Bonjour à tous !
Après Utiliser Internet de votre voisin comme un nul(l) (WEP), nous nous intéresserons à WPA.
A priori, Loïc, votre nouveau voisin, a entendu dire que le protocole WEP n’était pas sûr. Il a sécurisé son WIFI en utilisant WPA et s’amuse à casser les clefs WEP des voisins en se croyant bien à l’abri derrière son boîtier ADSL…
Comme on apprend de ses erreurs, apprenons quelque chose à ce pirate en herbe !
Méthode 1 : WPS
Sur certains boîtiers ADSL, le protocole de configuration WPS (Wi-Fi Protected Setup) est activé par défaut.
Malheureusement pour Loïc, ce protocole contient des failles permettant de retrouver relativement vite la clef WPA en clair!
Selon Korben, seuls quelques boîtiers ADSL sont vulnérables :
- La Livebox 2
- La neufbox (pas activé par défaut)
- La BBox (pas activé par défaut)
Beaucoup de gens utilisent toujours la livebox 2…
Voici comment procéder.
Pré-requis
Il faut que vous installiez la dernière version de reaver. La version embarquée par défaut dans backtrack contient quelques erreurs fâcheuses…
Rendez-vous sur le site de reaver pour télécharger la dernière version. Que vous décompresserez dans un dossier avant de l’installer :
./configure make && make install
Il faut ensuite que vous vérifiez la compatibilité de votre driver WIFI. J’utilise par exemple compat-wireless que j’ai modifié dans un précédent article pour débrider ma carte WIFI. Notez que la dernière version du driver datant du 18 décembre 2012 n’est pas compatible avec reaver. La version du 23 septembre 2012, quant à elle, fonctionne à merveille !
Passer la carte Wi-Fi en mode monitoring
Rien de plus simple :
airmon-ng check kill airmon-ng start wlan0
Notez la première commande : « check kill ».
J’ai eu quelques difficultés durant la création de cet article, le canal de ma carte WIFI ne pouvait pas être configuré… Cette commande permet de tuer tous les processus associés à votre carte WIFI. Je n’ai eu aucun problème par la suite pour utiliser reaver ou airodump-ng.
Détecter les points d’accès avec le protocol WPS activé
Reaver vient avec un petit outil bien pratique pour détecter les réseaux vulnérables : wash.
wash -i mon0 -C -s
Vous obtenez alors une liste de réseaux vulnérables :
Le nombre de réseaux vulnérable pouvant être grand (39 dans mon cas), je vous conseille d’utiliser l’option -o pour rediriger l’affichage dans un fichier que vous pourrez traiter par la suite.
Lancer Reaver
Pour cela, il vous faudra le BSSID du réseau WIFI de Loïc. Vous pouvez le récupérer à l’aide de airodump-ng ou tout simplement de l’outil de connexion WIFI intégré à tout système d’exploitation.
Il ne reste plus qu’à lancer Reaver et attendre :
reaver -i mon0 -b 00:01:02:03:04:05 -v
Ici 00:01:02:03:04:05 est le BSSID de Loïc.
-v indique l’utilisation du mode « verbose » pour nous assurer que tout se déroule comme prévu. (On peut aussi utiliser -vv comme « very verbose »)
Dans certains cas, les points d’accès WIFI renvoient plusieurs fois les paquets… L’utilisation de l’option -N est alors indispensable. Néanmoins, un bug dans reaver fait que l’utilisation de cette option ne vous retournera que le code PIN WPS, et non pas la clef WPA. Une méthode est disponible sur le site de reaver (commentaire #6) pour récupérer la clef WPA à partir de ce code PIN.
Reaver accepte un certain nombre d’options utiles dans le cas où vous obtiendriez des erreurs :
- -c <Canal> : Donne le canal WIFI où reaver doit chercher le BSSID (Par défaut reaver scanne les canaux jusqu’à ce qu’il le trouve)
- -t <timeout> : Définit le nombre de secondes après lesquelles reaver considère qu’il a un timeout (Par défaut 5)
- -d <delai> : Configure le délai en secondes entre chaque tentative (Par défaut 1)
- –lock-delay=<delai> : Configure le délai en secondes que laisse reaver si le boîtier ADSL bloque le protocole WPS après la détection de votre attaque. (Par défaut 315 secondes) Si vous configurez l’option -d de manière acceptable, vous ne devriez pas avoir à configurer cette option.
