Security Fail

Publié le par Zanspi


Un petit billet pour nos amis paranos aujourd'hui.
Ils risquent d'apprécier (ou pas) car s'il y'a bien une chose que j'ai apprise durant ces derniers mois c'est que rien n'est sûr.
D'ailleurs, en informatique plus qu'ailleurs on ne le dira jamais assez "tout" est possible. Vous vous croyez à l'abri derrière trois DMZ et pourtant il y'aura toujours un moyen de vous atteindre. Vous pensez que lorsque vous achetez un PC il sera exempt de tout virus et qu'il ne pourra pas être infecté lorsqu'il sera connecté au net ? Et bien c'est faux...

Voici sous vos yeux ébahis, deux exemples amusants mais très intéressant, dans un domaine qui m'intéresse particulièrement, celui du WiFi (et ça rime ;) )


MAC Cloaking
The confidence that people have in security is inversely proportional to how much they know about it.

Je dinais en charmante compagnie dans un restaurant de notre belle capitale parisienne lorsque vint l'instant fatidique de parler boulot. Il n'échappa donc à personne que je faisais de l'informatique.
Pour une fois, l'assistance (composée de quelques informaticiens également) ne me fit pas de remarque "alacon" sur la culture "geek", les lunettes, les tee shirt tachés, la barbe et le gros bide. Je ne possède d'ailleurs aucune de ses caractéristiques...
Bref, la conversation tourna autour de l'informatique, puis la sécurité et s'orienta vers le WiFi (chance, un sujet que j'aime). On me demanda alors ce qu'il était possible de faire... Avec un regard inquisiteur, une intonation de voix gandalfienne et une lumière tamisée, je leur lançais la phrase suivante : "tout est possible". Les mines se déconfirent autour de moi.
J'expliquais alors le principe (simple) d'un Man In the Middle pour étayer mes propos. Mais une question plus précise vint chatouiller mes oreilles...

L'un de mes collègues avait protégé son accès WiFi. Pour cela, il avait mis en place un filtrage d'adresse MAC. Il m'assurait donc être tranquille face à cette méthode. Pour lui, il était "impossible" de se connecter à sa Box (1).
En théorie, c'est vrai qu'un filtrage d'adresse MAC permet de se prémunir d'un certains nombres de connexions extérieures intempestives. L'exemple le plus flagrant en est la fameuse Livebox (Orange) et son bouton d'association. Cette solution est d'ailleurs à mon avis à conseiller pour quiconque met en place un petit réseau WiFi de quelques adresses MAC. Dans un réseau plus important un tel système serait dur à gérer cependant, car il faudrait maintenir et entrer un grand nombre d'adresses et ce constamment.
Cependant et il est facile de le montrer, cette protection est facilement contournable...

Prenez Aircrack et Macchanger sous Unix.
Pas besoin de posséder une partition Linux, un Live-CD Backtrack suffit.
Lancez Airodump-ng et cherchez votre Box (identifié par son ESSID, son nom en fait, comme LIVEBOX-XXXX).
Ce ESSID correspond également à un BSSID, cherchez donc maintenant qu'elles sont les STATION(s) qui sont associés à ce BSSID.
Vous trouverez certainement une adresse, qui après un petit ifconfig, vous apprendra qu'il s'agit de l'adresse MAC de votre carte réseau.
Ce que vous venez de faire, n'importe qui d'assez malin peut le faire. Il suffit donc à l'attaquant, à l'aide de Macchanger, de changer l'adresse MAC de la carte réseau de par la votre (celle qui est connectée à la Box et donc qui a passé le filtrage).
Bien entendu, on pourra me rétorquer que deux adresses MAC identiques sur un même réseau "ce n'est pas possible" et pourtant si...
Deux adresses IP identiques également, il y'a juste un conflit car on ne sait pas alors qui est qui. Deux adresses MAC identiques peuvent correspondre à deux adresses IP différentes également..."tout est possible". Si deux interfaces différentes possèdent deux adresses MAC identiques tout se passera au niveau de la table ARP (qui sert à faire la correspondance entre IP et MAC). On peut envisager de modifier cette table, s'attaquer directement à la Box (avec le mot de passe par défaut qui n'est presque jamais changé, etc...).
Là on touche à autre chose, il faut pousser plus loin... Mais l'attaquant peut en tout cas se connecter sans problème, malgré le filtrage (et si vous n'êtes pas présent, il profite de votre connexion sans problème).


WEP Cloaking
The ease of defeating a security device or system is proportional to how confident/arrogant the designer, manufacturer, or user is about it, and to how often they use words like “impossible” or “tamper-proof”.

Toute personne qui s'y connait un peu en sécurité WiFi (et quand je dis un peu, c'est vraiment peu) sait que le protocole WEP est de la grosse daube.
Il y'a un peu plus d'un an pourtant, une société ultra connue du monde des télécoms à développer une solution permettant d'ajouter de la sécurité au WEP.
Cette intention était bonne et louable, car un certain nombre d'entreprises possèdent des appareils dont le protocole WEP est le seul disponible (de part l'ancienneté du matériel).

"Un effort méritoire, mais futile" comme dirait Mannoroth.
En effet le principe de cette sécurité "supplémentaire" est de "brouiller" l'écoute d'un attaquant potentiel en transmettant en plus des trames chiffrés de la Box, d'autres trames fausses cette fois et également faussement chiffrées.
Dans le principe encore, c'est une fort bonne idée. Il serait alors très dur de calculer à l'aide de statistiques, par la méthode courante, si une part non négligeable des données se révèlent fausses.

Cependant, trois mois seulement après la sortie de cette solution, deux chercheurs ont publié une preuve de concept d'une faille.
L'adresse MAC de n'importe quel paquet est transmis en clair sur le réseau (c'est un fait, si si je vous jure, vous pouvez vérifier). Il suffit donc de récupérer l'ensemble des paquets transmis (ce que l'on fait déjà) et de les renvoyer en indiquant cette fois à la place de notre adresse MAC, une adresse en broadcast (FF:FF:FF:FF:FF:FF). La Box ne répondra qu'au paquet qu'elle connait, plus précisément, ceux qu'elle a créé. Elle ne répondra donc pas au paquets créés par notre magnifique application (tout ceci est défini dans le protoco
le 802.11).
On peut donc savoir qu'elles sont les bons et les mauvais paquets assez rapidement et en tenir compte. D'ailleurs la solution existe et elle s'appelle airdecloak-ng et est disponible avec Aircrack.


Je vais essayer de ne pas faire trop long et de de m'arrêter là...
Ce long billet pour vous dire que la sécurité totale n'existe pas, méfiez vous donc toujours et méditez les deux petites citations en italique. Pour finir, si vous en avez encore le courage, lisez le billet qui suit, il est tellement vrai.


 Bonne soirée (et dormez bien quand même)...

Zanspi



(1) Je dis Box par commodité, mais il s'agit d'un point d'accès ou AP

Commenter cet article