Scurit

Casser une cl WEP ou WPA

Les rseaux sans l posent de srieux problmes de scurit. Pour une entreprise, il est impratif de protger le rseau. Mettre en place un chiffrement WEP (wired equivalent privacy) ne suft pas et le recours WPA (Wi-Fi protected access) n'amliore les choses que si l'on choisit une cl longue et complique (mlange de majuscules, de minuscules, de chiffres et d'autres signes).
Casser le mot de passe de Windows Casser une cl WEP ou WPA Analyser la scurit d'un ordinateur

Attention, il faut avoir l'autorisation expresse du propritaire du rseau pour l'attaquer. Sinon, on risque des poursuites civiles ou pnales et les sanctions peuvent tre lourdes jusqu' trois ans de rclusion (voir annexe 2).

La procdure
Voici comment casser une cl WEP au moyen du logiciel Aircrack-ng en faisant au plus simple. Pour des explications supplmentaires, aller sur http://www.aircrack-ng.org, http://forums.remoteexploit.org (en anglais) ou http://fr.remote-exploit.org (en franais).

1 Se procurer Aircrack
Aircrack fait partie de Backtrack, un Linux Live qu'on trouve sur http://www.backtrack-linux.org sous forme d'image ISO (voir annexe 2). Placer Backtrack dans le lecteur optique et redmarrer l'ordinateur. L'cran ci-dessous apparat!:

Casser une cl WEP ou WPA "

1"

http://www.jaquet.org, mars 2010

Si on souhaite une interface graphique, on tape la commande startx pour lancer KDE, mais, attention, le clavier est en mode amricain. En France et en Belgique, il faut donc taper stqrtx. Au Canada et en Suisse, c'est startx. Pour autant qu'on n'ait pas de problme de compatibilit et si on a choisi KDE, on change le clavier avec un clic droit sur l'icne du drapeau amricain dans la barre des tches en bas droite. Terminer cette tape en ouvrant une session terminal. On peut le faire en cliquant sur l'icne d'un cran noir dans la barre des tches. La suite des oprations se passe dans le shell. L'invite de commande apparat!:

2 Dterminer l'interface sans l utiliser

Pour afcher les interfaces sans l de l'ordinateur qu'on utilise, taper la commande iwcong!: root@bt:!# iwconfig La liste qui apparat ressemble ceci!:

C'est la dernire interface de la liste qui est la bonne!: wlan0. Celles qui sont marques no wireless extensions (!pas d'extensions sans l!) ne nous intressent pas.

Casser une cl WEP ou WPA "

2"

http://www.jaquet.org, mars 2010

3 Mettre l'interface sans l en mode monitor

En mode normal, l'interface sans l ne capture que les paquets qui lui sont adresss. Or, pour tre en mesure de casser la cl, il faut analyser un grand nombre de paquets. Pour cela, on passe la rception en mode monitor. C'est le mode dans lequel l'interface capture tous les paquets qu'elle capte et pas seulement ceux qui lui sont destins. Pour cela, on utilise la commande airmon-ng. Ouvrir une nouvelle fentre et taper!: airmon-ng start wlan0 en remplaant wlan0 par le nom de l'interface qui s'est afch quand on a tap iwcong. Taper ensuite!: iwconfig pour vrier que l'interface s'est mise en mode monitor. L'indication Mode:Monitor doit remplacer Mode:Managed. Une seule interface doit tre active. Si ce n'est pas le cas, teindre les autres interfaces au moyen de la commande!: airmon-ng stop wlan1 en remplaant wlan1 par le nom adquat. Iwcong permet de vrier que tout va bien.

4 Lancer la capture des paquets

On lance l'coute au moyen de la commande airodump-ng. Ouvrir une nouvelle fentre et taper!: airodump-ng wlan0 en remplaant bien entendu wlan0 par le nom de l'interface afch quand on a tap iwcong. Cette commande afche tous les rseaux sans-l capts par l'interface sans l de l'ordinateur qu'on utilise. Le rsultat ressemble ceci!:

Casser une cl WEP ou WPA "

