FLASH INFORMATIQUE FI



Transmission par Wi-FI sans WPA : les données ne sont pas protégées




Pierre ETIENNE


Ce document a pour but de mettre en évidence que toute transmission de données par Wi-Fi, sans utilisation d’une protection par WPA (Wi-Fi Protected Access) pose un problème grave de confidentialité. Nous ne traiterons pas, dans ce document, de la manière de casser une clef de protection WEP, mais nous montrerons que toutes les données circulent en clair.

Description du problème

Quand vous vous connectez sur Internet, sur des pages Web avec un browser, à votre serveur de mail, transférez vos pages Web avec un client FTP,..., au moyen d’un câble RJ45, vous ne le savez peut-être pas, mais toutes les informations échangées sont en clair (authentification user/password, données transférées). Il existe maintenant des protocoles sécurisés (HTTPS, SSL, SSH,...) qui résolvent ce problème. Mais encore aujourd’hui, et cela pour encore très longtemps, les protocoles historiques non sécurisés resteront en service.
Dans le cas d’une liaison Internet, au moyen d’un câble RJ45, les espions devront se connecter sur votre ligne téléphonique (ADSL), sur le coaxial de la télévision câblée (Téléréseau), intercepter les données transmises par satellite ou câbles (marins) des opérateurs de télécommunication (backbone). Cela relève plus des services officiels que du particulier éclairé ! Bien sûr, votre provider Internet a loisir d’espionner toutes vos communications, vu que c’est lui qui vous relie à Internet ! Mais, pour un usage standard, ce problème ne semble pas trop critique.
Dans le cas d’une liaison Wi-Fi, c’est la même chose,... mais sans un câble de liaison entre votre ordinateur et votre modem/router ; les données sont transmises par les ondes radio. Cela signifie que toutes les informations transférées sont diffusées sur une bonne centaine de mètres (selon votre configuration) autour de votre emplacement.
Avec les transmissions PCL (PowerLine Communication), qui utilisent le réseau électrique comme réseau informatique, la différence est que l’espion devra être sur la même phase électrique que l’utilisateur, donc plus proche.
C’est la raison pour laquelle, sauf dans le cas des hotspot, il ne faut jamais laisser une connexion Wi-Fi sans protection par mot de passe.
Malheureusement, comme c’est souvent le cas (par exemple aussi avec bluetooth), on commercialise des produits pas vraiment au point, l’utilisateur final servira de testeur final ! À la sortie à grande échelle de Wi-Fi, aux alentours de 2002, on disait que le WEP était incassable. Malheureusement, cela ne semble plus être le cas, avec l’utilisation de quelques logiciels spécialisés ; le problème est que la clef de protection échangée ne change plus, après l’établissement de la communication entre le modem/router et l’ordinateur. Avec la protection WPA, il y a un échange constant de clefs entre l’ordinateur et le modem/router, ce qui complique la tâche du cracker potentiel. Mais est-ce inviolable ? Seul l’avenir nous le dira, car un système de protection est totalement sûr à 100% jusqu’à ce que l’on prouve le contraire !!!
Une nouvelle activité est née avec le Wi-Fi, les wardriver’s ; leur but est de se connecter à des Access Point (A.P.) Wi-Fi non sécurisés (mais aussi de casser les protections éventuelles). Cela se fait principalement en voiture, mais le mode piéton à rollers est aussi répandu. Ils ont même un marquage des lieux, comme le font les gitans ; ces informations sont aussi cataloguées sur des sites Web, Board, Blog,... traitant des découvertes de chacun ! Du moment qu’ils peuvent exploiter votre connexion non protégée ou en en ayant cassé la clef WEP, ils peuvent aussi surveiller le trafic que vous générez entre votre ordinateur connecté par Wi-Fi et votre modem/router. Vos comptes, non-protégés par cryptage, pourront aussi être exploités le cas échéant,...
Si vous vous connectez par Wi-Fi à des hotspots (qui sont des points d’accès à Internet, par le réseau Wi-Fi, gratuits ou payants) le problème de confidentialité est encore plus grave ! Dans le cas d’un accès sans protection par WPA, ou par une authentification 802.1x, les données circulent en clair, et n’importe qui, avec un simple logiciel, peut capter tout le trafic, très facilement, sans casser aucune protection ! Ce n’est donc pas illégal sur le principe, vu que vous vous contentez d’écouter les informations qui circulent à travers les ondes et qui arrivent dans votre ordinateur.
Et si on pousse encore plus loin le raisonnement, et que votre ordinateur n’est pas sécurisé au niveau de son système (logon, services,...), on pourra même se connecter directement sur votre machine ! Et tout ceci, dans la plus grande impunité, car comme la Mac Address (qui est un identificateur unique de la carte réseau, inscrit en dur dans cette dernière), peut être changée au niveau du système (Windows, Linux,...) ; il n’y aura aucune preuve absolue du passage du pirate !
Dans le cas d’une connexion normale, celui qui vous pirate laissera des traces de connexions chez votre provider et chez le sien (si ces derniers les enregistrent).
Pour terminer, si vous vous connectez sur un A.P. non sécurisé, sans intention de nuire (par exemple chez votre voisin imprudent, ou dans une zone à entreprises), faites attention vos données pourront aussi être interceptées par les ondes, ou par l’installation elle-même de celui qui la met à disposition ; par exemple, un honeypot (pot de miel) !
En résumé, si vous vous connectez de manière anonyme, et que votre trafic ne vous identifie pas, ce n’est pas critique ; mais pour les autres cas, vous saurez que tout ce que vous transmettrez pourra potentiellement être capté par n’importe qui !
Si vous êtes un nomade, il faut utiliser un client de type VPN, qui crée un tunnel sécurisé, ou des liaisons du type https pour les pages Web, en cas de transactions sensibles (banque, commande de matériel, accès à des services,...).

