Piratage de réseaux sans fil

I. Les concepts


I.1 Les terminologies sans fil

GSM : système sans fil utilisée comme moyen de transport mobile pour un réseau mondial sans fil.

BANDWITH (bande passante en français) : quantité d’information qui peut être transmise sur une connexion.

BSSIB : adresse MAC d’un point d’accès.

ACCESS POINT (Point d’accès en français) : il est utilisé pour connecter des équipements sans fil à un réseau filaire/sans fil.

HOSPOT (borne Wi-Fi) : où un réseau sans fil est disponible pour un usage public.

SSID : identifiant unique donné à un réseau Wi-Fi ; cela peut constituer le nom du réseau.

FHSS : méthode de transmission de signaux radio par commutation rapide de porteuse parmi de nombreux canaux de fréquence.

I.2 Les réseaux sans fil

La norme IEEE 802.11 permet aux équipements sans fil d’accéder au réseau en se connectant sur un point d’accès.

Le SSID représente l’identifiant du réseau 802.11.

On peut distinguer quatre types de réseaux sans fil : WPAN, WLAN, WMAN et WWAN.

Le WPAN (réseau personnel sans fil) est un réseau dont la portée ne dépasse pas un rayon de 10m. Exemple : le Bluetooth. Le PAN a pour norme 802.15

Le WLAN (réseau local sans fil) est un réseau local (site d’une organisation par exemple) dont la portée peut aller jusqu’à 1km. Exemples : IEEE 802.11a, IEEE 802.11b et HiperLAN2. Le LAN a pour norme 802.11.

Le WMAN (réseau métropolitain sans fil, de norme 802.16) est un réseau dont la portée s’étend sur plus de 10km.

Le WWAN (réseau étendu sans fil) a une portée jusqu’à 100km. Un WAN est un réseau qui interconnecte plusieurs LAN. Exemples de WWAN : GSM, GPRS, UMTS, etc.

***WIFI AUTHENTICATION PROCESS 4- WAY HAND-SHAKE*** DEMO

I.3 Les types d’antennes sans fil

On peut distinguer différents types d’antennes :

  • Les antennes directionnelles : elles sont utilisées pour diffuser et obtenir des ondes radio dans une seule direction ;
  • Les antennes omnidirectionnelles : elles couvrent un angle de 360° et émettent ces radiations de manière horizontale ;
  • Les antennes en grillage parabolique : basées dans une coupe satellite, elles peuvent relever des signaux Wi-Fi sur 10 lieux ou plus ;
  • Les antennes dipôles : ce sont des antennes bidirectionnelles ;
  • Les antennes Yagi : ce sont des antennes unidirectionnelles ;
  • Les antennes réflectrices : utilisées pour concentrer l’énergie EM qui est émise ou reçue en un point focal.

I.4 Les types de chiffrement sans fil

I.4.1 Chiffrement de confidentialité équivalent au filaire

Il est défini par la norme 802.11, pour fournir un réseau local sans fils avec un niveau de sécurité et de confidentialité comparable au réseau local filaire.

Il présente d’importantes vulnérabilités et failles de conception, et peut être facilement cracker.

Il utilise l’algorithme RC4 qui est très ancien.

I.4.2 Chiffrement WPA (Wi-fi Protected Access)

Il est défini par la norme 802.11 et utilise un protocole d’intégrité de clé temporelle qui utilise le cryptage de chiffrement principal RC4.

WPA utilise TKIP afin d’éliminer les faiblesses de WEP.

I.4.3 Chiffrement WPA 2

C’est une mise à jour de WPA. Il inclut un support obligatoire pour un mode de blocage avec un chiffrement CCMP.

Il utilise le système de chiffrement avancé AES (Advance Encryption System) et est destiné pour les personnels, les entreprises, etc.

I.4.4 Vecteurs d’initialisation faible (IV)

Dans l’algorithme RC4, le KSA (Key Scheduling Algorithm) crée un IV basé sur une clé.

