Casser une clef WPA comme un nul(l)

Bonjour à tous !

Après Utiliser Internet de votre voisin comme un nul(l) (WEP), nous nous intéresserons à WPA.

A priori, Loïc, votre nouveau voisin, a entendu dire que le protocole WEP n’était pas sûr. Il a sécurisé son WIFI en utilisant WPA et s’amuse à casser les clefs WEP des voisins en se croyant bien à l’abri derrière son boîtier ADSL…

Comme on apprend de ses erreurs, apprenons quelque chose à ce pirate en herbe !

>_<

>_<

 

Méthode 1 : WPS

Sur certains boîtiers ADSL, le protocole de configuration WPS (Wi-Fi Protected Setup) est activé par défaut.

Malheureusement pour Loïc, ce protocole contient des failles permettant de retrouver relativement vite la clef WPA en clair!

Selon Korben, seuls quelques boîtiers ADSL sont vulnérables :

  • La Livebox 2
  • La neufbox (pas activé par défaut)
  • La BBox (pas activé par défaut)

Beaucoup de gens utilisent toujours la livebox 2…

Voici comment procéder.

Pré-requis

Il faut que vous installiez la dernière version de reaver. La version embarquée par défaut dans backtrack contient quelques erreurs fâcheuses…

Rendez-vous sur le site de reaver pour télécharger la dernière version. Que vous décompresserez dans un dossier avant de l’installer :

./configure
make && make install

Il faut ensuite que vous vérifiez la compatibilité de votre driver WIFI. J’utilise par exemple compat-wireless que j’ai modifié dans un précédent article pour débrider ma carte WIFI. Notez que la dernière version du driver datant du 18 décembre 2012 n’est pas compatible avec reaver. La version du 23 septembre 2012, quant à elle, fonctionne à merveille !

Passer la carte Wi-Fi en mode monitoring

Rien de plus simple :

airmon-ng check kill
airmon-ng start wlan0

Notez la première commande : « check kill ».

J’ai eu quelques difficultés durant la création de cet article, le canal de ma carte WIFI ne pouvait pas être configuré… Cette commande permet de tuer tous les processus associés à votre carte WIFI. Je n’ai eu aucun problème par la suite pour utiliser reaver ou airodump-ng.

Détecter les points d’accès avec le protocol WPS activé

Reaver vient avec un petit outil bien pratique pour détecter les réseaux vulnérables : wash.

wash -i mon0 -C -s

Vous obtenez alors une liste de réseaux vulnérables :

wash

Le nombre de réseaux vulnérable pouvant être grand (39 dans mon cas), je vous conseille d’utiliser l’option -o pour rediriger l’affichage dans un fichier que vous pourrez traiter par la suite.

Lancer Reaver

Pour cela, il vous faudra le BSSID du réseau WIFI de Loïc. Vous pouvez le récupérer à l’aide de airodump-ng ou tout simplement de l’outil de connexion WIFI intégré à tout système d’exploitation.

Il ne reste plus qu’à lancer Reaver et attendre :

reaver -i mon0 -b 00:01:02:03:04:05 -v

Ici 00:01:02:03:04:05 est le BSSID de Loïc.

-v indique l’utilisation du mode « verbose » pour nous assurer que tout se déroule comme prévu. (On peut aussi utiliser -vv comme « very verbose »)

Dans certains cas, les points d’accès WIFI renvoient plusieurs fois les paquets… L’utilisation de l’option -N est alors indispensable. Néanmoins, un bug dans reaver fait que l’utilisation de cette option ne vous retournera que le code PIN WPS, et non pas la clef WPA. Une méthode est disponible sur le site de reaver (commentaire #6) pour récupérer la clef WPA à partir de ce code PIN.

Reaver accepte un certain nombre d’options utiles dans le cas où vous obtiendriez des erreurs :

  • -c <Canal> : Donne le canal WIFI où reaver doit chercher le BSSID (Par défaut reaver scanne les canaux jusqu’à ce qu’il le trouve)
  • -t <timeout> : Définit le nombre de secondes après lesquelles reaver considère qu’il a un timeout (Par défaut 5)
  • -d <delai> : Configure le délai en secondes entre chaque tentative (Par défaut 1)
  • –lock-delay=<delai> : Configure le délai en secondes que laisse reaver si le boîtier ADSL bloque le protocole WPS après la détection de votre attaque. (Par défaut 315 secondes) Si vous configurez l’option -d de manière acceptable, vous ne devriez pas avoir à configurer cette option.