3"

http://www.jaquet.org, mars 2010

Les onze lignes d'en haut afchent la liste des points d'accs. La premire colonne (BSSID) donne leur adresse MAC, la sixime (CH) le canal qu'il utilisent, la huitime (ENC) leur systme de chiffrement et la dernire (ESSID) leur nom. Les trois lignes d'en bas indiquent les ordinateurs actifs (appels stations par airodump-ng). On arrte la capture avec la combinaison de touches Ctrl-C. On la relance ensuite en ciblant le rseau attaquer en indiquant son canal par exemple 6 ainsi que l'adresse MAC du point d'accs (ces informations sont indiques dans la fentre qu'on vient de voir). Exemple!: airodump-ng --write log -c 6 --bssid 00:36:3f:bc:1b:22 wlan0 en remplaant comme d'habitude wlan0 par le nom de l'interface et en indiquant la bonne adresse MAC (o, soit dit en passant, les lettres sont en ralit des chiffres en base 16). On laisse ensuite cette fentre ouverte. Elle va capturer les paquets envoys par le point d'accs.

5 Vrier si on est accept par le point d'accs

Pour vrier qu'on est accept par le point d'accs, on ouvre une autre fentre terminal et on utilise la commande aireplay-ng avec les paramtres suivants!: -1 0 " " " -e nom-rseau" " -a adresse-point-accs" -h adresse-poste" " tiret, chiffre 1, espace, chiffre 0!; tiret, lettre e, espace, nom du rseau!; tiret, lettre a, espace, adresse MAC du point d'accs!; tiret, lettre h, adresse MAC de l'ordinateur qu'on utilise.

La commande ifcong permet de connatre l'adresse MAC de notre ordinateur, exprime en hexadcimal (l'adresse MAC est aussi appele hardware address ou HWaddr). Si une longue suite de chiffres s'afche, seules les six premires paires forment l'adresse. La commande sera par exemple!: aireplay-ng -1 0 -e Jean -a 00:36:3f:bc:1b:22 -h 00:9a:54:6e:71:4a wlan0 Le -1 (c'est le chiffre 1 et non la lettre L minuscule) spcie que c'est une demande d'authentication et le chiffre 0 que les demandes doivent se succder sans observer de dlai entre chaque tentative. Le -e annonce le nom du rseau, qui est par exemple Jean . Attention, Backtrack est une distribution Linux, il faut respecter la casse (majuscules et minuscules). Le -a est pour l'adresse MAC du point d'accs et le -h pour celle de la station (de l'ordinateur qu'on est en train d'utiliser). Le dernier argument est le nom de l'interface de la station. Remarque!: si le point d'accs a t congur pour accepter seulement les adresses MAC qui gurent sur une liste blanche, l'authentication ne peut russir que si on donne l'ordinateur qu'on utilise une fausse adresse MAC autorise (MAC spoong). Pour cela, on dsactive l'interface sans l (en remplaant wlan0 par le nom adquat)!: ifconfig wlan0 down On lui attribue une adresse MAC autorise, qu'on a trouve par exemple avec airodump-ng!: ifconfig wlan0 hw ether 00:9a:54:6e:71:4a

Casser une cl WEP ou WPA "

4"

http://www.jaquet.org, mars 2010

Puis on relance l'interface!: ifconfig wlan0 up

6 Collecter d'autres paquets

La commande aireplay-ng sert aussi collecter des paquets. Pour cela, on remplace l'argument -1 0 par -3!: aireplay-ng -3 -e Jean -a 00:36:3f:bc:1b:22 -h 00:9a:54:6e:71:4a wlan0 La commande afche quelque chose qui ressemble ceci!:

On laisse ensuite cette fentre ouverte pour permettre la capture de s'effectuer. Dans l'exemple ci-dessus, on voit qu'on en est 1384 paquets capturs. ce stade, nous avons deux ensembles de paquets qui s'accumulent peu peu dans deux fentres. Il faut maintenant attendre quelques minutes pour laisser Aircrack-ng collecter les milliers de paquets dont il a besoin pour parvenir trouver la cl.

7 Casser la cl WEP
Aprs quelques minutes, on peut lancer la casse de la cl avec aircrack-ng. Ouvrir une nouvelle fentre et taper!: aircrack-ng -z log*.cap Le programme recherche la cl. Cela prend de quelques secondes plusieurs dizaines de minutes. Voici un exemple (source!: http://www.codemonkeynotes.com/?p=8)!:

Ici, la cl est Kizza. Le code de ces cinq caractres est 4B, 69, 7A, 7A et 61 (voir annexe 1).

