2

Terminologie
• WiFi: Abréviation de Wireless Fidelity (fidélité sans fil). Wi-Fi est une
marque commerciale de la Wi-Fi Alliance. La Wi-Fi Alliance est une
organisation constituée par les fabricants majeurs des produits de
mise en réseau sans fil. Point d'accès: Dispositif fournissant un point
d'accès réseau aux utilisateurs disposant de périphériques sans fil.
• Point d'accès: Dispositif fournissant un point d'accès réseau aux
utilisateurs disposant de périphériques sans fil.
• Hotspot WiFi: Lieu public à forte affluence (café, hôtel, gare,
aéroport, etc.) donnant accès à un réseau sans fil (WLAN)
permettant aux utilisateurs d’appareils mobiles (ordinateurs
portables, téléphones portables, assistants personnels) de se
connecter à Internet grâce à la technologie WiFi.
• Adaptateurs sans fils ou cartes d'accès (wireless adapters ou
network interface controller) : il s'agit d'une carte réseau à la norme
802.11 permettant à une machine de se connecter à un réseau sans
fil. Les adaptateurs WiFi sont disponibles dans de nombreux formats
(carte PCI, carte PCMCIA, adaptateur USB, carte CompactFlash, ...).
On appelle station (STA) tout équipement possédant une telle carte.
Formation Transfer - PIRATAGE ETHIQUE
Identification
• BSS: "Basic Service Set". Ensemble de services de base. Ensemble
formé d'un point d'accès et des stations qui y sont connectées. Aussi
appelé "Cellule".
• BSSID: Un BasicSetService est identifié par un BSSID (Basic Set
Service set IDentifier) qui est un identifiant de 6 octets (48 bits). En
général, le BSSID correspond à l'adresse MAC du point d'accès.
• ESSID ou SSID: Il est possible de relier plusieurs points d'accès entre
eux par une liaison appelée système de distribution (notée DS pour
Distribution System) afin de constituer un ensemble de services
étendu (extended service set ou ESS). Un ESS est repéré par un
ESSID (Service Set IDentifier), c'est-à-dire un identifiant de 32
caractères de long (au format ASCII) servant de nom pour le réseau.
L'ESSID, souvent abrégé en SSID (Service Set IDentifier), représente
le nom du réseau et représente un premier niveau de sécurité dans
la mesure où la connaissance du SSID est nécessaire pour qu'une
station se connecte au réseau étendu.

CLASSIFICATION DES RÉSEAUX SANS FIL
• En fonction de la taille:

• En fonction du mode opératoire:
– Le mode infrastructure:
• Le réseau est composé de plusieurs cellules et chacune d’elles comprend
une station de base ’’ Point d’Accès ’’.
• Par ce point d’accès toutes les autres stations de la cellule accèdent au
réseau intra et intercellulaire.

• En fonction du mode opératoire:
– Le mode Ad Hoc:
• avec ce mode, vous n'avez pas besoin de point d'accès pour gérer le
réseau, chaque membre du réseau retransmet les informations qu'il reçoit
aux autres membres du réseau sans qu’ils soient reliés directement.

Modes d’opération
1
2
Station
(STA) Access Point
(AP)
SSID
Managed Mode
Master Mode
3
4
Station Station
(STA) (STA)
Monitor Mode
Ad Hoc Mode Ad Hoc Mode

Association / Authentification
• Association
– Enregistre la station auprès de l'AP
– Obtention d'une AID (Association Identity) partagée entre
chaque AP de l'ESS,
– permettant la ré-association transparente au sein de l'ESS
– Toujours initiée par la station
– Equivalent de la connexion physique pour le filaire
• Authentification
– Action de prouver son identité afin de faire partie du BSS
ou ESS
– Deux méthodes d'authentification :
• ouverte (Open Authentication) : authentification nulle
• à clef partagée (Shared Key Authentication) : utilise la clé WEP pour
chiffrer un défi en clair envoyé par la borne - A NE JAMAIS UTILISER
– La dé-authentification peut être initiée par la station ou l'AP