Les vecteurs d’initialisation faible révèlent des informations sur les octets de la clé.

Il n’y a pas de détection efficace pour les messages falsifiés.

Il utilise directement une clé spéciale et aucune disposition n’est mise en place pour mettre à jours les clés.

II. Les menaces sur les réseaux sans fil


II.1 Les attaques sur le contrôle d’accès

Les attaques sur le contrôle d’accès sont favorisées par :

  • Les mauvaises configurations des points d’accès : la diffusion du SSID, les mots de passe (SSID) faibles et le fait de ne pas mettre de mot de passe sur son réseau rendent le réseau vulnérable ;
  • La variété des clients ;
  • La mauvaise association des clients à un point d’accès : paramétrer un point d’accès véreux en dehors du paramètre de l’organisation, cela leurre les employés ;
  • L’usurpation d’adresse MAC des points d’accès ;
  • Les points d’accès véreux ;
  • Les associations non autorisées : utilisation de points d’accès flexibles, pas stable, des chevaux de Troie, à la place de vrais points d’accès ;
  • Les attaques DoS : dans le but de déconnecter les clients sur le point d’accès ;
  • Les attaques par réinstallation de clé (KRACK) : qui exploitent le 4-way handshake qu’établie le protocole WPA2 en forçant
  • Etc.

II.2 Les attaques sur l’intégrité

L’intégrité des réseaux sans fil peut être compromise par l’injection de trame de données, l’injection WEP, la répétition des données, des vecteurs d’initialisation (IV), les virus destinés aux réseaux sans fil, etc.

II.3 Les attaques sur la confidentialité

L’attaquant peut compromettre la confidentialité à travers :

  • L’espionnage (Eavesdropping) ;
  • L’analyse de trafic ;
  • Le craquage de clé WEP ;
  • Le détournement de session ;
  • La mascarade ;
  • L’attaque par l’homme du milieu.

III. Méthodologie de piratage d’un réseau WI-FI


III.1 Découverte de réseaux Wi-Fi

  • Reconnaissance de réseau sans fil :

Il y a deux types de reconnaissance :

ACTIVE : cela consiste à envoyer des paquets en sonde et de récupérer les réponses contenant le SSID du réseau.

PASSIVE : cela consiste à surveiller le réseau et capturer les paquets qui y transitent.

  • Trouver des plages de réseaux Wi-Fi pour les attaquer :

Les attaquants utilisent diverses techniques pour trouver le réseau Wi-Fi cible : WARWALKING, WARCHALKING, WARFLYING, WARDRIVING.

III.2 Mappage GSP

Les attaquants créent une carte des réseaux Wi-Fi découverts et construisent une base de données avec des statistiques et la téléverse sur des sites comme WiGLE.

III.3 Les outils

  • Outils de découverte de Wi-Fi :

inSSIDer Office, NETSURVEYOR, XIRRUS WI-FI INSPECTOR,WIRELESSMON

Basés sur mobile : WIFI EXPLORER. WIFI MANAGER, OPEN SIGNAL MAPS, WIFINDER.

  • Outils de mappage GPS : SKYHOOK, EXPERTGPS, MAPWEL, TRACKMAKER.
  • Outils découvreurs de bornes Wi-Fi : WI-FI FINDER, AVAST WI-FI FINDER, OPEN WIFI FINDER, FREE WIFI FINDER.

III.4 COMMENT DECOUVRIR UN RESEAU WI-FI EN UTILISANT WARDRIVING ?

1) s’inscrire à WiGLE et télécharger les packs de cartographie pour votre zone.

2) connecter l’antenne, adaptateur de série USB

3) installer et lancer NETSTUMBLER et le logiciel client de WiGLE et allumer l’équipement GPS

4) conduire la voiture sous 35km/h ou moins

5) capturer et sauvegarder les fichiers log de NETSTUMBLER

6) téléverser les fichiers log dans WiGLE, placer automatiquement le point sur une carte.