Si tout se passe bien, vous devriez obtenir la clef WPA recherchée au bout de quelques heures !

Avec l'option -N, reaver ne fournis pas la clef WPA...

Avec l’option -N, reaver ne fournis pas la clef WPA…

Sans cette option, on obtient toutes les informations nécessaires !

Sans cette option, on obtient toutes les informations nécessaires !

Méthode 2 : Classique

Le protocole WPS n’est pas activé sur le boîtier de Loïc ?

Pas de problème, on utilisera une méthode un peu plus standard !

Passage de la carte WIFI en mode monitor

Maintenant, vous devriez savoir faire cette action d’une manière ou d’une autre :

airmon-ng start wlan0

Démarrage de l’écoute du trafic

Si vous avez déjà cassé une clef WEP en suivant un précédent article, on fait sensiblement la même chose ici :

airodump-ng -c 8 --bssid 00:01:02:03:04:05 --showack -w monFichier mon0

Voici les options utilisées :

  • -c 8 pour configurer l’écoute uniquement sur le canal du réseau WIFI de Loïc (8), n’oubliez pas cette option sinon vous risquez de perdre des paquets.
  • –bssid 00:01:02:03:04:05 pour configurer le BSSID de Loïc que l’on a récupéré comme pour la méthode 1.
  • –showack est juste ici pour vous assurer que vos injections fonctionnent bien, vous pouvez l’enlever si ça vous chante.
  • -w monFichier pour écrire les paquets capturés dans un fichier cap.
  • mon0 est le nom de votre interface créée à l’aide de airmon-ng.

Récupération d’une authentification

Il faut maintenant attendre qu’un ordinateur se connecte au réseau…

Si une machine est déjà connectée, il suffit de la déconnecter, puis d’attendre qu’elle s’authentifie à nouveau. (La victime aura une perte de connexion) :

aireplay-ng -0 5 -a 00:01:02:03:04:05 -c 00:10:20:30:40:50 mon0

Liste des options :

  • -0 5 indique que l’on utilise une attaque de dé-authentification en envoyant 5 requêtes de dé-authentification.
  • -a 00:01:02:03:04:05 indique le BSSID où envoyer ces requêtes.
  • -c 00:10:20:30:40:50 indique l’adresse MAC de la malheureuse victime que l’on veut déconnecter.
  • Comme d’habitude mon0 est le nom de notre interface réseau.

Si vous avez préalablement activé l’option –showack sur votre console d’écoute, vous devriez voir apparaître des ACK (Acknowledge veut à peu près dire « Demande reçue » pour les francophones)

Vous pouvez vérifier que vous avez bien récupéré un handshake (serrage de main…) en ouvrant le fichier où vous inscrivez les paquets écoutés avec aircrack-ng :

aircrack-ng monFichier.cap

Je n’ai malheureusement pas réussi à arriver à cette étape. J’ai eu beau faire tout ce que je pouvais, airodump n’a jamais été en mesure de récupérer un handshake. Le fait qu’il ne me retourne que des stations « non associées » est certainement lié…

Ma carte WIFI (AWUS036NHR) n’est manifestement pas compatible… Des frais sont à venir pour acheter la AWUS036H ! Si j’avais lu un peu mieux les compatibilités avant de l’acheter, ça m’aurait économisé quelques €€€.

La carte Atheros de mon eeepc n’est également pas capable de récupérer le handshake, ce qui est déjà moins normal.

Ce qui suit n’est que la théorie, je n’ai pas pu la mettre en pratique… Parce que bon, après 2 semaines à galérer en passant d’un bug à l’autre, ça va un moment !

Casser la clef en utilisant Hashcat

Hashcat peut utiliser votre processeur graphique (GPU), cet outil peut être bien plus rapide que aircrack-ng à condition que vous disposiez bien évidemment d’une carte graphique supportée…

Préparer votre fichier hccap

Hashcat ne travaille pas directement à partir d’un fichier cap, vous devrez le convertir en fichier hccap :

wpaclean monFichierClean.cap monFichier.cap
aircrack-ng monFichierClean.cap -J monFichierClean.hccap

Notez que l’option -J est en MAJUSCULE.