Association
• Lors de l'entrée d'une station dans une cellule, celle-ci diffuse sur chaque canal un
requête de sondage (probe request) contenant l'ESSID pour lequel elle est
configurée ainsi que les débits que son adaptateur sans fil supporte. Si aucun
ESSID n'est configuré, la station écoute le réseau à la recherche d'un SSID.
• En effet chaque point d'accès diffuse régulièrement (à raison d'un envoi toutes les
0.1 secondes environ) une trame balise (beacon) donnant des informations sur
son BSSID, ses caractéristiques et éventuellement son ESSID. L'ESSID est
automatiquement diffusé par défaut, mais il est possible (et recommandé) de
désactiver cette option.
• A chaque requête de sondage reçue, le point d'accès vérifie l'ESSID et la demande
de débit présents dans la trame balise. Si l'ESSID correspond à celui du point
d'accès, ce dernier envoie une réponse contenant des informations sur sa charge
et des données de synchronisation. La station recevant la réponse peut ainsi
constater la qualité du signal émis par le point d'accès afin de juger de la distance
à laquelle il se situe. En effet d'une manière générale, plus un point d'accès est
proche, meilleur est le débit.
• Une station se trouvant à la portée de plusieurs points d'accès (possèdant bien
évidemment le même SSID) pourra ainsi choisir le point d'accès offrant le meilleur
compromis de débit et de charge.
Association
Lorsqu'une station se trouve dans le rayon d'action de plusieurs points d'accès, c'est elle qui
choisit auquel se connecter ! Formation PIRATAGE ETHIQUE 11
Association
Lorsqu'une station se trouve dans le rayon d'action de plusieurs points d'accès, c'est elle qui
choisit auquel se connecter ! Formation PIRATAGE ETHIQUE 12
Modes d’authentification (1/2)
Authentification dans un système ouvert
Authentification dans un système à clé partagée

Modes d’authentification (2/2)
Authentification dans un système utilisant un serveur centralisé

Les Canaux non-overlappés
• Plusieurs points d’accès peuvent être installés pour couvrir une

large distance ou augmenter la bande passante, mais les points
d’accès dont la couverture se chevauche doivent utiliser des
canaux non-overlapping différents.
55
Les Canaux non-overlappés
802.11b/g : Canaux non-overlappés
1 6 11

66
La sécurité des réseaux sans fil
• Les réseaux WiFi sont comme pour Ethernet des réseaux
utilisant le mode de propagation par diffusion. Mais la
sécurité première du réseau filaire à savoir le
raccordement physique de la machine sur le lien,
n'existe pas.
– Les ondes hertziennes sont difficile à confiner dans une
surface géographique restreinte, donc facilité d’écouter le
réseau si les informations circulent en clair.
• Donc les ondes émises par un point d'accès WiFi
peuvent être captées par n'importe quelle machine
située dans son rayon d'émission. Par contre, cette
caractéristique est celle recherchée par les hotspots
(points d'accès publics)
– Les transmissions radioélectriques sont sensible aux
interférences.

La sécurité des réseaux sans fil
• Ainsi dans le cadre d'une organisation, la sécurité
est donc primordiale concerne :
– L'accès physique au réseau
• Les antennes
• La puissance du signal
– L'accès "logique" au réseau (couche 2)
• Filtrage des adresses MAC
• La confidentialité des échanges avec les technologies WEP,
WPA et WPA2

Les antennes
• Les caractéristiques d'une antenne sont la forme,
la taille et le gain.
• On distingue les antennes :
– omnidirectionnelles (ou dipôle)
– semi-directionnelles omnidirectionnelle
– hautement directionnelles (Parabole)
Antenne
Antenne Yagi directionnelle
Antenne Patch D-Link 21dBi
semi-directionnelle
La puissance
• En fonction de sa puissance, une onde s'atténue
plus ou moins rapidement et sa zone de
couverture sera plus faible.
• Il est donc possible de diminuer, dans certaines
limites, cette puissance pour restreindre la zone
de réception du signal.

La sécurité au niveau de la couche 2
• Les points d'accès émettent de façon régulière
(toutes les 0.1 secondes environ) des trames de
balise (beacon) contenant entre autre le nom du
réseau (SSID - Service Set Identifier – sur 32
caractères )
• Une station WiFi qui a déjà été connectée sur un
point d'accès, essaie de se reconnecter avec les
paramètres stockés (trame probe request). Le
point d'accès lui répond avec une trame probe
response.

