[Tutorial Black Hat] Microsoft et SSID

Publié le par Zanspi


Pour inaugurer la section des tutoriaux sur la sécurité, j'ai voulu commencer par quelque chose de très simple.
Ne prêtez pas attention au titre ronflant, c'est surtout pour faire des "hits" qu'il est là. Le fait qu'il soit estampillé "Black Hat" n'est qu'une question de sensibilité. On peut se servir des informations qui suivent pour faire le bien comme le mal.
Mais personnellement aujourd'hui, je me sens d'humeur à faire le mal (et je préfère le noir au blanc)...

Tout d'abord un petit récapitulatif :
Le WiFi ou Wireless Fidelity est une technologie issue de la norme 802.11
Cette norme définit les caractéristiques d'un réseau et d'une architecture WiFi à tous les niveaux (mise en place, sécurité, disponibilité, etc...).
Dans cette norme il est définit que tout client qui souhaite se connecter à un point d'accès doit connaitre le nom de ce point d'accès (ou SSID, prononcé S S aïdi). En rêgle générale, il suffit au client d'envoyer une requète "sonde" (probe request) aux alentours et d'attendre les réponses des différents points d'accès (probe response).
Dans cette réponse on trouve notamment le nom du point d'accès permettant au client d'entamer une demande d'authentification puis d'association.

Il existe cependant un cas, dans lequel notre point d'accès ne communique pas son SSID. On parle alors de SSID cloaking. Il faut impérativement que le client connaisse le SSID pour permettre une connexion.
Le client qui s'authentifier devra envoyer les mêmes requètes que précédemment mais elles devront contenir le SSID du point d'accès ciblé. Et c'est là, que la magie de Windows entre en jeu...

Je pourrais vous faire un petit tutorial sur comment trouver le SSID caché, mais il n'y a rien de plus simple. Téléchargez, installez et utilisez le logiciel kismet (sous Ubuntu par exemple) et attendez un petit peu. Dès qu'un client se connectera au point d'accès, le SSID caché sera automatiquement mis à jour (par écoute de la fameuse probe request "nominative").
Il existe d'autres méthodes, par attaque "force brute" ou dictionnaire mais on les utilise plutôt rarement (parce qu'un SSID reste caché très peu de temps).

Non ce petit tutorial est plus amusant que ça, et on pourrait qualifier l'attaque (si on peut appeler cela attaque) suivante de social engineering.

Voila comment il faut procéder :

Matériel :
- Une carte WiFi supportant le mode "monitor"
- Un live CD ou une installation Unix ou Backtrack

Logiciel :
- aircrack-ng

Déroulement :
- Configurez votre interface réseau : ifconfig wlan0 up (remplacer wlan0 par le nom de votre interface)
- Lancez le mode monitor : airmon-ng start wlan0
- Lancez airodump : airodump-ng mon0 (remplacer mon0 par le nom de votre interface en mode monitor)
- Attendez patiemment

La présence ou non, d'un SSID caché dans les AP (point d'accès) alentours n'est pas nécessaire. Ce tuto est plutôt un tutorial de fainéant. On attend simplement qu'un bon vieux PC avec Windows XP souhaite accéder à son AP favorite.
Et lorsque c'est le cas, c'est la fête. Car Windows, de base dans XP, transmet non pas un, ni deux, mais tous les noms des points d'accès auxquels vous vous êtes déjà connecté.
Vous croyez être connectés incognito à votre AP au SSID caché et bien non.
A quelques pas de là, une personne ayant effectué les quelques étapes précédentes peut savoir que vous vous êtes connectés à l'AP d'un McDo, d'une auberge, d'un restaurant, d'une salle de sport et peut ainsi connaitre vos déplacements sans rien faire de plus que d'écouter.

Le danger est réel, et bien au delà du social engineering ou de la violation de la vie privée...
Si n'importe quel AP portant le nom de ces SSID favoris ce trouve dans le champ d'émission de ce client malheureux...et bien ce même client tentera de s'y connecter automatiquement. A vous les "rogue AP" (faux point d'accès mais au vrai SSID) et autre "rogue Box"...
Les possibilités sont multiples.

Pensez y la prochaine fois que vous utiliserez le WiFi pour vous connecter à votre Freebox...


Zanspi

Commenter cet article