Remarque 1

  • Pour capter les paquets, vous devez être connecté à un A.P.. Dans le cas où il n’y a pas de mot de passe, il suffit de se connecter tout simplement. Avec une protection WEP, vous devez au préalable casser la protection (avec des logiciels spécialisés), pour vous connecter ensuite sur l’A.P. ; sinon, vous ne captez rien !
  • Une précision toutefois, il existe des sondes spéciales qui captent TOUTES les informations émises par les différentes interfaces Wi-Fi présentes dans un périmètre donné. Certains logiciels de captage de paquets, spécialisés pour l’analyse du trafic Wi-Fi, peuvent aussi capter TOUTES les informations émises à travers les ondes radio. Cependant, il faudra un pilote écrit spécialement pour chaque interface Wi-Fi. Le problème n’est pas d’acheter une carte réseau d’une référence précise (même plus chère), c’est de pouvoir l’acheter dans votre région (distribution, plus en vente,...) ; car comme vous le savez, le matériel informatique change très rapidement, ce qui oblige le développeur du logiciel à réécrire de nouveaux drivers spéciaux ! Vous l’aurez deviné, votre carte réseau Wi-Fi intégrée dans votre nouveau laptop, ne figurera sûrement pas dans la liste des interfaces supportées par votre logiciel !

Remarque 2

  • Si l’Access Point a activé le filtrage des Mac Address, il n’est pas possible de se connecter en cas de non-correspondance des règles. Cependant, il est possible de la changer facilement (sous Windows ou Linux) ; cela peut même être très simple, selon le pilote de la carte Wi-Fi sous Windows. La Mac Address n’est pas une information secrète, et peut aussi être connue en utilisant des logiciels précis, sous certaines conditions.