Si tout se passe bien, vous devriez obtenir la clef WPA recherchée au bout de quelques heures !
Méthode 2 : Classique
Le protocole WPS n’est pas activé sur le boîtier de Loïc ?
Pas de problème, on utilisera une méthode un peu plus standard !
Passage de la carte WIFI en mode monitor
Maintenant, vous devriez savoir faire cette action d’une manière ou d’une autre :
airmon-ng start wlan0
Démarrage de l’écoute du trafic
Si vous avez déjà cassé une clef WEP en suivant un précédent article, on fait sensiblement la même chose ici :
airodump-ng -c 8 --bssid 00:01:02:03:04:05 --showack -w monFichier mon0
Voici les options utilisées :
- -c 8 pour configurer l’écoute uniquement sur le canal du réseau WIFI de Loïc (8), n’oubliez pas cette option sinon vous risquez de perdre des paquets.
- –bssid 00:01:02:03:04:05 pour configurer le BSSID de Loïc que l’on a récupéré comme pour la méthode 1.
- –showack est juste ici pour vous assurer que vos injections fonctionnent bien, vous pouvez l’enlever si ça vous chante.
- -w monFichier pour écrire les paquets capturés dans un fichier cap.
- mon0 est le nom de votre interface créée à l’aide de airmon-ng.
Récupération d’une authentification
Il faut maintenant attendre qu’un ordinateur se connecte au réseau…
Si une machine est déjà connectée, il suffit de la déconnecter, puis d’attendre qu’elle s’authentifie à nouveau. (La victime aura une perte de connexion) :
aireplay-ng -0 5 -a 00:01:02:03:04:05 -c 00:10:20:30:40:50 mon0
Liste des options :
- -0 5 indique que l’on utilise une attaque de dé-authentification en envoyant 5 requêtes de dé-authentification.
- -a 00:01:02:03:04:05 indique le BSSID où envoyer ces requêtes.
- -c 00:10:20:30:40:50 indique l’adresse MAC de la malheureuse victime que l’on veut déconnecter.
- Comme d’habitude mon0 est le nom de notre interface réseau.
Si vous avez préalablement activé l’option –showack sur votre console d’écoute, vous devriez voir apparaître des ACK (Acknowledge veut à peu près dire « Demande reçue » pour les francophones)
Vous pouvez vérifier que vous avez bien récupéré un handshake (serrage de main…) en ouvrant le fichier où vous inscrivez les paquets écoutés avec aircrack-ng :
aircrack-ng monFichier.capJe n’ai malheureusement pas réussi à arriver à cette étape. J’ai eu beau faire tout ce que je pouvais, airodump n’a jamais été en mesure de récupérer un handshake. Le fait qu’il ne me retourne que des stations « non associées » est certainement lié…
Ma carte WIFI (AWUS036NHR) n’est manifestement pas compatible… Des frais sont à venir pour acheter la AWUS036H ! Si j’avais lu un peu mieux les compatibilités avant de l’acheter, ça m’aurait économisé quelques €€€.
La carte Atheros de mon eeepc n’est également pas capable de récupérer le handshake, ce qui est déjà moins normal.
Ce qui suit n’est que la théorie, je n’ai pas pu la mettre en pratique… Parce que bon, après 2 semaines à galérer en passant d’un bug à l’autre, ça va un moment !
Casser la clef en utilisant Hashcat
Hashcat peut utiliser votre processeur graphique (GPU), cet outil peut être bien plus rapide que aircrack-ng à condition que vous disposiez bien évidemment d’une carte graphique supportée…
Préparer votre fichier hccap
Hashcat ne travaille pas directement à partir d’un fichier cap, vous devrez le convertir en fichier hccap :
wpaclean monFichierClean.cap monFichier.cap aircrack-ng monFichierClean.cap -J monFichierClean.hccap
Notez que l’option -J est en MAJUSCULE.
Casser la clef
Pour casser la clef, si vous la voulez avant votre mort, il vous faudra un dictionnaire. Vous pouvez soit le créer vous même en suivant un précédent article ou en récupérer un sur Internet. Je préfère de loin la première solution car vous pourrez créer un dictionnaire spécifiquement conçu pour votre voisin. Si vous connaissez un minimum ses centres d’intérêt (en fouillant sa boîte aux lettres, ses poubelles, ou en discutant un peu avec lui par exemple), cette méthode peut s’avérer radicale !