La sécurité au niveau de la couche 2
• Si le point d'accès ne répond pas, la station
explore les différents canaux pour capter une ou
plusieurs trames de balise.
• En général, la station montre la liste des SSID
qu'elle reçoit. Le choix de l'utilisateur entraîne
l'envoi d'une trame probe request vers le point
d'accès choisi.
Note : Dans un but de sécurité, il est possible de
cacher le SSID dans les trames de balise
envoyées par un point d’accès.
Filtrage des adresses MAC
• Un premier niveau de sécurité se situe à ce
niveau. Les points d'accès peuvent être
configurés avec la liste des adresses MAC des
interfaces Wifi pouvant se connecter. Il s'agit ici
d'éviter les intrusions (attention, il est possible
de "couvrir" l'adresse MAC physique par une
adresse MAC logique).
• Ce filtrage est inenvisageable dans le cas d'un
hotspot.

L'authentification et la confidentialité
• L'authentification et la confidentialité (chiffrement) des
échanges sur un réseau WiFi a beaucoup évolué :
– La technique préconisée à l'origine par la norme 802.11
est le WEP (Wired Equivalent Privacy). Plusieurs défauts et
faiblesses ont été décelés dans cette technique.
– En 2003, apparition du WPA (WiFi Protected Access),
amélioré…
– En 2004, avec le WPA2 (normalisé par 802.11i et certifié
par la WiFi Alliance)

Le WEP (Wired Equivalent Privacy)
• Le WEP procède en 3 étapes :
1. Génération d'une clé pseudo aléatoire à partir d’une clé
partagée.
2. Génération d'un contrôle d'intégrité
3. Génération du message chiffré qui est transmis

Fonctionnement du WEP
le champ de
un protocole qui contrôle FC
permet d’éviter repose sur Le mécanisme (Frame Control)
l’écoute l’algorithme à de distribution des trames de
clandestine en clé des clés n’est données et
chiffrant les symétrique pas précisé. d’authentification
communications RC4 qu’est précisée
. l’utilisation du
chiffrement WEP.

Les principales failles du WEP
• Les algorithmes de vérification d’intégrité et d’authentification
sont très facilement contournables.
• Une même clé est utilisée pour tout le réseau et les clés
de chiffrement sont statiques .
• La transmission du vecteur d'initialisation en clair permet
après la capture de plusieurs trames de retrouver la clé privée
– avec 224 possibilités le même vecteur d'initialisation revient assez
rapidement – Par exemple avec 1000 trames par seconde le vecteur
réapparaît environ au bout de 5 heures
• L’algorithme de chiffrement RC4 présente des clés faibles
et l’espace disponible pour Les IV est trop petit.
• Clés courtes 40 bits (5 caractères !!!) ou 104 bits et/ou
trop simples (attaque par dictionnaire) .

Faille dans l’authentification
• Attaque Man In the Middle:

Faille en Contrôle d’intégrité
• Faille de CRC32:
– Il est possible pour un utilisateur mal intentionné de modifier
une trame tout en mettant à jour le CRC afin de créer une trame
modifiée valide.
– La modification de certains bits de trame s’appelle le bit flipping.
trame forgée = trame capturée chifrée + modification||CRC(modification)
– Lorsque Les trames forgées sont envoyées à un AP, ce dernier
relaye ces trames déchiffrées sur le réseau Ethernet câblé. Il est
alors facile de lancer une attaque de type texte à clair connu,
puisque la version chiffrée d’un paquet et sa version en clair,
espionnées sur le réseau Ethernet sont connues .

WPA et WPA2 (WiFi Protected Access)
• WPA doit être considéré comme une étape intermédiaire
(amélioration de WEP) avant la mise en place de WPA2.
• Mais l'aspect innovant de WPA qui n'intègre pas la
sécurité 802.11i est l'utilisation du protocole TKIP
(Temporal Key Integrity Protocol) qui assure une
modification dynamique de la clé de cryptage durant la
session (tous les 10ko de données échangés).
• WPA2 préconise d'utiliser CCMP (Counter-Mode/CBC-Mac
protocol ) à la place de PKIP.

WPA et WPA2 (WiFi Protected Access)
• TKIP continue d'utiliser l'algorithme RC4 alors que CCMP
utilise l'algorithme AES (Extensible Authentication Protocol)
• TKIP utilise une clé de 128 bits et un vecteur d'initialisation de
48 bits (au lieu des 24 bits dans WEP)
• WPA et WPA2 utilisent un contrôle d'intégrité nommé MIC
(Message integrity Code) au lieu du CRC utilisé par le WEP
Principe de fonctionnement de WPA

WPA2 (WiFi Protected Access)
• WPA2 a deux modes de fonctionnement :
– Mode authentifié (WPA2 Enterprise). Conformément à la
norme 802.1x ce mode utilise un serveur d'authentification
(en général RADIUS) chargé
de distribuer une clé à chaque
utilisateur.
– Mode PSK pre-shared key
(WPA2 Personnal )
Sans serveur, les utilisateurs
partagent la même clé
(passphrase) comme avec
le WEP.
Mode orienté vers les
PMI/PME.

