Casser une clef WPA comme un nul(l)

Bonjour à tous !

Après Utiliser Internet de votre voisin comme un nul(l) (WEP), nous nous intéresserons à WPA.

A priori, Loïc, votre nouveau voisin, a entendu dire que le protocole WEP n’était pas sûr. Il a sécurisé son WIFI en utilisant WPA et s’amuse à casser les clefs WEP des voisins en se croyant bien à l’abri derrière son boîtier ADSL…

Comme on apprend de ses erreurs, apprenons quelque chose à ce pirate en herbe !

>_<

 

Méthode 1 : WPS

Sur certains boîtiers ADSL, le protocole de configuration WPS (Wi-Fi Protected Setup) est activé par défaut.

Malheureusement pour Loïc, ce protocole contient des failles permettant de retrouver relativement vite la clef WPA en clair!

Selon Korben, seuls quelques boîtiers ADSL sont vulnérables :

• La Livebox 2
• La neufbox (pas activé par défaut)
• La BBox (pas activé par défaut)

Beaucoup de gens utilisent toujours la livebox 2…

Voici comment procéder.

Pré-requis

Il faut que vous installiez la dernière version de reaver. La version embarquée par défaut dans backtrack contient quelques erreurs fâcheuses…

Rendez-vous sur le site de reaver pour télécharger la dernière version. Que vous décompresserez dans un dossier avant de l’installer :

./configure
make && make install

Il faut ensuite que vous vérifiez la compatibilité de votre driver WIFI. J’utilise par exemple compat-wireless que j’ai modifié dans un précédent article pour débrider ma carte WIFI. Notez que la dernière version du driver datant du 18 décembre 2012 n’est pas compatible avec reaver. La version du 23 septembre 2012, quant à elle, fonctionne à merveille !

Passer la carte Wi-Fi en mode monitoring

Rien de plus simple :

airmon-ng check kill
airmon-ng start wlan0

Notez la première commande : « check kill ».

J’ai eu quelques difficultés durant la création de cet article, le canal de ma carte WIFI ne pouvait pas être configuré… Cette commande permet de tuer tous les processus associés à votre carte WIFI. Je n’ai eu aucun problème par la suite pour utiliser reaver ou airodump-ng.

Détecter les points d’accès avec le protocol WPS activé

Reaver vient avec un petit outil bien pratique pour détecter les réseaux vulnérables : wash.

wash -i mon0 -C -s

Vous obtenez alors une liste de réseaux vulnérables :

Le nombre de réseaux vulnérable pouvant être grand (39 dans mon cas), je vous conseille d’utiliser l’option -o pour rediriger l’affichage dans un fichier que vous pourrez traiter par la suite.

Lancer Reaver

Pour cela, il vous faudra le BSSID du réseau WIFI de Loïc. Vous pouvez le récupérer à l’aide de airodump-ng ou tout simplement de l’outil de connexion WIFI intégré à tout système d’exploitation.

Il ne reste plus qu’à lancer Reaver et attendre :

reaver -i mon0 -b 00:01:02:03:04:05 -v

Ici 00:01:02:03:04:05 est le BSSID de Loïc.

-v indique l’utilisation du mode « verbose » pour nous assurer que tout se déroule comme prévu. (On peut aussi utiliser -vv comme « very verbose »)

Dans certains cas, les points d’accès WIFI renvoient plusieurs fois les paquets… L’utilisation de l’option -N est alors indispensable. Néanmoins, un bug dans reaver fait que l’utilisation de cette option ne vous retournera que le code PIN WPS, et non pas la clef WPA. Une méthode est disponible sur le site de reaver (commentaire #6) pour récupérer la clef WPA à partir de ce code PIN.

Reaver accepte un certain nombre d’options utiles dans le cas où vous obtiendriez des erreurs :

• -c <Canal> : Donne le canal WIFI où reaver doit chercher le BSSID (Par défaut reaver scanne les canaux jusqu’à ce qu’il le trouve)
• -t <timeout> : Définit le nombre de secondes après lesquelles reaver considère qu’il a un timeout (Par défaut 5)
• -d <delai> : Configure le délai en secondes entre chaque tentative (Par défaut 1)
• –lock-delay=<delai> : Configure le délai en secondes que laisse reaver si le boîtier ADSL bloque le protocole WPS après la détection de votre attaque. (Par défaut 315 secondes) Si vous configurez l’option -d de manière acceptable, vous ne devriez pas avoir à configurer cette option.