Clé de sécurité USB Wi-FI : AIRPCAP

Renifleur de paquets Wi-Fi : WIRESHARK, STEELCENTRAL PACKET ANALYZER, OMNIPEEK ENTERPRISE, COMMVIEW FOR WI-FI

Analyse de spectre : pour mesurer la puissance du spectre des signaux connus et inconnus : EKAHAU SPECTRUM ANALYZER

IV. Attaque par l’homme du milieu avec Aircrack


IV.1 Les étapes

Étape 1 : utiliser iwconfig pour vérifier si le mode est en managed mode ou monitor mode

Étape 2 : man airmon-ng

Étape 3 : airmon-ng start wlan0(interface)

Étape 4 : si des services causent des problèmes, il faut les éliminer avec « kill PID »

Étape 5 : ensuite vérifier avec iwconfig pour voir si on est en mode monitor ou non

Étape 6 : airodump-ng start wlan0mon

                Il va afficher BSSIB, signal (Beacons), la puissance (pwr), le canal (Channel), le chiffrement (cipher), les données (data packet).

Étape 7 : airodump-ng –bssid « mac » -c « channel no » wlan0mon

Étape 8 : pour stocker les paquets (airodump-ng –bssid « MAC » -c 5 -w « kiki(nom du fichier) » wlan0mon

Étape 9 : aireplay-ng -0 10 -a « router Ip » -c « victim Ip to disconnect » wlan0mon

Étape 10 : aircrack-ng kiki -w « wordlist »

Outils d’usurpation d’adresse MAC : TECHNITIUM MAC CHANGER, ifconfig wlan0hw ether aa:bb:cc:dd:ee:ff.

IV.2 Les scénarios et les étapes d’installation de points d’accès véreux

–> Point d’accès véreux de poche connecté à un port Ethernet ;

–> Connecter-le sur le lien Wi-Fi ;

–> Point d’accès véreux basé sur USB ;

–> Point d’accès véreux basé sur logiciel ;

–> Choisir un emplacement approprié pour obtenir un maximum de couverture ;

–> Désactiver la diffusion du SSID et les caractéristiques de gestion ;

–> Placer le point d’accès derrière le pare-feu ;

–> Point d’accès véreux pour une courte période.

IV.3 Cracker WEP en utilisant AIRCRACK-NG

Étape 1 : exécuter AIRMON-NG en mode monitor

Étape 2 : airodump-ng –ivs –write capture eth1

Étape 3 : aireplay-ng -1 0 -e SECRET_SSID -a 1e:63:51:3b:ff:3e -h a7:71:fe:8e:d8:25 eth1

Étape 4 : aireplay-ng -3 -b 1e:63:51:3b:ff:3e -h a7:71:fe:8e:d8:25 eth1

Étape 5 : aircrack-ng -s capture.ivs

IV.4 Les outils

  • Outils WEP et WAP :

WEP CRACKING, WPA BRUTEFORCINg, elcomsoft wireless security auditor, wesside-ng, wepattack.

Pour mobile : WIFI WPS WPA TESTER, IWEP PRO, ANDRODUMPER(WPS CONNECT).

  • Renifleur Wi-Fi

KISMET, AIRMAGNET WIFI ANALYZER, CAPSA NETWORK ANALYZER, XIRRUS WI-FI INSPECTOR.

V. Piratage de Bluetooth


Le Bluetooth permet de partager des données sur une courte distance sans câble.

Pour le pirater, il faut exploiter les vulnérabilités de sa pile d’implémentation afin de compromettre les données dans un réseau et un équipement.

Cela peut se faire à travers des attaques tells que BLUESMACKING, BLUEJACKING, BLUE SNARFING, BLUESNIFF, BLUEBUGGING, BLUEPRINTING, MAC SPOOFING ATTACK, MITM/IMPERSONATION ATTACK.