WPA2 (WiFi Protected Access)

Les phases de la norme 802.1x
• Les éléments de la négociation sont le
supplicant (station), l'authenticator (point
d'accès) et l'authenticator server (serveur
Radius)
– Négociation de la politique de sécurité (EAP-TLS, EAP-
TTLS, EAP-SIM, etc.…)
– Authentification 802.1x
– Échanges et dérivation des clés à l'aide de EAP
– Chiffrement des données

Les phases de la norme 802.1x
Station Point d'accès Serveur RADIUS

(Supplicant) (Authenticator) (Authenticator Server)
Négociation de la politique de sécurité

(EAP-TLS, EAP-TTLS, EAP-SIM, etc.…)
Authentification 802.1x
Échanges et dérivation des clés à l'aide de

EAP
Chiffrement des données
Chaque flèche se décompose elle-même en plusieurs phases

Attaques et risques
• Point d’accès Wifi : énorme prise RJ 45 de 50m de
diamètre.
– déborde du périmètre de sécurité physique
– en libre-service

Risques majeurs du piratage du système
d’information
Corrompre et voler
les données accessibles en
réseau
Le vol de matériel met

en évidence les
Capturer des données Société mécanismes de sécurité
Avec les réseaux radio disponibles sur le
device
Les vols commis Rendre les applications

par des en réseau indisponible
utilisateurs
autorisés

Attaques
• Attaques contre le contrôle d’accès
• Attaques contre l’intégrité
• Attaques contre la confidentialité
• Attaques contre l’authentification
• Attaques contre la disponibilité

Attaques contre le contrôle d’accès
• War chalking et War driving
• Rogue Access Points
• MAC Spoofing
• AP misconfiguration
• AD-Hoc Associatisons
• Promiscous Client
• Client Mis-association
• Unauthorized association

Attaques contre le contrôle d’accès
Denial of
Service
Attack
Mis-association
Mis-configured AP
Honeypot
Unauthorized
Association
Rogue AP
AP MAC
?
Spoofing
Ad Hoc

Détection des réseaux WiFi
• Les ondes se propage dans toutes les directions avec une
portée assez grande. D’une pièce à l’autre mais
également d’un étage à l’autre.
– Un simple logiciel permet de détecter les réseaux wifi de
l’entourage
• Le war-chalking indique à la craie, à même la rue, le
mur
ou le trottoir, l’emplacement d’un AP (réseau wifi )
avec
différents symboles.
• Le « war-driving » (détection et piratage automatisé de
réseaux sans-fil vulnérables à bord d’une voiture) devient
une véritable mode dans les centres urbains.
• Warbiking, Warwalking
• Aux Etat-Unis, certains sont même passés au « war-
flying » (même principe à bord
Formation d’un hélicoptère ou en 41
PIRATAGE ETHIQUE
Le war-chalking

Wardriving
• War games (film 1983) => wardialing => wardriving
• Le War-driving localise et cartographie les APs des
réseaux sans fils et le publie sur internet
– Plusieurs projets de wardriving pour cartographier une zone
(voir http://www.wigle.net)
• Balade en voiture (Wardriving), en bicyclette (Warbiking)
ou à pied (Warwalking) équipé d'une antenne et d'un
ordinateur/Smartphone pour dépister les AP et réaliser
leur cartographie

Wardriving
• Le wardriving n’est pas un crime en tant que tel. Mais
certains pays l’interdisent quand même.
• Collecter des statistiques concernant la sécurité des
déploiements WiFi
– permet de faire apparaître dans un périmètre donné le SSID, le
canal d'émission,
– voir l'@ IP, des AP publiquement accessibles et vulnérables à
une intrusion
• Dangereux quand il est utilisé pour profiter des failles de
sécurité pour accéder à Internet via le BSS ou tout
simplement attaquer pour le plaisir

Wardriving: Equipement
• Matériel: laptop/Smartphone, carte wifi, antennes omni
ou directionnelles, récepteur GPS (+ triangulation)

Wardriving: outils informatique (1/2)
• Netstumbler (Windows)
– Possibilité d’intégration avec GPS pour la localisation
• Kismet (outil d'audit - Linux)