Si tout se passe bien, vous devriez obtenir la clef WPA recherchée au bout de quelques heures !

Avec l’option -N, reaver ne fournis pas la clef WPA…

Sans cette option, on obtient toutes les informations nécessaires !

Méthode 2 : Classique

Le protocole WPS n’est pas activé sur le boîtier de Loïc ?

Pas de problème, on utilisera une méthode un peu plus standard !

Passage de la carte WIFI en mode monitor

Maintenant, vous devriez savoir faire cette action d’une manière ou d’une autre :

airmon-ng start wlan0

Démarrage de l’écoute du trafic

Si vous avez déjà cassé une clef WEP en suivant un précédent article, on fait sensiblement la même chose ici :

airodump-ng -c 8 --bssid 00:01:02:03:04:05 --showack -w monFichier mon0

Voici les options utilisées :

• -c 8 pour configurer l’écoute uniquement sur le canal du réseau WIFI de Loïc (8), n’oubliez pas cette option sinon vous risquez de perdre des paquets.
• –bssid 00:01:02:03:04:05 pour configurer le BSSID de Loïc que l’on a récupéré comme pour la méthode 1.
• –showack est juste ici pour vous assurer que vos injections fonctionnent bien, vous pouvez l’enlever si ça vous chante.
• -w monFichier pour écrire les paquets capturés dans un fichier cap.
• mon0 est le nom de votre interface créée à l’aide de airmon-ng.

Récupération d’une authentification

Il faut maintenant attendre qu’un ordinateur se connecte au réseau…

Si une machine est déjà connectée, il suffit de la déconnecter, puis d’attendre qu’elle s’authentifie à nouveau. (La victime aura une perte de connexion) :

aireplay-ng -0 5 -a 00:01:02:03:04:05 -c 00:10:20:30:40:50 mon0

Liste des options :

• -0 5 indique que l’on utilise une attaque de dé-authentification en envoyant 5 requêtes de dé-authentification.
• -a 00:01:02:03:04:05 indique le BSSID où envoyer ces requêtes.
• -c 00:10:20:30:40:50 indique l’adresse MAC de la malheureuse victime que l’on veut déconnecter.
• Comme d’habitude mon0 est le nom de notre interface réseau.

Si vous avez préalablement activé l’option –showack sur votre console d’écoute, vous devriez voir apparaître des ACK (Acknowledge veut à peu près dire « Demande reçue » pour les francophones)

Vous pouvez vérifier que vous avez bien récupéré un handshake (serrage de main…) en ouvrant le fichier où vous inscrivez les paquets écoutés avec aircrack-ng :

aircrack-ng monFichier.cap

Je n’ai malheureusement pas réussi à arriver à cette étape. J’ai eu beau faire tout ce que je pouvais, airodump n’a jamais été en mesure de récupérer un handshake. Le fait qu’il ne me retourne que des stations « non associées » est certainement lié…

Ma carte WIFI (AWUS036NHR) n’est manifestement pas compatible… Des frais sont à venir pour acheter la AWUS036H ! Si j’avais lu un peu mieux les compatibilités avant de l’acheter, ça m’aurait économisé quelques €€€.

La carte Atheros de mon eeepc n’est également pas capable de récupérer le handshake, ce qui est déjà moins normal.

Ce qui suit n’est que la théorie, je n’ai pas pu la mettre en pratique… Parce que bon, après 2 semaines à galérer en passant d’un bug à l’autre, ça va un moment !

Casser la clef en utilisant Hashcat

Hashcat peut utiliser votre processeur graphique (GPU), cet outil peut être bien plus rapide que aircrack-ng à condition que vous disposiez bien évidemment d’une carte graphique supportée…

Préparer votre fichier hccap

Hashcat ne travaille pas directement à partir d’un fichier cap, vous devrez le convertir en fichier hccap :

wpaclean monFichierClean.cap monFichier.cap
aircrack-ng monFichierClean.cap -J monFichierClean.hccap

Notez que l’option -J est en MAJUSCULE.