Casser la clef

Pour casser la clef, si vous la voulez avant votre mort, il vous faudra un dictionnaire. Vous pouvez soit le créer vous même en suivant un précédent article ou en récupérer un sur Internet. Je préfère de loin la première solution car vous pourrez créer un dictionnaire spécifiquement conçu pour votre voisin. Si vous connaissez un minimum ses centres d’intérêt (en fouillant sa boîte aux lettres, ses poubelles, ou en discutant un peu avec lui par exemple), cette méthode peut s’avérer radicale !

Il ne reste plus qu’à lancer hashcat et attendre :

oclHashcat-plus64 -m 2500 monFichierClean.hccap monDictionnaire.txt

Notez l’option -m 2500 qui ne configure en rien un délai/timeout ou quoi que ce soit d’autre, elle sert à définir le type de donnée que l’on tente de casser. (2500 = WPA/WPA2)

Avec de la chance, comme d’habitude, la clef WPA devrait apparaître !

Conclusion

Lors du choix de votre clef, préférez une phrase ou une suite de caractères aléatoires (plus de 16) au lieu d’un simple mot. Si votre clef WPA est faible, un hacker pourra certainement la casser, ça pourrait même lui prendre moins de temps que pour une clef WEP !

Configurer une clef WPA de qualité sur votre boîtier ADSL, c’est bien. N’oubliez pas cependant de désactiver certaines options telles que le protocole WPS ! Effectivement, quelle que soit la clef, aussi compliquée et longue soit-elle, 10 998 tentatives au maximum suffiront à Reaver pour retrouver votre clef WPA si le protocole WPS est activé ! (Soit à peu près 3 ou 4 heures avec les options par défaut, une journée si comme moi vous n’avez pas de chance…)

Afin de rédiger tant bien que mal cet article, je suis passé au travers de nombreux bugs non résolus, que ce soit dans reaver, les drivers WIFI ou la suite aircrack-ng. Les outils permettant de casser des clefs WEP sont bien rodés et fonctionne très bien, ceux pour casser les clefs WPA, quant à eux sont encore truffés de bugs : si vous ne disposez pas de la carte WIFI et du driver supporté… bonne chance.

Note : Je vous rappelle que vous risquez des poursuites judiciaires si vous appliquez ces méthodes sur un réseau qui ne vous appartient pas.

Note 2 : Je n’abandonne pas l’idée de récupérer un handshake WPA, je me renseignerai sur des forums et je vous ferai part de mes résultats dans un autre article.

Parce que je n’ai pas la science infuse : sources

Publicités
À propos

Un informaticien, qui tente de faire comprendre au public que l'informatique n'est pas si compliquée, malgré des acronymes et autres termes obscurs pour faire croire que c'est difficile (et que c'est de votre faute si "ça ne marche pas")

Tagged with: , , , , , , , , ,
Publié dans Cracking, Informatique, Piratage, Sans fil
27 comments on “Casser une clef WPA comme un nul(l)
  1. Kazer2.0 dit :

    Pour la récupération du handshake, elle ne se fait seulement lors de la connexion d’une station (l’ordinateur) vers la box.

    Pour la récupération, deux méthodes :

    Passive, on laisse tourner airodump pendant des jours
    Active, on utilise la technique de deauth (celle plus haut en aireplay -0). La technique utilise une « vulnérabilité » au sein de windows : La reconnexion automatique en cas de déconnexion, ce qui permet de récupérer le handshake à la reconnexion.

    Mais dans tous les cas, il faut bien sur qu’une station soi connectée

    • mystcaster dit :

      Bonjour,
      Oui, c’est exactement ce qui est écrit dans cet article.
      La technique active que tu décris est lancée lorsqu’on exécute la commande suivante : « aireplay-ng -0 5 -a 00:01:02:03:04:05 -c 00:10:20:30:40:50 mon0 ».

  2. ViV189 dit :

    Salut mystcaster 🙂

    Tout d’abord merci pour ton tuto très bien expliqué 😉

    J’ai une Alfa AWUS036H et je m’en sers sous Backtrack 5 R3 donc normalement pas de soucis de compatibilité.

    J’ai suivi ton tuto pour tester la vulnérabilité de ma Bbox. Avec la faille wps j’ai mis à peine 4 heures à trouvé le pin … et aucun moyen de désactiver le wps depuis les paramétrages du routeur, merci Bouygues ! ^^

    J’ai voulu tester la 2ème méthode. Seulement je suis bloqué (comme toi) à l’étape « aircrack-ng monFichier.cap ».
    Backtrack ne trouve aucun fichier du nom « monFichier » et quitte ^^

    Pourtant, j’ai suivi à la lettre toutes les étapes précédentes.
    Je l’ai refait plusieurs fois, toujours le même problème. J’ai essayé de copier-coller pour être sur que je ne me trompais pas à un endroit, mais même résultat.