V.1 Les menaces

Avec le Bluetooth, on peut rencontrer plusieurs menaces, à savoir l’ingénierie sociale, le bug des équipements, les codes malveillants, les vulnérabilités des protocoles, l’envoie des SMS, etc.

V.2 Les étapes pour mener une attaque de type BLUEJACK

Etape 1 : sélectionne une zone avec beaucoup de gens (Cafétéria, centre commercial, etc.)

Etape 2 : crée un nouveau contact dans votre téléphone, entre le nom dans le champ nom (aimerais-tu poursuivre sur un rencard avec moi ?)

Etape 3 : sauvegarde le nouveau contact, choisi envoyer via Bluetooth, il recherchera des équipements

Etape 4 : choisi un téléphone et envoie le contact, ensuite fais attentions à la tonalité du SMS sur le téléphone de ton victime.

Outils : Bluetooth view, bluescan, BTcrawler, bluesnarfer.

VI. Les contremesures


VI.1 Les mesures de sécurité sans fil

–> Sécurité du signal sans fil ;

–> Protection des données ;

–> Sécurité de la connexion ;

–> Protection du réseau ;

–> Sécurité de l’équipement ;

–> Protection des utilisateurs finaux.

VI.2 Défense contre le piratage de WPA/WPA2

  • Passephrase : en plus du mot de passe, utiliser une phrase aléatoire et difficile à cracker (au moins 20 caractères) pour la sécurité ;
  • Paramètres clients : utiliser WPA2 avec le chiffrement AES/CCMP qui règle correctement les paramètres client ;
  • Utiliser aussi un VPN, mettre en place un contrôle d’accès au réseau ou une protection pour des contrôles supplémentaires sur les utilisateurs finaux.

VI.3 Défense contre les attaques de type KRACK

KRACK (Key Reinstallation Attack) est une attaque par réinstallation de clé.

Pour ce défendre de ce type d’attaque, il faut :

–> mettre à jour les derniers correctifs de sécurité ;

–> activer les mises à jour automatiques ;

–> éviter l’utilisation de Wi-Fi public ;

–> ne pas accéder aux informations sensibles d’un réseau non protégé ;

–> activer l’extension HTTPS partout ;

–> utiliser une authentification à double facteur.

VI.4 Détecter et bloquer les points d’accès véreux

Les outils de balayage RF sont tous branchés sur le réseau filaire pour détecter et prévenir l’administrateur du réseau sans fil WLAN.

Les scanneurs de point d’accès ont la fonctionnalité de détecter les points accès se trouvant à proximité.

Il est aussi possible d’utiliser certains logiciels capables de détecter les équipements connectés dans i=un LAN, TELNET, SNMP, CDP en utilisant de multiples protocoles.

VI.5 Défense contre les attaques de réseau sans fil

Pour défendre un réseau sans fil contre les attaques, il faut :

  • Changer le SSID par défaut après la configuration du WLAN ;
  • Mettre un mot de passe d’accès sur le routeur ;
  • Désactiver la connexion à distance sur le routeur ;
  • Activer le filtrage d’adresse MAC ;
  • Activer le cryptage de données ;
  • Ne pas utiliser un mot de passe facile à deviner ;
  • Vérifier régulièrement la configuration des équipements et leurs paramétrages ;
  • Implémenter un cryptage du trafic sur le réseau sans fil ;
  • Utiliser WPA ;
  • Désactiver le réseau lorsque vous n’en avez pas besoin ;
  • Mettre à jour les pilotes ;
  • Utiliser un serveur centralisé pour l’authentification.

VI.6 Défense contre le piratage de Bluetooth

Pour se défendre contre le piratage de Bluetooth, il faut :

  • Ne pas utiliser de codes habituels lors du couplage ;
  • Cacher la visibilité de l’appareil ;
  • Ne pas accepter de requêtes inconnues ;
  • Activer le cryptage de données ;
  • Garder le Bluetooth désactivé en cas de non utilisation ;
  • Installer un antivirus ;
  • Utiliser un cryptage de lien pour toutes les connexions Bluetooth.