– Données en temps réel
– Signal de réception pour géolocalisation
– Sauvegarde du trafic pour étude plus poussée
– Affichage du type de client
– Découverte de SSID

Wardriving: outils informatique (2/2)
• WifiScanner (Linux)
– Détection et affichage de l’architecture réseau
– Trafic entièrement sauvegardé
• Pour l’analyse hors ligne
– Analyse de plus de 99% des trames réseaux
– Module d’analyse et de détection d’anomalies
• Surveillance passive d’un réseau
– Discret et quasiment indétectable
• Pas de paquets radio envoyés

Types d’informations récupérées (1/2)
Trois sortes de paquets 802.11b:
• Paquets d’administration
– Beacon frame, Probe request/response
• Facile à détecter
– 10 paquets par seconde
– Portée importante
• Envoyés par point d’accès ou client en mode ad-hoc
• Ces paquets contiennent:
– SSID
– Horodatage
– Caractéristiques systèmes
– Association
• Envoyé en début de connexion
– Authentification
• Envoyé lors de l’établissement du protocole de dialogue
Types d’informations récupérées (2/2)
• Trames de contrôles
– Trafic actif et existant
– Permet de détecter des équipements en aveugle
• Trames de données
– Identification
– Mot de passe
– Courrier électronique
– Informations ARP
– Weak IV (cassage du Wep)
– Trames broadcast venant du réseau filaire

Wardriving: Résultats
• Coverage maps
Formation PIRATAGE ETHIQUE

50
Wardriving: Résultats
“Wireless Map” obtenue avec Netstumbler

Point d’accès félon (Rogue AP)
• Installer un AP félon avec une puissance d’émission
dominante qui va drainer les STAs vers lui
• Utilisé pour faire des attaques du type Man In The
Middle
• ARP et IP spoofing: les clients sont bluffés et
pourront envoyer des données importantes à l’AP
félon
– Ex: un AP félon peut demander une authentification par
clé WEP fictive. Le client va alors sans le savoir envoyer
sa clé.

Rogue AP
Rogue AP
Internet
Corporate Firewall
Wi-Fi Ready
Laptop

Mauvaise association (mis-association)
• Le client se connecte à l’AP ayant la puissance
d’émission dominante.
• Il suffit d’installer un AP félon avec une
puissance d’émission dominante ayant le même
SSID que le réseau sans fil de l’entreprise
victime.
• Ceci va leurrer les employés de l’entreprise et ils
vont s’associer à ce faux AP.
• Une fois associés à ce faux AP, les employés
peuvent détourner les politiques et les mesures
de sécurité de l’entreprise.
Mauvaise association (mis-association)
SSID: a1b2c3
SSID: a1b2c3
SSID: a1b2c3
Internet
Corporate
Firewall

Acess Point MAC Spoofing
• Usurpation de l’adresse MAC d’un point d’accès
(AP) de l’entreprise.
SSID: a1b2c3
MAC: 00.20.A6.4C.1A.46
SSID: a1b2c3
MAC: 00.20.A6.4C.1A.46
Internet
Corporate
Firewall
Association non autorisée
Employee Station Company Access
1. Le pirate infecte une Legit
Point
machine à l’intérieur Association
de l’entreprise victime. Malicious

Association
2. Le pirate active
l’interface de la
machine victime en Hacker / Soft AP
mode AP (Soft AP). Ad Hoc
3. Le pirate se connecte Network
au Soft AP ce qui lui

permet de faire un
accès non autorisé au Rogue Access Point
réseau de Neighbor Station Employee AP
l’entreprise Neighbor AP

Attaques diverses contre le contrôle
d’accès
• Mal configuration de l’AP. Exemple un AP sans
mot de passe ou avec un mot de passe faible.
• Attaque par connexion Ad-Hoc: Le pirate se
connecte directement à une machine victime en
utilisant le mode Ad-Hoc et sans passer par un
AP.

Attaques contre la disponibilité
• But : empêcher des utilisateurs légitimes d'accéder à des
services en saturant ces services de fausses requêtes
• En Wifi, cela consiste notamment à bloquer des points
d'accès soit en l'inondant de requête de désassociation ou
de désauthentification (programme de type Airjack), ou
plus simplement en brouillant les signaux hertzien.