Il ne reste plus qu’à lancer hashcat et attendre :
oclHashcat-plus64 -m 2500 monFichierClean.hccap monDictionnaire.txt
Notez l’option -m 2500 qui ne configure en rien un délai/timeout ou quoi que ce soit d’autre, elle sert à définir le type de donnée que l’on tente de casser. (2500 = WPA/WPA2)
Avec de la chance, comme d’habitude, la clef WPA devrait apparaître !
Conclusion
Lors du choix de votre clef, préférez une phrase ou une suite de caractères aléatoires (plus de 16) au lieu d’un simple mot. Si votre clef WPA est faible, un hacker pourra certainement la casser, ça pourrait même lui prendre moins de temps que pour une clef WEP !
Configurer une clef WPA de qualité sur votre boîtier ADSL, c’est bien. N’oubliez pas cependant de désactiver certaines options telles que le protocole WPS ! Effectivement, quelle que soit la clef, aussi compliquée et longue soit-elle, 10 998 tentatives au maximum suffiront à Reaver pour retrouver votre clef WPA si le protocole WPS est activé ! (Soit à peu près 3 ou 4 heures avec les options par défaut, une journée si comme moi vous n’avez pas de chance…)
Afin de rédiger tant bien que mal cet article, je suis passé au travers de nombreux bugs non résolus, que ce soit dans reaver, les drivers WIFI ou la suite aircrack-ng. Les outils permettant de casser des clefs WEP sont bien rodés et fonctionne très bien, ceux pour casser les clefs WPA, quant à eux sont encore truffés de bugs : si vous ne disposez pas de la carte WIFI et du driver supporté… bonne chance.
Note : Je vous rappelle que vous risquez des poursuites judiciaires si vous appliquez ces méthodes sur un réseau qui ne vous appartient pas.
Note 2 : Je n’abandonne pas l’idée de récupérer un handshake WPA, je me renseignerai sur des forums et je vous ferai part de mes résultats dans un autre article.
Parce que je n’ai pas la science infuse : sources
- http://korben.info/cracker-cle-wpa.html
- https://fr.wikipedia.org/wiki/Wi-Fi_Protected_Setup
- https://code.google.com/p/reaver-wps/wiki/README
- https://hashcat.net/wiki/doku.php?id=cracking_wpawpa2
- https://www.question-defense.com/2010/01/10/how-to-capture-a-4-way-wpa-handshake
- http://linux.die.net/man/1/aireplay-ng
- http://www.irongeek.com/i.php?page=backtrack-3-man/airodump-ng
- http://www.aircrack-ng.org/doku.php?id=patching
- http://www.aircrack-ng.org/doku.php?id=compat-wireless
- http://code.google.com/p/reaver-wps/issues/detail?id=203
- http://code.google.com/p/reaver-wps/wiki/HintsAndTips
Pour la récupération du handshake, elle ne se fait seulement lors de la connexion d’une station (l’ordinateur) vers la box.
Pour la récupération, deux méthodes :
Passive, on laisse tourner airodump pendant des jours
Active, on utilise la technique de deauth (celle plus haut en aireplay -0). La technique utilise une « vulnérabilité » au sein de windows : La reconnexion automatique en cas de déconnexion, ce qui permet de récupérer le handshake à la reconnexion.
Mais dans tous les cas, il faut bien sur qu’une station soi connectée
Bonjour,
Oui, c’est exactement ce qui est écrit dans cet article.
La technique active que tu décris est lancée lorsqu’on exécute la commande suivante : « aireplay-ng -0 5 -a 00:01:02:03:04:05 -c 00:10:20:30:40:50 mon0 ».
Salut mystcaster 🙂
Tout d’abord merci pour ton tuto très bien expliqué 😉
J’ai une Alfa AWUS036H et je m’en sers sous Backtrack 5 R3 donc normalement pas de soucis de compatibilité.