VI.7 Les outils de sécurité

  • Outils d’audit de sécurité Wi-Fi : CISCO ADAPTIVE WIRELESS IPS, AIRMAGNET WIFI ANALYZER, RFPROTECT, FERN WIFI CRACKER ;
  • IPS Wi-Fi : WATCHGUARD WIPS, ENTERASYS IPS, SONICWALL SONICPOINT N2 ;
  • Outils PP Wi-Fi : AIRMAGNET PLANNER, AIRTIGHT PLANNER, lan planner ;
  • Outils pour la recherché de vulnérabilité Wi-Fi : ZENMAP. NESSUS, NEXPOSE ;
  • Outils de sécurité Bluetooth : BLUETOOTH FIREWALL BLUEDIVING, BLUELOG, BLOOOVER II ;
  • Pour mobiles : WIFI PROTECTOR, WIFI GUARD, WIFI INSPECTOR, ARP GUARD.

VII. Test de pénétration sur les réseaux sans fil


Étape 1 : découvrir les appareils sans fil ;

Étape 2 : équipement sans fil trouvé ?

Étape 3 : documenter les résultats

Étape 4 : réseau Wi-Fi disponible ?

Étape 5 : utilise-t-il le cryptage WEP ?

Étape 6 : effectuer un test de pénétration sur le WEP

Étape 7 : utilise-t-il le cryptage WPA/WPA2 ? —-> effectuer un test de pénétration sur WPA/WPA2

Étape 8 : utilise-t-il le cryptage LEAD ? —-> effectuer un test de pénétration sur LEAP

Étape 9 : WLAN non crypté ? —-> effectuer l’attaque sur un réseau Wi-Fi en général.

VII.1 Test de pénétration pour l’attaque sur un réseau Wi-Fi en général

Étape 1 : créer un point d’accès véreux

Étape 2 : deauth client —-> utiliser KARMA, AIRPLAY-NG, etc.

Étape 3 : associer le client

Étape 4 : renifler le trafic

Étape 5 : certificat / passe acquis ?

Étape 6 : craquer le passphrase —-> utiliser WZCOOK

Étape 7 : voler des informations

VII.2 Test de pénétration sur WEP du WLAN

Étape 1 : le SSID est-il visible ? —-> DEAUTH CLIENT (AIREPLAY-NG, COMMVIEW, etc.)

Étape 2 : renifler le trafic

Étape 3 : capturer / injecter des paquets

Étape 4 : casser le WEP —-> utiliser AIRCRACK-NG, WEPCRACK, etc.

Étape 5 : relancer les attaques

VII.3 Test de pénétration sur le cryptage WPA.WPA2

Étape 1 : DEAUTH CLIENT—-> utiliser KARMA, AIRPLAY-NG, etc.

Étape 2 : renifler le trafic

Étape 3 : EAPOL HANDSHAKE capturé ?

Étape 4 : effectuer une attaque de type dictionnaire sur WPA/WPA2 —-> utiliser COWPATTY, AIRCRACK-NG

Étape 5 : voler des informations

VII.4 Test de pénétration sur le cryptage LEAP

Étape 1 : DEAUTH CLIENT

Étape 2 : casser LEAP —-> utiliser ASLEAP, THC-LEAPCRACKER, etc.

Étape 3 : voler des informations confidentielles

VII.5 Test de pénétration sur un WLAN non crypté

Étape 1 : le SSID est-il visible ? —> DEAUTH CLIENT —> associer client

Étape 2 : DEAUTH CLIENT

Étape 3 : sniffer pour découvrir la plage d’adressage du réseau

Étape 4 : le filtrage d’adresse MAC est-il activé ? —> OUI —> aller à l’étape 5

Étape 5 : usurper une adresse MAC valide —> utiliser MAC ADDRESS CHANGER

Étape 6 : se connecter au point d’accès utilisant une adresse IP à l’intérieur de la plage découverte.