• Dénis de service (Attaque DoS)
– bande passante partagée et limitée DoS attack
– débit utile limité par la station
la plus faible
– Point(s) d’accès parasite(s)
Internet
Corporate Firewall

• Brouillage radio (Jamming signal)
– Le WiFi utilise la bande des 2,4Ghz (2401Mhz à 2495Mhz)
– Cette bande de fréquence libre est dite IMS : Industrial, Medical
and Scientific
– Aucune garantie de non perturbation
– Utilisée par une multitude de produits
• Téléphone DECT
• BlueTooth, WiFi
• Microondes
• Radio Amateurs
– Anciennement utilisée par les militaires

• Brouillage radio (Jamming signal)
– Les ondes radio sont très sensibles aux interférences, c'est la
raison pour laquelle un signal peut facilement être brouillé par
une émission radio ayant une fréquence proche de celle utilisée
dans le réseau sans fil.
Physical Layer DoS
Jamming signal
Signal Generator Access Point Client Station

(YDI PSG-1) (User)

• Inondation de dés-association/ dés-authentification
– Forcer les dé-authentification de clients en forgeant de fausses
trames

Attaques contre l’intégrité
• Dans les attaques contre l’intégrité, les attaquants
envoient des trames de contrôle, de gestion ou de
données forgées sur un réseau sans fil pour distraire les
périphériques sans fil afin d'effectuer un autre type
d'attaque (Attaque DoS par exemple):
– Injection de faux paquets
– Modification de paquets (bit flipping)
– Rejoue des données et des vecteurs d’initialisation
– Rejoue de l’authentification RADIUS

Attaques contre l'authentification
• L'objectif des attaques contre l'authentification est de
voler l'identité des clients WiFi, leurs informations
personnelles et leurs informations d'identification (login
credentials) afin d'obtenir un accès non autorisé aux
ressources du réseau:
– Fausse authentification (authentication spoofing)
– Craquage de PSK, LEAP, login au VPN, login au domaine, …
– Prédiction de la clé partagée
– Prédiction du mot de passe
– …

Attaques contre la confidentialité
• Ces attaques tentent d'intercepter des informations
confidentielles envoyées à travers des associations sans fil,
qu'elles soient envoyées dans le texte clair ou chiffrées par
des protocoles WiFi:
– Écoute et interception de trafic
– Analyse de trafic
– Honeypot AP
– Evil Twin AP (Fake AP)
– Session Hijacking
– Man-In-The-Middle Attack
– Craquage de la clé WEP

Ecoute et Analyse de trafic
• Interception du trafic
– média partagé → attaque facile: Un point d’accès se comporte
comme un HUB → écoute du trafic possible.
– sniffer passif
– arp poisoning

HoneySpot Acess Point
• Dans les surfaces ouvertes, l'attaquant piège les
victimes en utilisant des hotspots configurés avec
un SSID connu.

Honeypot Acess Point
• Cette attaque cible les laptops dans une entreprise sans
réseau sans fil.
• La plupart des utilisateurs laisse leur interface WiFi
activée et configurée pour effectuer une association
automatique à l’AP ayant la puissance d’émission
dominante dans une liste de SSID.
• Le pirate dispose un point d'accès félon à proximité de
l’entreprise et configure son AP avec un SSID commun
et attend que des employés se connectent
automatiquement.

Honeypot Acess Point
SSID: linksys
Internet
Corporate Firewall

Man in the middle en milieu WiFi
• Consiste à disposer un point d'accès étranger à
proximité des autres points d’accès légitimes
• Les stations désirant se connecter au réseau livreront
au point d’accès "félon" (rogue AP) leurs informations
nécessaires à la connexion
• Ces informations pourront être utilisées par une
station
pirate
• Il suffit tout simplement à une station pirate écoutant le
trafic, de récupérer l'adresse MAC d'une station
légitime et de son point d’accès, et de s'intercaler au
milieu.
Man in the middle en milieu WiFi

Crack clé WEP: Présentation
• La simplicité de la mise en place des réseaux Wifi ainsi que leur
évolutivité a favorisé leur expansion au dépit des réseaux câblés.
• Néanmoins la sécurisation de ce type de réseau a été délaissée pour
longtemps.
– Les premiers mécanismes de sécurité se sont basés sur le SSID représentant le
plus bas niveau de protection.
– Ensuite, on a procédé à l’application du filtrage des adresses MAC dans le but
d’empêcher des machines allogènes de pénétrer le réseau.
– Actuellement, on se base sur les clés WEP et WPA pour assurer la protection
du trafic.
• Au cours de cette étude de cas, nous présenterons les défaillances
de l’utilisation des clés.