    Je n’ai pas vu d’autres articles sur ton site sur cette question en attente.
    Aurais-tu fais des découvertes depuis ?

    Je te remercie par avance 😉

    ViV189

    • mystcaster dit :

      Bonjour,
      Il faudrait que tu vérifies que le fichier a bien été créé, ou au moins que tu le situes sur ton disque dur à l’aide d’un explorateur de fichiers quelconque.
      Une fois le fichier localisé, il te suffira d’indiquer son chemin complet à aircrack-ng.
      Si tu as des espaces dans ton nom de fichier, tu peux les échapper avec un « \ » avant.

      Rappel : pour indexer les fichiers sur ton disque dur, il faut utiliser « sudo updatedb », tu pourras ensuite taper « locate monFichier » pour avoir les chemins complets de tous tes fichiers / dossiers portant ce nom.

  3. Smith dit :

    Bonjour,
    Tout d’abord merci pour ce tuto
    j’aimerais savoir que faire lorsqu’on a un ap rate limiting en faisant la première méthode ?

  4. damien dit :

    bonjour je découvre votre forum qui est super
    j’aimerais savoir si je peux me connecter à mon boitier adsl neuf box alors qu’il me l’ont couper car je n’ai pas de voisins pour passer en wifi merci d’avance

    • mystcaster dit :

      Bonjour,

      Alors déjà, pirater la connexion de son voisin est puni par la Loi, je le rappelle… mes articles sont là à titre éducatif, ne les appliquez pas contre vos voisins !
      Ensuite, qu’entends-tu par « ils me l’ont coupé » ? Qui t’a coupé quoi ? Si on t’a coupé le téléphone, tu ne pourras pas te connecter. Si on t’a coupé Internet, tu devrais toujours pouvoir te connecter avec un modem 56k si tu en as un.

  5. Teklab dit :

    Bonjour, j’ai suivi ton tuto (qui est d’ailleurs trés claire merci) et je me retrouve avec monFichier en .cap
    j’aimerai savoir comment lire ce fichier? (il me dit que le viewer n’est pas installer?) merci d’avance, désoler si je pose une question de noob ;p merci d’avance

    • mystcaster dit :

      Bonjour, tu n’as manifestement pas suivi l’article jusqu’au bout 😉
      Tu pourras voir que j’utilise le fichier « .cap » soit avec aircrack-ng, soit avec hashcat. (Juste avant la conclusion)

      • Teklab dit :

        oui merci, commentaire posté un peu trop tôt, (désolé) après quelques recherches sur le net j’ai trouvé, (en tout cas merci de repondre a un casu de mon genre) sinon j’ai un autre problème, et comme je vois que tu es réactif et amical je vais continuer un peu à chercher et je poserai mes questions un peu plus tard merci ! 😀
        cordialement.

  6. Unk0 dit :

    Bonsoir,

    Tout d’abord merci pour vos articles, ils sont vraiment très instructifs !

    Tout se passe très bien au niveau WEP ainsi que les WPA bien que très longue à trouver :p. Le tuto se passe très bien mais une question me taraude, comment se passe le bruteforce WPA au niveau de la box ciblée par le bruteforce ? Subit-elle chaque tentative de bruteforce ( 1mot / 1 attaque ) ? Si oui comment fais elle pour resister à toutes ces attaques ? Un anti-flood est-il possible au niveau de notre propre box ? Voila désolé pour toutes ces questions mais le domaine m’interesse de plus en plus et votre blog l’encourage encore plus à explorer tous ça !

    Merci et bonne soirée à vous

    Unk0

    • mystcaster dit :

      Bonjour,

      Oui, il s’agit d’un « mot » (C’est en réalité un nombre) par attaque.
      Certains boîtiers ADSL limitent le nombre de connexion par adresse MAC par minutes.
      Ça ne fait que ralentir l’attaque car un délai peut être configuré dans reaver pour ignorer ce type de configuration.

      La meilleure protection reste tout de même la désactivation du WPS.