Nous ne traiterons pas ici, du cassage de la protection WEP, mais seulement des informations qui seront captées dans un ordinateur connecté sur un réseau Wi-Fi.
À une échelle locale, quand pour relier plusieurs ordinateurs dans un réseau, on utilisait un HUB, il était aussi possible de capter les paquets du nœud concerné ! Avec l’usage d’un SWITCH, les paquets ne sont plus broadcastés à tous les ports (prises RJ45), mais uniquement à ceux concernés. Il n’est plus possible de capter des paquets pour une liaison établie entre deux points. Une connexion Wi-Fi s’apparente à un HUB. La capture de paquets est très simple avec un logiciel spécialisé comme Packetyzer gratuit et simple à utiliser ; il existe naturellement beaucoup d’autres logiciels spécialisés dans l’analyse des réseaux informatiques ; l’analyseur peut aussi être hardware. Le logiciel utilisé ici n’a pas la prétention de remplacer Echelon (les grandes oreilles de la planète), mais de mettre en évidence que cela est possible sans aucune difficulté. D’ailleurs, nous vous conseillons d’installer ce logiciel (ou un équivalent selon votre système d’exploitation et votre usage), afin de voir ce qui est transmis sur les réseaux. Le métier d’ingénieur en réseaux informatiques est une formation, et l’étude des protocoles ne se fait pas en quelques clics de souris ; mais par contre, il est intéressant de savoir où se connectent et ce que transmettent certains logiciels fouineurs que vous utilisez !

Procédure des tests

Nous avons fait les tests en utilisant la configuration de la figure 1 :

JPEG - 5.9 ko
fig. 1
Schéma de montage

Tous les PC tournent sous Windows XP SP2, le firewall étant désactivé.
Afin d’éviter de créer un problème de sécurité pendant les tests, nous n’avons pas relié le matériel au réseau Internet ; pour simuler une connexion, c’est le PC Server, ayant deux services installés (Web port 80 et FTP port 21) qui le simulera.
De nombreux protocoles historiques comme le transfert FTP, le courrier électronique e-mail, la connexion à des serveurs par Telnet,... ne cryptent pas les données échangées ; les comptes (user et password) ainsi que les transactions échangées sont donc transmises en clair. Pour notre test, la mise en place d’un serveur FTP (qui est très simple), permettra de démontrer le problème d’une manière globale vu que l’on capturerait aussi les comptes pour les autres protocoles non sécurisés.
Les programmes utilisés sont gratuits et simples à mettre en service. Leur installation ne pose pas de problème particulier, il suffit de les installer avec leurs options par défaut.

Configuration du PC Server

Serveur Web

SimpleServer:WWW

Serveur FTP

Filezilla Server
Le fichier en téléchargement sera du texte pur, de manière à mettre facilement en évidence ce qui sera transmis ; nous utiliserons les deux manuels de PGPi 2.6.3.i, Pgpdoc1.txt et Pgpdoc2.txt fusionnés.

  • Pour le serveur Web, il suffit de créer une simple page Web, avec un éditeur basique comme celui de votre browser, et de créer un lien qui pointe sur le fichier Texte.
  • Pour le serveur FTP, il faut créer un compte utilisateur (john/theripper), lui donner les droits complets dans un répertoire dans lequel on met une copie du fichier Texte.
    Testez la configuration de vos deux services, à partir du PC Server, avec l’URL localhost.

Configuration du PC Sniffer

Sniffer de paquets

Packetyzer

Analyseur Wi-Fi

Netstumbler

Configuration du PC Client

Un browser Web

Un client FTP

La manipulation est très simple : à chaque test, les deux PC Client et Sniffer se connectent au router USR 8054 avec les différentes méthodes : en clair, protection par WEP, puis par WPA.

  • Sur le PC Sniffer, on efface les paquets capturés précédemment, et on lance la capture.
  • Sur le PC Client, on se connecte sur le PC Server et on télécharge le fichier Texte par

Remarque

Lors de la mise en place de ce test, nous nous sommes aperçus qu’en utilisant le laptop Acer TravelMate 2700, la carte Wi-Fi intégrée (Acer IPN2220 Wireless LAN) interférait complètement dans la connexion normale avec le laptop PC Client, quand nous lancions la capture avec Packetyzer. En résumé, au lancement du sniffer, cela bloquait complètement les transactions Web/FTP ! Les paquets s’affichaient très lentement sur Packetyzer.
En utilisant, avec l’Acer TravelMate 2700, une carte réseau Wi-Fi USB (USR 5421), ce problème ne s’est pas produit, et les captures se sont parfaitement réalisées. Nous avons inversé les rôles et utilisé le Acer Aspire 3020 comme sniffer, avec sa carte Wi-Fi intégrée, et là aussi, aucun problème détecté !
En résumé : avant d’analyser un réseau, contrôlez que votre matériel soit le plus transparent possible et qu’il n’interfère pas avec la bonne marche des communications existantes !