Crack clé WEP: Étude de la clé WEP et ses
faiblesses
• WEP ( Wired Equivalent Privacy) simple mécanisme de
chiffrement de données basé sur des clés statiques de
taille 64, 128 et 152 bits. Il assure l’intégrité par le biais de
l’algorithme CRC32 et la confidentialité par RC4.
• La majeure faiblesse de l’algorithme RC4 est qu’il se base
sur le chiffrement par flots qui est proie des attaques par
clés apparentes.

Crack clé WEP: Outils utilisés
• La machine d’Ethical Hacker doit nécessairement être munie
d’une carte wifi qui supporte le mode monitoring. Ce mode
assure la capture des paquets échangés dans les réseaux wifi
à porté même ceux qui ne vous sont pas adressés.
• Nous allons utilisés le logiciel Aircrack-ng qui s’appuie sur ce
type d’attaque afin de casser les clés WEP.
• La suite Aircrack se compose de:
– Airmon-ng : détecter les interfaces wifi.
– Airodump-ng : collecte les paquets échangés sur un réseau Wifi.
– Aircrack-ng : casse les clés WEP.
– Aireplay-ng : génère artificiellement du trafic pour diminuer le temps
nécessaire à la collecte des paquets utiles à Aircrack.

Crack clé WEP: Procédure
On active l’interface Wifi (wlan0) et démarre le mode Monitor:

• On peut maintenant balayer les réseaux Wifi
disponibles en utilisant Airodump-ng qui est un outil
d‘écoute qui permet l'obtention de:
• ESSID et BSSID des APs
• Adresses Mac de clients (à utiliser pour usurpation )
• Mode de cryptage utilisé
• Canaux de fréquence utilisés
• Paquets IVs

#airodump-ng wlan0mon
On s’intéresse à la colonne des IVs (#data) qui va nous permettre de

cracker la clé WEP. On a besoin:
• pour une clé WEP (64 bits) de 300,000 IVs et
• pour WEP (128 bits) de 1,000,000 IVs.
Pour accélérer la procédure de collecte de paquets, on
peut effectuer un ensemble d’attaques pour générer les
IVS en utilisant Aireplay-ng tels que:
• CHOPCHOP : générer une fausse requête ARP en décryptant
un paquet WEP
# aireplay-ng -4 wlan0mon -a XX:XX:XX:XX:XX:XX
-h XX:XX:XX:XX:XX:XX
• Fake authentification : s’authentifier et s’associer au point
d’accès que l’on veut attaquer
• # aireplay-ng -1 0 -a XX:XX:XX:XX:XX:XX –e ESSID -h
XX:XX:XX:XX:XX:XX wlan0mon
• Fragmentation :
• # aireplay-ng -5 -b XX:XX:XX:XX:XX:XX -h XX:XX:XX:XX:XX:XX
wlan0mon

Exemple:
Remarques:
• Il y a plusieurs moyens pour utiliser aireplay:
• deauthentication,
• Fausse authentification par adresse MAC,
• Fausse Association avec un BSSID obtenu avec Airodump
• interactive packet replay,
• Injection de paquets ARP pour augmenter le trafic
• Korek chop-chop.
• Il est conseillé d'effectuer plusieurs attaques simultanées pour
augmenter l'efficacité de l'attaque.
Après avoir récupéré la quantité nécessaire d’IVs, on peut
maintenant décrypter la clé WEP en utilisant Aircrack-ng comme
suit :

Méthodologie de piratage des réseaux sans fil
• L'objectif de la méthodologie de piratage des réseaux
sans fil est de compromettre un réseau WiFi afin
d'obtenir un accès non autorisé aux ressources
réseau.
• Les attaques sont divisées en six étapes:
• Découverte du réseau
• GPS mapping
• Analyse de trafic
• Attaque du réseau WiFi
• Craquage du chiffrement
• Compromettre le réseau sans fil

• L'attaque la plus répandue :
– Recherche de point d'accès (appelée Wardriving)
– Les points d'accès sont facilement détectables grâce à un
scanner (+ antennes directives type Yagi permettant d'écouter
le trafic radio à distance hors de la zone de couverture de l’AP).
• Pour la découverte des points d’accès, il existe deux
types de scanners:
– Les passifs (Kismet, Wifiscanner, Prismstumbler…) ne laissant
pas de traces (signatures), quasiment indétectables
– et les actifs (Netstumbler, dstumbler) détectables en cas
d'écoute, ils envoient des " probe request ".

