SECURINETS

CLUB DE LA SECURITE INFORMATIQUE INSAT

SECURILIGHT 2011
Atelier Crack Wifi
Chef Atelier : Turki Oumaima (GL3) Abdelwahed Imen (RT3) Barhoumi Bilel (GL3) Ben Rhayem Ahmed (RT3) Ouesleti Mariem (CBA) 30/11/2011

Securinets

Securiday 2011 Cyber Revolution

*Nom de latelier+

I.

But de ce tutoriel :

Ce document est seulement ralis un titre informatif. Le but nest denseigner comment cracker le wifi des voisins mais pour donner des astuces de test de scurit concernant votre point daccs. Nutilisez ces techniques que pour tester la scurit de VOTRE Point dAccs.

II.

Quelques notions utiles :

a. Quest ce quun rseau Wifi ?

Un rseau Wifi (Wireless Fidelity) est un rseau constitu dun ensemble de machines relies entre elles sans liaison filaire. Avantages : Mobilit, Rduction des cots dus labsence des contraintes de cblage. Inconvnients : Aucun contrle du medium (support de communication) sur lequel circulent les donnes.

Do la ncessit dencrypter les donnes pour scuriser le rseau. Pour cela on a deux possibilits : le WEP et le WPA .

b.

Quest ce que le WEP et le WPA ? i. Le WEP :

Cest un protocole pour scuriser les rseaux Wifi qui, en thorie, devait permettre un niveau de scurit quivalent un rseau filaire. Failles du WEP : La cl est statique : elle est partage et non renouvele.

ii.

Le WPA :

Cest une solution de scurisation des rseaux Wifi qui vise combler les lacunes du WEP.

Securinets

Securiday 2011 Cyber Revolution

*Nom de latelier+

Avantages : La cl de chiffrement est renouvele dynamiquement intervalles rguliers.

iii. Le WPA2 : Fournit un chiffrement plus labor que la solution WPA. La principale volution du WPA2 concerne lusage du chiffrement AES (Advanced Encryption Standard).

c.

Les types dattaques sur un rseau Wifi :

i. Cas du WEP : Attaque par Injection de paquets ARP (Address Resolution Protocol) Attaque par fragmentation Attaque Chop-chop

ii. Cas du WPA : Combinaison de lAttaque par dictionnaire et le Brute forcing.

Securinets

Securiday 2011 Cyber Revolution

*Nom de latelier+

III.

Environnement de travail :

Il y a plusieurs applications tournant sous Windows pour le crack dune cl wifi, mais a ne marche pas toujours. Il est prfrable dutiliser les applications fournies pour Linux. Si vous utilisez une distribution quelconque de linux vous pouvez tlcharger loutil Aircrack disponible sur ce site http://www.aircrack-ng.org/. Sinon, vous pouvez utiliser une distribution de Backtrack tlchargeable partir de ce site http://www.backtrack-linux.org/.

a.

Initiation avec BackTrack 5 :

-Chercher un CD Live BackTrack 5. - Placer le CD dans votre lecteur, puis redmarrer. - Au dmarrage de votre ordinateur, celui doit Booter sur le CD. - Un choix vous est alors propos.

- Slectionner Default Boot Text Mode . - Aprs chargement vous arrivez sur une console.

Securinets

Securiday 2011 Cyber Revolution

*Nom de latelier+

-Saisir startx pour accder linterface graphique -Vous arriver sur linterface graphique suivante :

Securinets

Securiday 2011 Cyber Revolution

*Nom de latelier+

-Ouvrir un shell (interprteur de commande) en cliquant sur licne de lcran.

en haut

Nous voici prt pour dbuter le crack de votre rseau wifi.

b.

Crack dune cl WEP :

i. Passage en mode monitor : Renseignez vous sur vos interfaces rseaux en tapant iwconfig.

Securinets

Securiday 2011 Cyber Revolution

*Nom de latelier+

Ici, l'interface wifi est reconnue en tant que wlan0. Pour la basculer en mode monitor afin d'couter les rseaux wifi, tapez la commande airmon-ng start suivie du nom de l'interface wifi.

Dans ce cas: airmon-ng start wlan0

Le retour de console indiquant "monitor mode enabled on mon0" indique que votre carte wifi vient de passer en mode monitor linterface mon0, vous tes prt passer l'tape suivante: l'coute des rseaux.

ii.