Casser une cl WEP ou WPA "

5"

http://www.jaquet.org, mars 2010

La conclusion est simple!: WEP ne constitue pas une protection efcace, mme si on la complte par le ltrage des adresses MAC ou d'autres mthodes.

Casser une cl WPA

La procdure est presque la mme pour casser une cl WPA 1 que pour une cl WEP. Un tutoriel!: - http://www.crack-wpa.fr/tutoriel-crack-wpa.php. C'est surtout la dernire tape qui est diffrente parce que les cls WPA rsistent aux attaques de type reverse engineering. On les casse par force brute (parcours d'un dictionnaire). Comme le dictionnaire est la seule mthode pour casser une cl WPA, il faut videmment viter des cls comme 1234 ou admin, qui sont dcouvertes en une fraction de seconde. Il faut choisir une cl trs particulire qui ne gurera dans aucun dictionnaire et sera donc introuvable. Malheureusement, dans le monde rel, la plupart des cls WPA ne sont pas bien scurises. Valerie1234! est beaucoup plus rpandu que ]%t5-O?0$&Q/{{. En revanche, une cl WPA 2 est pratiquement impossible casser pour l'instant.

Autres tutoriels
Quelques tutoriels en franais sur Aircrack-ng!: - http://www.crack-wpa.fr/tutoriel-crack-wep-aircrack-ng-backtrack.php - http://www.tuto-fr.com/tutoriaux/tutorial-crack-wep-aircrack.php - http://www.zonegeeks.com/tutos/tutos-crack-wep-injection.php. Un tutoriel en anglais!: - http://lifehacker.com/5305094/how-to-crack-a-wi+-networks-wep-password-with-backtrack.

SpoonWep
Il existe aussi un programme qui agit un peu comme une interface graphique pour Aircrack!: SpoonWep de Shamanvirtuel. On vite d'avoir taper les commandes qu'on vient de voir, mais certaines des informations qu'il faut donner SpooneWep sont difciles trouver autrement qu'en... tapant des commandes. Sur la premire fentre de Spoonwep version 2 (appele Spoonwep Settings), il faut donner les informations suivantes!: Net Card!: interface sans l de l'ordinateur qu'on utilise. On obtient par exemple cette information au moyen de la commande iwcong. Driver!: le driver du sans-l de l'ordinateur qu'on utililse. Mode!: choisir Unknown victim et cliquer sur Next.

Casser une cl WEP ou WPA "

6"

http://www.jaquet.org, mars 2010

Sur la deuxime fentre (Victims Discovery)!: Chan hopping!: scanne tous les canaux. Fixed chan!: si le canal est connu (on obtient cette information avec airodump-ng), on peut changer Chan hopping en Fixed chan et indiquer le canal cibler avec le curseur. Cliquer ensuite sur Launch pour lancer la recherche. Si le rseau cibl apparat dans la liste qui s'afche, le slectionner et cliquer sur Selection OK. On arrive la troisime fentre (Attack Panel). Choisir la mthode d'attaque, par exemple Replay attack, et cliquer sur Launch pour la lancer. Aprs un certain temps, la cl apparat en rouge en bas de la fentre sous forme hexadcimale (voir annexe 1).

Casser une cl WEP ou WPA "

7"

http://www.jaquet.org, mars 2010

Annexe 1
Cette annexe donne des prcisions sur quelques points de la procdure explique ci-dessus.

Le calcul du MD5
MD5 indiqu sur le site!:

Quand on charge un chier depuis l'internet, on peut vrier que le chier n'est pas corrompu en utilisant son code MD5 (message-digest algorithm!5). C'est un nombre en hexadcimal form d'une trentaine de chiffres, nombre qui est calcul partir du chier concern. Pour tre sr que le chier qu'on a charg n'a pas t corrompu et est identique l'original, on compare le code MD5 indiqu sur le site (voir image ci-dessus) avec celui qu'on recalcule (image ci-contre). Les deux nombres doivent tre identiques. Pour ce recalcul, tout dpend du systme d'exploitation. Sous Linux, avec le chier de Backtrack, qui s'appelle bt4-nal.iso, c'est!: md5sum bt4-final.iso Sous Mac OS, c'est!: md5 bt4-final.iso Sous Windows, la commande n'existe pas, mais on trouve des outils crs par des socits tierces, par exemple WinMD5Sum de Nullriver (http:// www.nullriver.com).
MD5 recalcul aprs le download!:

L'extraction d'une image ISO

Backtrack est une image ISO, ce qui veut dire qu'on grave le DVD au moyen de la fonction Graver une image ISO et non Copier des chiers. Les deux oprations sont compltement diffrentes!: copier des chiers revient crer un second exemplaire de chaque chier, et ils sont identiques aux originaux!; ici, on obtiendrait une copie (parfaitement inutile) du chier bt4-nal.iso!; graver une image ISO consiste transformer un chier ISO unique en une collection de rpertoires 1 et de chiers (souvent des milliers), collection qui n'a pas la moindre ressemblance avec le chier unique original. Sous Windows 7, faire un clic droit sur l'icne du chier bt4-nal.iso et choisir Graver l'image du disque. Sous les autres versions de Windows, le mieux est d'installer un programme tiers. Avec Burnaware Free (http://www.burnaware.com), c'est l'option Graver une image dans la rubrique Images de disques. Avec Ashampoo Burning Studio Free (http://download.cnet.com/Ashampoo-BurningStudio-Free/3000-2646_4-10776287.html), c'est Crer/Graver Images Disque puis Graver CD/ DVD/Disque Blu Ray depuis Image Disque.

Les rpertoires sont appels !dossiers! par Microsoft.

Casser une cl WEP ou WPA "

8"

http://www.jaquet.org, mars 2010

Sous Mac OS, il y a l'Utilitaire de disque, mais le plus simple est d'utiliser la commande hdiutil!: hdiutil burn bt4-final.iso Sous Linux, cela dpend de l'interface avec l'utilisateur et du gestionnaire de chiers utiliss. Avec le gestionnaire de chiers par dfaut et Gnome, faire un clic droit sur l'icne du chier bt4-nal.iso et choisir Ouvrir avec !Gravure de disque!. Avec KDE, c'est Applications ! Multimdia ! Gravure de CD et de DVD. Avec Xfce, c'est Applications ! Multimdia ! Brasero.

Boot sequence
Quand on fait redmarrer l'ordinateur, il arrive que Backtrack ne se lance pas et que l'cran d'accueil normal s'afche. Si c'est le cas, aller dans le BIOS et mettre le lecteur de disques optiques en premier dans la boot sequence (ordre des mmoires lues au dmarrage).

Conversion d'ASCII en hexadcimal

Dc 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

Hex 0 1 2 3 4 5 6 7 8 9 A B C D E F 10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F

Nom Rien (null) Dbut d'en-tte Dbut de texte Fin de texte Fin d'mission Requte Accus de rception Son (bell) Effacemnt arrire (backspace) Tabulation horizontale la ligne (line feed) Tabulation verticale Page suivante (form feed) Retour chariot (return) Car. de code spcial (shift out) Car. de code normal (shift in) Ab. liaison (data link escape) Commande d'appareil 1 Commande d'appareil 2 Commande d'appareil 3 Commande d'appareil 4 Accus de rception ngatif T. inactivit (synchronous idle) Fin du bloc de transmission Annuler (cancel) Fin du support Substituer Abandonner (escape) Sparateur de chier Sparateur de groupe Sparateur d'enregistrement Sparateur d'unit

Car NUL SOH STX ETX EOT ENQ ACK BEL BS HT LF VT FF CR SO SI DLE DC1 DC2 DC3 DC4 NAK SYN ETB CAN EM SUB ESC FS GS RS US

Dc 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63

Hex 20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F 30 31 32 33 34 35 36 37 38 39 3A 3B 3C 3D 3E 3F

Car Espace ! " # $ % & ' ( ) * + , . / 0 1 2 3 4 5 6 7 8 9 : ; < = > ?