• Scanning actif • Scanning passif
– La station cliente recherche – La station cliente écoute
un point d’accès sur les 14 l’activité sur ses canaux
canaux disponibles en – Une fois un signal détecté, la
émettant station émet une demande
– Lorsqu’un point d’accès est d’association
localisé, la station client – Un scanning passif de tous
essaye de s’y associer les canaux dure 1.5 seconde
– Une recherche sur les 14
canaux dure 1/3 de
seconde

• Les sites détectés sont ensuite indiqués par un
marquage extérieur (à la craie) suivant un code
(warchalking)
• Une première analyse du trafic permet de
trouver :
– le SSID (nom du réseau),
– l'adresse MAC du point d'accès,
– le débit,
– l'utilisation du cryptage WEP
– et la qualité du signal.

• A un niveau supérieur, des logiciels (type Airsnort ou
Wepcrack) permettent, en quelques heures (suivant le
trafic), de déchiffrer les clés WEP et ainsi avec des outils
d'analyse de réseaux conventionnels la recherche
d'informations peut aller plus loin.
• Le pirate peut passer à une attaque dite active et qui
sont les différentes attaques connues dans les réseaux
filaires et qui touchent aussi le monde du Wifi :
– DoS (Denial of Service)
– Spoofing (usurpation d'identité)
– “Man in the middle”

08 Attaque Wi Fi

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

08 Attaque Wi Fi

Transféré par

Droits d'auteur :

Formats disponibles

AKHAM Omar

Formation PIRATAGE ETHIQUE 2

Formation PIRATAGE ETHIQUE 4

Formation PIRATAGE ETHIQUE 5

Formation PIRATAGE ETHIQUE 6

Formation PIRATAGE ETHIQUE 7

Ad Hoc Mode Ad Hoc Mode

Formation PIRATAGE ETHIQUE 9

Authentification dans un système ouvert

Authentification dans un système à clé partagée

Authentification dans un système utilisant un serveur centralisé

Formation PIRATAGE ETHIQUE 14

• Plusieurs points d’accès peuvent être installés pour couvrir une

Formation PIRATAGE ETHIQUE 11

Formation PIRATAGE ETHIQUE 17

Formation PIRATAGE ETHIQUE 18

Formation PIRATAGE ETHIQUE 20

Formation PIRATAGE ETHIQUE 21

Formation PIRATAGE ETHIQUE 23

Formation PIRATAGE ETHIQUE 24

Formation PIRATAGE ETHIQUE 25

Formation PIRATAGE ETHIQUE 26

Formation PIRATAGE ETHIQUE 27

Formation PIRATAGE ETHIQUE 28

Formation PIRATAGE ETHIQUE 29

Formation PIRATAGE ETHIQUE 30

Principe de fonctionnement de WPA

Formation PIRATAGE ETHIQUE 32

Formation PIRATAGE ETHIQUE 33

Formation PIRATAGE ETHIQUE 34

Station Point d'accès Serveur RADIUS

Négociation de la politique de sécurité

Échanges et dérivation des clés à l'aide de

Chiffrement des données

Chaque flèche se décompose elle-même en plusieurs phases

Formation PIRATAGE ETHIQUE 35

Formation PIRATAGE ETHIQUE 36

Le vol de matériel met

Les vols commis Rendre les applications

Formation PIRATAGE ETHIQUE 37

Formation PIRATAGE ETHIQUE 38

Formation PIRATAGE ETHIQUE 39

Formation PIRATAGE ETHIQUE 40

Formation PIRATAGE ETHIQUE 42

Formation PIRATAGE ETHIQUE 43

Formation PIRATAGE ETHIQUE 44

Formation PIRATAGE ETHIQUE 45

• Kismet (outil d'audit - Linux)

Formation PIRATAGE ETHIQUE 46

Formation PIRATAGE ETHIQUE 47

Formation PIRATAGE ETHIQUE 49

Formation PIRATAGE ETHIQUE

Formation PIRATAGE ETHIQUE 51

Formation PIRATAGE ETHIQUE 52

Formation PIRATAGE ETHIQUE 53

Formation PIRATAGE ETHIQUE 55

machine à l’intérieur Association

de l’entreprise victime. Malicious

au Soft AP ce qui lui

Formation PIRATAGE ETHIQUE 57

Formation PIRATAGE ETHIQUE 58

Formation PIRATAGE ETHIQUE 59

Formation PIRATAGE ETHIQUE 60