Airodump-ng: l'coute des rseaux :

Airodump-ng permet d'couter les rseaux wifi et ventuellement d'enregistrer les paquets dans un fichier de capture. Les commandes sont assez simples: Usage: airodump-ng <options> <interface>[,<interface>,...] Dans ce cas: airodump-ng encrypt wep mon0

Securinets

Securiday 2011 Cyber Revolution

*Nom de latelier+

Pour arrter airodump, faites ctrl + c dans le shell. Ici, airodump-ng a cout tous les canaux, et a affich les points d'accs utilisant le cryptage WEP, sans crire dans un fichier de capture. Dans cet exercice, nous allons cibler le point d'accs dont l'essid est SAGEM0001 , mettant sur le canal 11 et ayant comme adresse mac 00:1E:74:D4:BC:15 .

La commande sera airodump-ng w ouWep -c 11 --bssid 00:1E:74:D4:BC:15 mon0

Liste des filtres airodump-ng: -c : permet de cibler un canal --encrypt : permet de cibler selon l'encryptage des rseaux, ex: --encrypt wep ciblera uniquement les rseaux encrypts en WEP -w :spcifie le nom du fichier de capture qui sera cr --bssid :permet de cibler l'coute sur un seul point d'accs ex: --bssid xx:xx:xx:xx:xx:xx:xx (x nombre en hexadecimal 0 F)

Securinets

Securiday 2011 Cyber Revolution

*Nom de latelier+

Rsultat: airodump-ng va couter sur le canal 11, le point d'accs dont l'adresse mac est 00:1E:74:D4:BC:15, et va crire les paquets capturs dans un fichier nomm outWep01.cap (airodump-ng ajoute -01.cap au nom du premier fichier de capture, si on stoppe et relance airodump avec le meme nom de fichier il en crera un second -02.cap, etc...).

iii.

Fake authentification (cas de filtrage MAC) :

Cette tape permet de se faire passer pour une station lgitiment connecte. La commande sera aireplay-ng 1 0 e essid a bssid h station interface

Dans ce cas aireplay-ng -1 0 e SAGEM001 a 00 :1E:74 :D4 :BC :15 h 00 :21 :6B :0B :D4 :A4 mon0

Securinets

Securiday 2011 Cyber Revolution

*Nom de latelier+

-1 correspond l'attaque Fake authentication 0 signifie que l'on va se rassocier au point d'accs infiniment, ceci afin de maintenir une activit sur le rseau en envoyant intervalles rguliers des "keep alive packets" -e est suivi de l'essid (nom du rseau wifi) utilis par le point d'accs -a est suivi de l'adresse mac du point d'accs -h est suivi de l'adresse mac de la station (client)

iii.

Linjection des paquets :

Cette tape permet de stimuler le point daccs wifi de manire acclrer la collecte des donnes. La commande sera aireplay-ng 3 e essid b bssid h station interface

Dans ce cas aireplay-ng -3 e SAGEM001 b 00 :1E:74 :D4 :BC :15 h 00 :21 :6B :0B :D4 :A4 mon0

10

Securinets

Securiday 2011 Cyber Revolution

*Nom de latelier+

-3 correspond l'attaque arp replay

Rsultat : On constate que le nombre de paquets arp augmente , tout comme le #data sur le shell airodump-ng .

iiii.

Le crack de la cl WEP avec aircrack-ng :

Cette tape consiste lancer le crack .

La commande est : aircrack ng nom_du_fichier_de_lecture Dans ce cas : aircrack ng outWep-01.cap

11

Securinets

Securiday 2011 Cyber Revolution

*Nom de latelier+

Rsultat : On possde maintenant la cl du point daccs.

12

Securinets

Securiday 2011 Cyber Revolution

*Nom de latelier+

c.

Cas dune cl WPA :

i. Passage en mode monitor :

Cette tape est identique celle faite pour une cl WEP (vue prcdemment). ii. Airodump-ng: l'coute des rseaux :

Airodump-ng permet d'couter les rseaux wifi et ventuellement d'enregistrer les paquets dans un fichier de capture. Les commandes sont assez simples: Usage: airodump-ng <options> <interface>[,<interface>,...] Dans ce cas: airodump-ng --encrypt wpa mon0

Pour arrter airodump, faites ctrl + c dans le shell. Ici, airodump-ng a cout tous les canaux, et a affich les points d'accs utilisant le cryptage WPA, sans crire dans un fichier de capture.

13

Securinets

Securiday 2011 Cyber Revolution

*Nom de latelier+

Dans cet exercice, nous allons cibler le point d'accs dont l'essid est TOPNETC203649F , mettant sur le canal 6 et ayant comme adresse mac 7C:03:4C:E1:31:9C .