  7. liozm dit :

    Bonjour,
    j’ai suivi la première méthode.
    Reaver arrive à 0.81% puis il s’arrête avec cette dernière ligne de code :
    **WPS transaction failde (code : 0*0.3), re-trying las pin**
    et il ne se passe plus rien après.
    que faut-il faire ?

  8. azsde dit :

    Salut,

    Super tuto, par contre confirmes-tu qu’il y a une erreur sur la commande wash ?

    Il me semble que cela doit être

    wash -i mon0 -C -s

    au lieu de

    wash -i wlan0 -C -s

    Ou j’ai loupé un truc ?

    • mystcaster dit :

      Bien vu ! je corrige tout de suite 🙂
      Merci.

      • azsde dit :

        Il serait intéressant de savoir quels boitiers de FAI sont vulnérables à reaver 🙂

        Pour le moment j’me suis cassé les dents sur une livebox, absolument aucune progression avec reaver, et sur une sfr box par contre ça progresse trèèèèèèèèèèès lentement du au AP rate limiting …

  9. -01 dit :

    Bonjour à tous,

    Si vous n’arrivez pas a lancer la commande « aircrack-ng votre_fichier.cap »

    C’est normal car en utilisant la commande « –write ou -w votre_fichier » cela créé un fichier sous le nom de : votre_fichier-01.cap

    Donc il faut mettre « -01 » après le nom du fichier

    Si je me suis pas planté, ca devrait marcher 😉

  10. redplop dit :

    Salut, j’aime bien ton site en général mais là je ne comprends pas trop ton article tu indiques que l’on peut attaquer son réseau si le protocole WPS est activé mais tu montres une photo où l’on voit une colonne  » WPS Locked  » avec que des « no » donc pas activé donc cela ne pourrait pas fonctionner ? J’ai du mal avec le no et yes .. Activé pas activé ..? Vulnérable pas vulnérable .. Peux tu brièvement m’expliquer ?

    • mystcaster dit :

      Cette liste référence tous les points d’accès avec le WPS activé (sinon la version du WPS ne s’afficherait pas).

      « WPS locked » veut dire « Est-ce que le protocole WPS est verrouillé » et non pas « Le point d’accès est verrouillé par WPS ».

      Un « no » dans cette colonne signifie que le point d’accès est vulnérable.

  11. Du Pain dit :

    C’est limite un -0 5, met plutot un -0 0 pour la desauthentification 😉 jusqu a la récupération d’un handshake ( un peu bourrin xD )

    • mystcaster dit :

      Il ne faut pas en faire trop : déconnecter un utilisateur du réseau, ça se voit déjà beaucoup. Risquer de le déconnecter plusieurs fois, c’est augmenter le risque d’être repéré…
      N’oublions pas que pour pirater un réseau Wifi, il faut être à proximité. Si la personne que tu déconnecte devient suspicieuse et te repère, tu ne voudrais pas finir au poste…

  12. kawa dit :

    Bonjour
    Merci pour ce tuto
    J ai tester avec reaver sur ma SFR box sa doit faire 1 mois que je suis dessus et je suis a peine a 4.00% il y a un moyen d aller plus vite ou je peut en déduire que la box résiste bien a l attaque 🙂 ?

    • mystcaster dit :

      Bonjour,

      En adaptant la configuration de reaver, on peut obtenir une vitesse d’attaque améliorée.
      Par exemple, il est bien souvent préférable d’incorporer des délais (options -d et –lock-delai) pour ne pas se faire bannir par le point d’accès et perdre de précieuses minutes.

  13. draper dit :

    Salut, moi j’ai un souci. En fait, quand je lance reaver, le wash ne fonctionne pas. J’ai trouvé le bssid avec airodump. Ensuite, je lance reaver avec le bssid trouvé, mais là, j’ai ça qui tourne en boucle dans la console : « failed to associate with »…

    EDIT (mystcaster) : J’ai corrigé le paquet de fautes de français… j’ai tendance à mettre à la corbeille les messages trop mal écris, faites un petit effort SVP…

    • mystcaster dit :

      Le message « Failed to associate with » est un message normal de Reaver, il ne veut pas forcément dire que ça ne fonctionne pas.
      Ce message est affiché lorsque le point d’accès détecte une attaque et bloque votre ordinateur. Configurez Reaver avec des délais et vous en aurez moins 😉

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

MystCaster
janvier 2013
L M M J V S D
« Déc   Fév »
 123456
78910111213
14151617181920
21222324252627
28293031  
Catégories
Archives
%d blogueurs aiment cette page :