Cracker une clé WPA2 via une faiblesse WPS et optimisations Aircrack

Salut les loulous!

Au début du blog, j’avais rédigé un article sur l’espionnage d’une machine sur un réseau. La limite à l’époque venait de la sécurité WPA2, qui aujourd’hui encore est beaucoup trop forte si bien utilisée. Il nous reste donc les Wifi ouverts (honeypoooot), les Wifi protégés en WEP (so old school), et ceux en WPA2… avec le WPS activé par défaut =D Vous l’avez compris dès que vous avez lu le titre de l’article, on ne va pas s’attaquer au WPA2 mais aux faiblesses du WPS!

Comment ça marche?

La vulnérabilité WPS

La technique n’est pas tout récente (quoi que pas bien vieille non plus), mais apparemment rien ne bouge donc… on va continuer à l’utiliser hein? L’idée est que, lorsque vous vous connectez par WPS, un pin à 8 chiffres sert de challenge pour la station. Théoriquement, si on n’est limité que par l’interface réseau, on peut tester des centaines / milliers de combinaisons à la seconde, sachant qu’il y a au maximum 10^8 possibilités. En pratique, il faut attendre la réponse du point d’accès avant d’essayer la prochaine combinaison, ce qui limite à un essai toutes les secondes / deux secondes voir plus selon les box. Cela commence à devenir difficile, mais en vrai la vérification du PIN côté AP se fait sur le hash des 7 premiers digits (je ne sais pas à quoi sert le 8° du coup…) et en deux fois. Ah oui et contrairement à d’autres vulnérabilités WPS, il n’est pas nécessaire que l’utilisateur appuie sur le bouton, ou qu’une machine soit connectée… Donc en gros, on peut réaliser notre attaque sur 10^4 + 10^3 combinaisons sans aucune autre contrainte.

A titre de comparaison:

  • Attaque bourrin: 10^8 = 100 millions de combinaisons possibles 🙁
  • Attaque bourrin mais pas trop: 10^4 + 10^3 = 11 000 combinaisons possibles 🙂

A l’attaque!

Go Reaver!

Bon et maintenant comment qu’on fait? C’est très simple, pour ceux qui connaissent il suffit de lancer cette commande sur Kali:

reaver -i mon0 -b BSSID -f -c -vv

Pour les autres, voici plus de détails. Donc toujours sur Kali, vous lancez votre terminal et vous tapez la commande suivante pour lancer votre interface en mode moniteur:

airmon-ng start wlan0

Ensuite vous pouvez afficher tous les Wifi compatibles WPS avec la commande suivante:

wash -i mon0 –ignore-fcs

Il se peut qu’elle ne fonctionne pas aussi bien qu’un airodump-ng, donc si rien ne s’affiche, soit aucun réseau n’est compatible WPS soit il y a eu un bug et vous pouvez essayer avec la commande suivante:

airodump-ng mon0

Il est possible d’ajouter des options à la commande ci-dessus si vous voulez cibler un réseau en particulier, pour pouvoir suivre le nombre de stations connectées etc… (voir cet article) mais je ne pense pas que ce soit nécessaire ici. Maintenant que vous avez relevé le BSSID (adresse MAC du point d’accès), vous pouvez lancer l’attaque (en remplaçant ‘BSSID’ par celui de votre cible bien sûr, l’option -vv étant pour la verbosité, et X le channel du Wifi pour gagner du temps mais pas obligatoire):

reaver -i mon0 -b BSSID -f -c X -vv

Les problèmes rencontrés

Troubleshooting

  • L’outil ne réussit pas à choper une trame beacon, donc ça bloque le process. Esssayez de récupérer un meilleur signal Wifi.
  • Parfois Reaver ne réussit pas l’association avec le point d’accès: vous pouvez utiliser airplay-ng avec la commande suivante (attaque fakeauth) avant l’attaque WPS:

    aireplay-ng -1 0 -e SSID -a BSSID mon0
  • Si votre point d’accès fait son difficile, peut être que l’ajout de paramètres sur l’attaque fakeauth peut vous être utile (6000 étant la durée de l’attaque, -o 1 le fait d’envoyer qu’un lot de paquets à la fois, et q pour un keep alive toutes les 10 secondes):

    aireplay-ng -1 6000 -o 1 -q 10 -e SSID -a XX:XX:XX:XX:XX:XX mon0
  • Pour l’attaque fakeauth, ou tout autre utilisation de la suite aircrack-ng, il peut y avoir un problème de channel. Une fois le bon channel repéré (dans la sortie de airmon-ng mon0), vous pouvez le fixer avec (X étant le numéro):

    airodump-ng -c X mon0
  • Erreurs de time out: difficile de trouver une solution unique, beaucoup de petits tips par ci par là, comme l’idée de changer régulièrement son adresse MAC pendant l’attaque ce qui permet de réaliser plus de combinaisons à la seconde, simulant plusieurs machines vous s’authentifier par WPS.

Tagués avec : , , , , , , , , , , ,

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.