Analyse du trafic en clair

Capture Web et FTP

La figure 2 montre le transfert du fichier Texte, par le protocole HTTP, qui est coupé en différents morceaux (paquets) ; en descendant le curseur, on peut voir les suivants.

JPEG - 10.1 ko
fig. 2
Capture Web

La figure 3 montre les transactions entre le client et le serveur ; l’authentification USER : john / PASS : theripper est parfaitement lisible en clair. Les autres paquets transférés contenant le fichier texte sont aussi parfaitement lisibles.

JPEG - 4.4 ko
fig. 3
Capture FTP

Analyse de la capture Web

La figure 4 montre les connexions effectuées (IP).

JPEG - 3.7 ko
fig. 4
Analyse capture Web (IP)

La figure 5 montre le contenu complet du transfert du fichier Texte ; au sommet, les échanges liés au protocole Web HTTP, et en dessous, le fichier texte pur. Dans le cas d’une page Web, on aurait eu le code HTML complet.

JPEG - 6 ko
fig. 5
Analyse capture Web (Contenu)

Analyse de la capture FTP

La figure 6 montre les connexions effectuées (IP).

JPEG - 4.1 ko
fig. 6
Analyse capture FTP (IP)

La figure 7 montre le contenu complet de l’échange du fichier Texte.

JPEG - 5.9 ko
fig. 7
Analyse capture FTP (Contenu)

La figure 8 montre une capture partielle, c’est-à-dire que le PC Sniffer commence à enregistrer les paquets lors d’une communication déjà établie entre le PC Client et le PC Server. On voit un morceau du fichier texte, qui commence à partir du lancement de la capture.

JPEG - 35.1 ko
fig. 8
Transfert partiel

La figure 9 montre qu’il est très facile de rechercher une chaîne de caractères, comme PASS dans notre cas ; on arrive immédiatement sur les lignes concernées. Pour trouver le serveur en relation, il suffit d’aller dans l’onglet des connexions.

JPEG - 11.5 ko
fig. 9
Recherche d’une chaîne ASCII

Remarque

PASS est différent de pass, c’est-à-dire que les minuscules et les majuscules sont différentiées avec ce logiciel !
On a les mêmes caractéristiques que celle d’un HUB.

Analyse du trafic avec WEP

Une fois que le PC Sniffer s’est connecté avec une authentification WEP, sur le router USR 8054, on se retrouve exactement dans le même cas que décrit dans le chapitre précédent : Analyse du trafic en clair . Si vous n’avez pas la clef WEP, il n’est pas possible d’analyser le trafic.
Par contre, les utilisateurs du même réseau authentifié avec WEP, peuvent analyser les données échangées. Cela n’est pas critique si ces derniers font partie de la même famille/milieu de travail ; par contre, si vous partagez votre connexion entre plusieurs locataires, c’est un risque dont il faut être conscient !

La figure 10 est là pour montrer que les tests ont été effectués pour le transfert Web/FTP avec une liaison protégée par WEP ; les résultats sont identiques qu’avec une liaison en clair. On a les mêmes caractéristiques que celle d’un HUB.

JPEG - 9.2 ko
fig. 10
Capture Web / FTP

Analyse du trafic avec WPA

Capture Web et FTP (+ping)

Le PC Sniffer s’est connecté avec une authentification WPA, sur le router USR 8054 ; on voit qu’il y a une différence complète entre la protection WEP et WPA.
En effet, même si on est authentifié dans le réseau (c’est aussi valable avec l’authentification 802.1x qui a été testée), on ne peut pas capturer le trafic entre le PC Client et le PC Server.
La figure 11 nous le confirme, pendant la capture, nous avons consécutivement transféré le fichier Texte par Web et par FTP ; Packetyzer ne nous a rien affiché. La capture nous montre seulement du trafic, qui semble plutôt lié à du service pour établir des communications.