La commande sera airodump-ng -w wpatest -c 6 --bssid 7C:03:4C:E1:31:9C mon0

Liste des filtres airodump-ng: -c : permet de cibler un canal, ex: -c 6 ciblera le canal 6 --encrypt : permet de cibler selon l'encryptage des rseaux, ex: --encrypt wpa ciblera uniquement les rseaux encrypts en WPA -w :spcifie le nom du fichier de capture qui sera cr ex: -w wpatest --bssid :permet de cibler l'coute sur un seul point d'accs ex: --bssid xx:xx:xx:xx:xx:xx:xx (x nombre en hexadecimal 0 F)

14

Securinets

Securiday 2011 Cyber Revolution

*Nom de latelier+

Rsultat: airodump-ng va couter sur le canal 6, le point d'accs dont l'adresse mac est 7C:03:4C:E1:31:9C, et va crire les paquets capturs dans un fichier nomm wpatest01.cap (airodump-ng ajoute -01.cap au nom du premier fichier de capture, si on stoppe et relance airodump avec le meme nom de fichier il en crera un second -02.cap, etc...). Nous voyons que deux stations sont connectes. Pour russir un crack wpa, il est primordial quau moins une station soit connecte, en effet le 4 way handshake (littralement la poigne de mains) ncessaire au crack ne peut tre captur QUE si une station est connecte au point d'accs.

15

Securinets

Securiday 2011 Cyber Revolution

*Nom de latelier+

iii.

Aireplay-ng: l'attaque active :

Une mthode de crack (mthode passive) consiste cibler un point d'accs, et couter le rseau pendant des heures en attendant qu'un client se connecte. Une autre mthode consiste utiliser aireplay-ng et son attaque -0 (dauthentication) pour forcer la dconnexion du client et capturer le handshake lorsqu'il se reconnecte. Prparez votre attaque aireplay-ng. Ouvrez un nouveau shell et tapez la commande :

aireplay-ng -0 0 -a bssid -c station interface

Le paramtre -0 signifie une attaque dauth, le 0 qui suit signifie que l'envoi des paquets de dauth sera infini, il faudra donc arretter l'attaque aprs quelques instants avec ctrl + c. Vous pouvez spcifier un dlai, par exemple aireplay-ng -0 nbr , et l'attaque s'arrettera aprs l'envoi de nbr paquets de dauth.

16

Securinets

Securiday 2011 Cyber Revolution

*Nom de latelier+

Si l'attaque a russi, on constate l'apparition du WPA handshake en haut droite du shell airodump-ng la fenetre indique la russite de l'attaque. Il se peut que vous deviez renouveler les attaques de nombreuses reprises avant d'obtenir le tant attendu handshake.

Remarque : Le handshake est un ensemble de paquets mis par le point d'accs et la station lorsque celle ci se connecte. Lors de la connexion, si votre rception est bonne, le handshake sera captur.

17

Securinets

Securiday 2011 Cyber Revolution

*Nom de latelier+

iiii.

Aircrack-ng: le bruteforce du handshake :

Le handshake est maintenant dans le fichier de capture, vous pouvez stopper airodump. Vous devez maintenant copier votre fichier dictionnaire (disponible sur Internet) dans le dossier ou se trouve le fichier de capture. Le crack se lance avec la commande suivante: aircrack-ng -w nom_du_fichier_dictionnaire nom_du_fichier_de_capture Dans cet exemple : aircrack-ng -w dic.txt wpatest-01.cap

Le crack se lance, aircrack-ng va tester tous les mots de passe contenus dans le fichier dictionnaire. La vitesse du crack, indique en haut en keys/second dpend de la puissance de calcul de votre processeur.

18

Securinets

Securiday 2011 Cyber Revolution

*Nom de latelier+

Le crack peut tre trs long, il faut patienter et souvent tester plusieurs fichiers dictionnaires.

Voila enfin la cl du point daccs : 6Y420MZ2

19

Securinets

Securiday 2011 Cyber Revolution

*Nom de latelier+

III.

Comment scuriser votre rseau Wifi :

Certaines recommandations sont suivre tel que :

Si on utilise encore le WEP il est impratif de passer en WPA ou WPA2, car il est devenu obsolte. Choisir un mot de passe o on combine des chiffres, des lettres et des caractres spciaux. Utiliser le filtrage MAC pour minimiser le risque dattaques. Modifier lidentifiant du rseau (SSID) par dfaut et viter la diffusion de ce dernier sur le rseau.

20