J’ai suivi ton tuto pour tester la vulnérabilité de ma Bbox. Avec la faille wps j’ai mis à peine 4 heures à trouvé le pin … et aucun moyen de désactiver le wps depuis les paramétrages du routeur, merci Bouygues ! ^^
J’ai voulu tester la 2ème méthode. Seulement je suis bloqué (comme toi) à l’étape « aircrack-ng monFichier.cap ».
Backtrack ne trouve aucun fichier du nom « monFichier » et quitte ^^
Pourtant, j’ai suivi à la lettre toutes les étapes précédentes.
Je l’ai refait plusieurs fois, toujours le même problème. J’ai essayé de copier-coller pour être sur que je ne me trompais pas à un endroit, mais même résultat.
Je n’ai pas vu d’autres articles sur ton site sur cette question en attente.
Aurais-tu fais des découvertes depuis ?
Je te remercie par avance 😉
ViV189
Bonjour,
Il faudrait que tu vérifies que le fichier a bien été créé, ou au moins que tu le situes sur ton disque dur à l’aide d’un explorateur de fichiers quelconque.
Une fois le fichier localisé, il te suffira d’indiquer son chemin complet à aircrack-ng.
Si tu as des espaces dans ton nom de fichier, tu peux les échapper avec un « \ » avant.
Rappel : pour indexer les fichiers sur ton disque dur, il faut utiliser « sudo updatedb », tu pourras ensuite taper « locate monFichier » pour avoir les chemins complets de tous tes fichiers / dossiers portant ce nom.
Bonjour,
Tout d’abord merci pour ce tuto
j’aimerais savoir que faire lorsqu’on a un ap rate limiting en faisant la première méthode ?
Bonjour,
Il faut juste attendre, ou configurer le temps d’attente en cas d’erreur avec le paramètre : –fail-wait=XXX
Comme indiqué sur la documentation officielle de Reaver : https://code.google.com/p/reaver-wps/wiki/README
bonjour je découvre votre forum qui est super
j’aimerais savoir si je peux me connecter à mon boitier adsl neuf box alors qu’il me l’ont couper car je n’ai pas de voisins pour passer en wifi merci d’avance
Bonjour,
Alors déjà, pirater la connexion de son voisin est puni par la Loi, je le rappelle… mes articles sont là à titre éducatif, ne les appliquez pas contre vos voisins !
Ensuite, qu’entends-tu par « ils me l’ont coupé » ? Qui t’a coupé quoi ? Si on t’a coupé le téléphone, tu ne pourras pas te connecter. Si on t’a coupé Internet, tu devrais toujours pouvoir te connecter avec un modem 56k si tu en as un.
Bonjour, j’ai suivi ton tuto (qui est d’ailleurs trés claire merci) et je me retrouve avec monFichier en .cap
j’aimerai savoir comment lire ce fichier? (il me dit que le viewer n’est pas installer?) merci d’avance, désoler si je pose une question de noob ;p merci d’avance
Bonjour, tu n’as manifestement pas suivi l’article jusqu’au bout 😉
Tu pourras voir que j’utilise le fichier « .cap » soit avec aircrack-ng, soit avec hashcat. (Juste avant la conclusion)
oui merci, commentaire posté un peu trop tôt, (désolé) après quelques recherches sur le net j’ai trouvé, (en tout cas merci de repondre a un casu de mon genre) sinon j’ai un autre problème, et comme je vois que tu es réactif et amical je vais continuer un peu à chercher et je poserai mes questions un peu plus tard merci ! 😀
cordialement.
Bonsoir,
Tout d’abord merci pour vos articles, ils sont vraiment très instructifs !
Tout se passe très bien au niveau WEP ainsi que les WPA bien que très longue à trouver :p. Le tuto se passe très bien mais une question me taraude, comment se passe le bruteforce WPA au niveau de la box ciblée par le bruteforce ? Subit-elle chaque tentative de bruteforce ( 1mot / 1 attaque ) ? Si oui comment fais elle pour resister à toutes ces attaques ? Un anti-flood est-il possible au niveau de notre propre box ? Voila désolé pour toutes ces questions mais le domaine m’interesse de plus en plus et votre blog l’encourage encore plus à explorer tous ça !
Merci et bonne soirée à vous
Unk0
Bonjour,
Oui, il s’agit d’un « mot » (C’est en réalité un nombre) par attaque.
Certains boîtiers ADSL limitent le nombre de connexion par adresse MAC par minutes.