JPEG - 10.1 ko
fig. 11
Capture avec WPA

Avec la figure 12, nous avons simultanément transféré le fichier Texte par Web et FTP et fait un ping de la machine PC Client sur le PC Sniffer ; seuls les paquets liés au protocole ping (soit 4 au total) sont visibles.

JPEG - 12.2 ko
fig. 12
Ping entre PC’s Sniffer et Client

Remarque

Dans nos tests, il n’y avait que peu de trafic généré. Si vous l’analysez, dans le cadre d’un réseau important authentifié par 802.1x, vous en capturez beaucoup plus. Mais il est principalement lié à la bonne marche du réseau. Par exemple :

  • où est la machine avec l’adresse IP xxx.xxx.xxx.xxx ?
  • Broadcast Windows pour le NETBIOS
  • ...

Ces informations sont très utiles en cas de recherche d’éventuels problèmes ; par contre, pour un curieux, elles ne seront souvent d’aucune utilité !

Recherche des Access Point

Diffusion ou pas du SSID

Dans les nouveaux A.P., il y a une option qui s’appelle diffusion du SSID.

Quand vous allez dans le gestionnaire des connexions Wi-Fi de votre ordinateur, vous voyez le nom des A.P. présents dans votre zone (une centaine de mètres). C’est très pratique, mais il y a un inconvénient, c’est visible de tout le monde.
Le logiciel Netstumbler est spécialisé dans l’analyse des connexions Wi-Fi actives dans un périmètre donné ; il indique aussi la force du signal, ce qui permet de mieux localiser la source avec l’utilisation d’antennes directives.
La figure 13 nous montre que deux A.P. EPFL et PUBLIC-EPFL sont actifs dans le périmètre de notre test ; pourtant, au moment de la capture, il y a AUSSI notre A.P. local, mais il n’apparaît pas parce qu’il ne diffuse pas son SSID.

JPEG - 7.7 ko
fig. 13
Pas de diffusion du SSID Exterminator666

Dans le cas de la figure 14, on le voit apparaître sous le nom Exterminator666 ; c’est le nôtre.

GIF - 2.5 ko
fig. 14
Diffusion du SSID Exterminator666

Dans la pratique, une fois que toutes vos liaisons Wi-Fi sont établies pour vos ordinateurs, désactivez l’option de diffusion du SSID ; cela complique la recherche des A.P. par des Wardrivers.

Attention

Il existe des logiciels spécialisés, avec des cartes réseau Wi-Fi utilisant un driver propre (voir la remarque 1 du chapitre Description du problème), qui peuvent détecter TOUT le trafic dans un périmètre donné ; mais cela complique beaucoup plus la manœuvre d’espionnage des réseaux sans fil.

Conclusions

La première version de Wi-Fi qui n’utilisait que le protocole WEP comme moyen d’authentification, est à éviter !
Attention, certaines promotions de cartes réseau Wi-Fi, ne gèrent pas le protocole WPA (il faut bien se débarrasser des anciens stocks !) ; d’autres ne supportent que partiellement WPA ; regardez bien les caractéristiques et faites attention aux symboles comme " , " qui renvoient à une restriction ! C’est souvent écrit en très petit.
WPA est un protocole qui donne une bien meilleure sécurité : les échanges entre le client et le modem/router ont leurs clefs qui sont changées souvent, et les utilisateurs, même authentifiés dans le réseau, ne peuvent pas intercepter le trafic qui ne leur est pas destiné, par une manière aussi simple que celle décrite ici.
La nouvelle norme 802.11i (version i) devrait être encore meilleure, vu qu’elle incorporera des technologies de protections supplémentaires.
En résumé, n’utilisez que le protocole WPA pour sécuriser votre réseau Wi-Fi ; de plus, choisissez un bon mot de passe, le plus long possible ; comme vous pouvez l’écrire sur papier, cette corvée ne se fait qu’au changement de ce dernier dans l’A.P. ; changez-le aussi fréquemment.
Désactivez aussi la diffusion du SSID, une fois que toutes les liaisons sont établies avec les ordinateurs de votre réseau et votre A.P.

Liens

Documentation

Softwares

URL



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.