Casser la clef

Pour casser la clef, si vous la voulez avant votre mort, il vous faudra un dictionnaire. Vous pouvez soit le créer vous même en suivant un précédent article ou en récupérer un sur Internet. Je préfère de loin la première solution car vous pourrez créer un dictionnaire spécifiquement conçu pour votre voisin. Si vous connaissez un minimum ses centres d’intérêt (en fouillant sa boîte aux lettres, ses poubelles, ou en discutant un peu avec lui par exemple), cette méthode peut s’avérer radicale !

Il ne reste plus qu’à lancer hashcat et attendre :

oclHashcat-plus64 -m 2500 monFichierClean.hccap monDictionnaire.txt

Notez l’option -m 2500 qui ne configure en rien un délai/timeout ou quoi que ce soit d’autre, elle sert à définir le type de donnée que l’on tente de casser. (2500 = WPA/WPA2)

Avec de la chance, comme d’habitude, la clef WPA devrait apparaître !

Conclusion

Lors du choix de votre clef, préférez une phrase ou une suite de caractères aléatoires (plus de 16) au lieu d’un simple mot. Si votre clef WPA est faible, un hacker pourra certainement la casser, ça pourrait même lui prendre moins de temps que pour une clef WEP !

Configurer une clef WPA de qualité sur votre boîtier ADSL, c’est bien. N’oubliez pas cependant de désactiver certaines options telles que le protocole WPS ! Effectivement, quelle que soit la clef, aussi compliquée et longue soit-elle, 10 998 tentatives au maximum suffiront à Reaver pour retrouver votre clef WPA si le protocole WPS est activé ! (Soit à peu près 3 ou 4 heures avec les options par défaut, une journée si comme moi vous n’avez pas de chance…)

Afin de rédiger tant bien que mal cet article, je suis passé au travers de nombreux bugs non résolus, que ce soit dans reaver, les drivers WIFI ou la suite aircrack-ng. Les outils permettant de casser des clefs WEP sont bien rodés et fonctionne très bien, ceux pour casser les clefs WPA, quant à eux sont encore truffés de bugs : si vous ne disposez pas de la carte WIFI et du driver supporté… bonne chance.

Note : Je vous rappelle que vous risquez des poursuites judiciaires si vous appliquez ces méthodes sur un réseau qui ne vous appartient pas.

Note 2 : Je n’abandonne pas l’idée de récupérer un handshake WPA, je me renseignerai sur des forums et je vous ferai part de mes résultats dans un autre article.

Parce que je n’ai pas la science infuse : sources

• http://korben.info/cracker-cle-wpa.html
• https://fr.wikipedia.org/wiki/Wi-Fi_Protected_Setup
• https://code.google.com/p/reaver-wps/wiki/README
• https://hashcat.net/wiki/doku.php?id=cracking_wpawpa2
• https://www.question-defense.com/2010/01/10/how-to-capture-a-4-way-wpa-handshake
• http://linux.die.net/man/1/aireplay-ng
• http://www.irongeek.com/i.php?page=backtrack-3-man/airodump-ng
• http://www.aircrack-ng.org/doku.php?id=patching
• http://www.aircrack-ng.org/doku.php?id=compat-wireless
• http://code.google.com/p/reaver-wps/issues/detail?id=203
• http://code.google.com/p/reaver-wps/wiki/HintsAndTips

À propos mystcaster

Un informaticien, qui tente de faire comprendre au public que l'informatique n'est pas si compliquée, malgré des acronymes et autres termes obscurs pour faire croire que c'est difficile (et que c'est de votre faute si "ça ne marche pas")

‹ Contourner un IDS comme un nul(l)

Coder un cheval de Troie comme un nul(l) ›

Tagged with: aircrack-ng, cap, handshake, hashcat, hccap, reaver, WEP, WIFI, WPA, WPS
Publié dans Cracking, Informatique, Piratage, Sans fil