Dc 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95

Hex 40 41 42 43 44 45 46 47 48 49 4A 4B 4C 4D 4E 4F 50 51 52 53 54 55 56 57 58 59 5A 5B 5C 5D 5E 5F

Car @ A B C D E F G H I J K L M N O P Q R S T U V W X Y Z [ \ ] ^ _

Dc 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127

Hex 60 61 62 63 64 65 66 67 68 69 6A 6B 6C 6D 6E 6F 70 71 72 73 74 75 76 77 78 79 7A 7B 7C 7D 7E 7F

Car ` a b c d e f g h i j k l m n o p q r s t u v w x y z { | } ~ DEL

Dc = dcimal!; Hex = hexadcimal!; Car = caractre!; Del (delete) = effacement!; Ab. = abandon!; T. inactivit = temps d'inactivit synchrone.

Casser une cl WEP ou WPA "

9"

http://www.jaquet.org, mars 2010

Annexe 2!: le cadre juridique

Tout accs non autoris un systme informatique expose la personne des poursuites civiles, mais aussi pnales. En France, ce sont les articles 323-1 323-3-1 du Code pnal (http://www.legifrance.gouv.fr)!:

En Belgique!: !Celui qui, sachant qu'il n'y est pas autoris, accde un systme informatique ou s'y maintient, est puni d'un emprisonnement de trois mois un an et d'une amende de vingt-six francs vingt-cinq mille francs ou d'une de ces peines seulement! (art. 550 bis, Code pnal, http://www.juridat.be). En Suisse!: !Celui qui, sans dessein d#enrichissement, se sera introduit sans droit, au moyen d#un dispositif de transmission de donnes, dans un systme informatique appartenant autrui et spcialement protg contre tout accs de sa part, sera, sur plainte, puni d#une peine privative de libert de trois ans au plus ou d#une peine pcuniaire! (art. 143 bis, Code pnal, http:// www.admin.ch). Ces textes s'appliquent ds que la personne est consciente d'avoir accd un systme non autoris. Ni l'intention de nuire, ni mme la volont d'y accder ne sont ncessaires. Autrement dit, une personne qui entre dans un systme par inadvertance tombe sous le coup de ces dispositions ds l'instant o elle y reste sans droit. Par contre, si le rseau n'est pas protg et qu'il est possible d'y accder au moyen d'un simple navigateur, la Cour d'appel de Paris a considr le 30 octobre 2002 que l'accs n'est pas rprhensible. En Belgique, je ne connais pas de dcision de jurisprudence en la matire. En Suisse, le problme est rgl dans la loi puisque l'art. 143 bis s'applique pour autant que le systme attaqu soit !spcialement protg! contre tout accs non autoris. Autrement dit, il faut scuriser le rseau, ne serait-ce qu'avec une cl WEP, sinon on n'est pas protg par le droit (en tout cas en France et en Suisse). C'est une protection insufsante, mais c'est une protection puisqu'on ne peut pas la traverser sans utiliser des outils logiciels spcialement destins la casser, ce qui rend ipso facto tout accs non autoris illgal. La non-protection d'un systme informatique pose un autre problme!: la protection des donnes, qui dcoule du droit au respect de la vie prive (article 9 du Code civil franais). En Suisse, elle fait l'objet de la Loi fdrale sur la protection des donnes (http://www.admin.ch/ch/ f/rs/235_1/index.html).

Casser une cl WEP ou WPA "

10"

http://www.jaquet.org, mars 2010

En Europe, elle fait l'objet d'une directive du Parlement europen et du Conseil (Directive 95/46/ CE du 24 octobre 1995, http://eur-lex.europa.eu)!:

Le responsable du traitement de ces donnes peut donc tre rendu responsable d'une fuite s'il n'a pas pris les prcautions ncessaires pour l'empcher. En France, le principe est rgl dans la Loi Informatique et liberts (loi n78-17 relative l'informatique, aux chiers et aux liberts, http://www.legifrance.gouv.fr)!: !Le responsable du traitement est tenu de prendre toutes prcautions utiles, au regard de la nature des donnes et des risques prsents par le traitement, pour prserver la scurit des donnes et, notamment, empcher qu#elles soient dformes, endommages, ou que des tiers non autoriss y aient accs! (art. 34). En Belgique, c'est l'article 16 4 de la Loi vie prive (loi relative la protection de la vie prive l'gard des traitements de donnes caractre personnel, http://www.privacycommission.be/fr/ legislation/national). En Suisse, c'est l'article 7 de la Loi sur la protection des donnes.

Casser une cl WEP ou WPA "

11"

http://www.jaquet.org, mars 2010