Ça ne fait que ralentir l’attaque car un délai peut être configuré dans reaver pour ignorer ce type de configuration.
La meilleure protection reste tout de même la désactivation du WPS.
Bonjour,
j’ai suivi la première méthode.
Reaver arrive à 0.81% puis il s’arrête avec cette dernière ligne de code :
**WPS transaction failde (code : 0*0.3), re-trying las pin**
et il ne se passe plus rien après.
que faut-il faire ?
Juste avec cette trace, je ne vais pas trop pouvoir aider… Tu peux tenter le mode « very verbose » (-vv) pour avoir plus d’information.
Salut,
Super tuto, par contre confirmes-tu qu’il y a une erreur sur la commande wash ?
Il me semble que cela doit être
wash -i mon0 -C -s
au lieu de
wash -i wlan0 -C -s
Ou j’ai loupé un truc ?
Bien vu ! je corrige tout de suite 🙂
Merci.
Il serait intéressant de savoir quels boitiers de FAI sont vulnérables à reaver 🙂
Pour le moment j’me suis cassé les dents sur une livebox, absolument aucune progression avec reaver, et sur une sfr box par contre ça progresse trèèèèèèèèèèès lentement du au AP rate limiting …
Bonjour à tous,
Si vous n’arrivez pas a lancer la commande « aircrack-ng votre_fichier.cap »
C’est normal car en utilisant la commande « –write ou -w votre_fichier » cela créé un fichier sous le nom de : votre_fichier-01.cap
Donc il faut mettre « -01 » après le nom du fichier
Si je me suis pas planté, ca devrait marcher 😉
Salut, j’aime bien ton site en général mais là je ne comprends pas trop ton article tu indiques que l’on peut attaquer son réseau si le protocole WPS est activé mais tu montres une photo où l’on voit une colonne » WPS Locked » avec que des « no » donc pas activé donc cela ne pourrait pas fonctionner ? J’ai du mal avec le no et yes .. Activé pas activé ..? Vulnérable pas vulnérable .. Peux tu brièvement m’expliquer ?
Cette liste référence tous les points d’accès avec le WPS activé (sinon la version du WPS ne s’afficherait pas).
« WPS locked » veut dire « Est-ce que le protocole WPS est verrouillé » et non pas « Le point d’accès est verrouillé par WPS ».
Un « no » dans cette colonne signifie que le point d’accès est vulnérable.
C’est limite un -0 5, met plutot un -0 0 pour la desauthentification 😉 jusqu a la récupération d’un handshake ( un peu bourrin xD )
Il ne faut pas en faire trop : déconnecter un utilisateur du réseau, ça se voit déjà beaucoup. Risquer de le déconnecter plusieurs fois, c’est augmenter le risque d’être repéré…
N’oublions pas que pour pirater un réseau Wifi, il faut être à proximité. Si la personne que tu déconnecte devient suspicieuse et te repère, tu ne voudrais pas finir au poste…
Bonjour
Merci pour ce tuto
J ai tester avec reaver sur ma SFR box sa doit faire 1 mois que je suis dessus et je suis a peine a 4.00% il y a un moyen d aller plus vite ou je peut en déduire que la box résiste bien a l attaque 🙂 ?
Bonjour,
En adaptant la configuration de reaver, on peut obtenir une vitesse d’attaque améliorée.
Par exemple, il est bien souvent préférable d’incorporer des délais (options -d et –lock-delai) pour ne pas se faire bannir par le point d’accès et perdre de précieuses minutes.
Salut, moi j’ai un souci. En fait, quand je lance reaver, le wash ne fonctionne pas. J’ai trouvé le bssid avec airodump. Ensuite, je lance reaver avec le bssid trouvé, mais là, j’ai ça qui tourne en boucle dans la console : « failed to associate with »…
EDIT (mystcaster) : J’ai corrigé le paquet de fautes de français… j’ai tendance à mettre à la corbeille les messages trop mal écris, faites un petit effort SVP…
Le message « Failed to associate with » est un message normal de Reaver, il ne veut pas forcément dire que ça ne fonctionne pas.
Ce message est affiché lorsque le point d’accès détecte une attaque et bloque votre ordinateur. Configurez Reaver avec des délais et vous en aurez moins 😉