Wifi – WPA/WPA2

Vous avez pu voir dans un précédant article comment il était possible de craquer un réseau wifi en WEP.
Mais la plus part du temps c’est du WPA/WPA2 que l’on rencontre .. Alors quels sont les faiblesses de cette sécurité ? Comment l’exploiter ? Quels sont les limites de ces attaques ?

Comme pour toutes attaques et toutes failles il est indispensable de comprendre comment elles fonctionnent, car si non vous ne serez jamais plus qu’un script kiddie et jamais un véritable Hacker.

Etablissement d’une connexion WPA

Lorsque vous vous connectez sur un réseau wifi en WPA/WPA2 voici ce qui se passe :
Votre device ( ordinateur/tablette/smartphone/console/tv ) demande a la box l’autorisation de se connecter.
La box répond alors à votre device en lui envoyant un challenge. Le but pour votre device est alors de répondre à la box en lui renvoyant ce challenge chiffré avec la clé de sécurité du réseau. Et à cela notre device va envoyer son propre challenge a la box. La box reçoit la confirmation que le device connait la clé grâce au chiffrement du premier challenge. Elle dit donc au device que pour elle la communication est possible, et chiffre le challenge du device. Le device reçoit ce message et  vérifie que le challenge est correctement chiffré a son tour. Si les deux équipements sont d’accord alors la communication s’établie.

Illustration classique du 4-Way Handshake.

 

Faiblesses et exploitation

Donc en résumé la connexion WPA se joue sur 4 paquets. Ce sont des paquets que l’on nomme EAPOL ou : 4 Way Hand Shake. Ce sont ces 4 paquets que l’on va devoir récupérer. Alors évidement on ne va pas récupérer la clé comme cela ! Mais on va récupérer le challenge et le résultat. C’est un peu une équation à une inconnue sauf que la on va devoir tester toute les valeurs possibles pour la résoudre.
Lorsque vous vous connectez la première fois sur le réseau vous entrez la clé une seule et unique fois ( sauf dysfonctionnement ). Et votre OS va stocker à sa manière cette clé pour ne pas vous demander à chaque fois de l’entrer ( exemple Windows ). Ce qui veux donc dire que lorsque vous êtes déconnecté du réseau l’OS va tenter de vous reconnecter sans vous demander la clé puisqu’il la connaît.
Pour récupérer le 4 Way HandShake  il va falloir provoquer une nouvelle connexion entre le device et la box. Et pour cela, on va faire déconnecter un utilisateur en lui envoyant les paquets appropriés a la déconnexion.
Pour déconnecter un utilisateur nous allons utiliser Aireplay-ng que nous connaissons déjà.On ouvre 2 terminaux en plus de airodump-ng. Dans un premier nous allons envoyer des paquets de dés-authentification à l’utilisateur cible et dans le second à la box histoire d’optimiser notre attaque.

aireplay-ng -0 <nbdeco> -a <AdresseApWifi> -c <AdresseVictime>

-0 correspond a l’attaque : –deauth
<nbdeco> correspond au nombre de paquets de dés-authentification que nous allons envoyer.
Les adresses suivantes sont des adresses MAC.

Afin d’optimiser l’attaque nous allons aussi attaquer le point d’accès wifi. Pour faire cela ouvrez vous un deuxième terminal pour que les deux attaques se fassent en même temps.

aireplay-ng -0 <nbdeco> -a <AdresseApWifi>

Laissez ces attaques faire leur effet, ce qui est généralement assez rapide, vous verrez qu’elles sont finies lorsqu’Airodump-ng indiquera qu’il à capté un Handshake :

Nous pouvons le vérifier dans wireshark :

Maintenant il est temps de passer au crack de la clé.

Crack de la clé WPA

Après avoir capturé notre 4 Way Handshake il est temps de craquer la clé.
Comme vous l’avez compris plus tôt ce n’est pas grand chose de très compliqué, il n’y a qu’à tester tout les mots de passe possible jusqu’à ce que cela corresponde avec celui du réseau.

Il existe donc deux grandes possibilités pour craquer cette clé :
L’attaque par dictionnaire et celle par brute force.

L’attaque par brute force consiste à générer successivement tout une suite de mots de passe et à la tester directement après la génération.
C’est à vous de définir les caractères utilisés pour le brute force. L’avantage est que vous allez tester à coup sur toutes les combinaisons possible. l’inconvenant est que vous aurez besoin d’une grosse machine de guerre pour arriver a craquer un mot de passe. Pour vous donner un exemple mon i7 a une puissance de calcul de 5000clés/s. Ce qui est très ( trop ) faible.

Exemple avec Crunch pour générer les clés :

./crunch 1 26 01234567890ABCDEF –stdout 
| aircrack-ng fichier.cap -w – -b <bssid>
Ici je génère un ensemble de clés de 1 à 26 caractères hexadécimaux

L’attaque par dictionnaire a l’avantage d’être plus rapide car vous n’avez pas à générer les mots de passe. Enfin en théorie il faut l’avoir fait avant, mais vous pouvez vous échanger vos dictionnaires qui sont des fichiers .txt !
Cependant un fichier de ce genre dépasse souvent les Go voir même les To !

Si toute fois vous avez vraiment confiance en votre dictionnaire vous pouvez utiliser cette commande :

aircrack-ng fichier.cap -w <dictionnaire> -b <bssid>
 
Voila pour le WPA/WPA2 ! Alors vous devez surement vous demander comment sécuriser votre réseau maintenant .. Et bien si vous avez tenté de craquer votre réseau vous pouvez vous rendre compte que c’est très long, alors à vous de choisir un mot de passe long et constitué de lettres minuscules/majuscules chiffres et symboles. Dans un prochain article je traiterais le cas du wifi entreprise !
 

Un commentaire on "Wifi – WPA/WPA2"

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *