Savez-vous planter les clous ?...

Par Sid, jeudi 24 août 2006 à 11:01 :: Wi-Fi
Lu 13996 fois :: #112 :: rss :: atom ::

Clous

n me balladant sur des sites de recherche de blogs, je suis tombé sur un billet parlant de l'article "A final nail in WEP's Coffin" et pointant sur les explications que je donnais récemment à son sujet. Et de constater, ô rage, ô désespoir, que cette prose annonce malgré tout "une attaque encore plus rapide que les précédentes effectuées avec Aircrak existe désormais et permet de cracker la protection en quelques secondes".

Cette affirmation fausse qu'on trouve sur PCINpact, Canard WiFi ou encore Génération NT a donc la vie dure, et je n'ai manifestement pas assez insisté sur ce point dans mon explication. Je vais donc m'appliquer ici à détailler ici le pourquoi du comment...

Comme aiment à le faire nos amis anglophones, je vais commencer directement par la conclusion. Cette attaque est une méthode permettant de d'injecter des trames arbitraires sur un réseau protégé par WEP. Point à la ligne. Son utilisation pour casser une clé WEP est possible, le temps total nécessaire à sa récupération étant alors annoncé à 15 minutes pour un clé de 40 bits et une heure ou deux pour 104 bits.

Maintenant, repartons du début et voyons pourquoi. L'attaque utilise la fragmentation à deux fins :

soit pour la transmission directe d'information comme expliqué en "2.3.3, Summary of Fragmentation-only Attack", principalement à destination d'Internet où les paquets transitent en clair ;
soit pour récupérer des keystreams RC4 comme décrit en "2.4.3, Summary of Keystream Attacks" qu'on pourra utiliser pour générer des requêtes sur le réseau.

Ces deux techniques pouvant être utilisées pour injecter du trafic arbitraire dans le réseau et déclencher la génération de trafic, les auteurs construisent un scénario dans lequel on les utilise pour obtenir la quantité de données nécessaire au cassage de la protection. C'est ce qui est décrit en "2.5, IV Dictionary and Weak IV Attacks", avec la constatation que que la constitution d'un dictionnaire associant chaque valeur d'IV au keystream RC4 correspondant est nettement plus longue et lourde que l'attaque de Fluhrer, Mantin et Shamir, dite "Weak IV Attack". On notera en particulier ce petit paragraphe :

"The weak IV attack may only be performed after a large number (~500,000-3,000,000) of data packets have been eavesdropped. A widespread optimization to the weak IV attack is replaying data in the hope of generating more traffic. We found that the ability to send arbitrary data can help achieve better results."

En français : cette attaque nécessite un grand nombre de paquets^[1] mais que la possibilité offerte par leur attaque d'injecter des données arbitraires, au lieu de simplement rejouer des paquets bien particuliers comme le fait aireplay, rend leur approche plus générique.

Le scénario est décrit au paragraphe "2.6, Summary of all Attacks". Il se présente de la manière suivante :

on récupère une trame de données par écoute du réseau ;
on récupère les 8 premiers octets du keystream RC4 ayant servi au chiffrement de cette trame, ce qui nous autorise immédiatement l'envoi de 64 octets de données arbitraires en utilisant la fragmentation 802.11 (ou plus, si on fabrique des paquets IP eux-même fragmentés) ;
on récupère 1500 octets de keystream RC4 en exploitant la défragmentation 802.11 opérée par l'AP par itération ;
en faisant l'hypothèse que l'AP est aussi le routeur, son adresse MAC (BSSID du réseau) étant alors l'adresse MAC de la passerelle, on essaie d'envoyer des paquets à destination d'un serveur contrôlé sur Internet pour que ce dernier les réexpédie sur le réseau ;
si ce n'est pas le cas, on essaie de découvrir le plan d'adressage du réseau ;
si l'AP n'est pas la passerelle, on cherche à découvrir l'adresse IP du routeur, et donc son adresse MAC pour communiquer avec Internet si c'est possible ;
à partir de là, on a des pistes pour déchiffrer des trames jugées intéressantes ;
enfin, comme on est capable d'injecter du données, on peut générer du trafic pour casser la clé WEP.

C'est grosso modo ce scénario qui est utilisé par l'outil wesside décrit au paragraphe "3. Implementation" avec comme but ultime la récupération de la clé WEP. Les mesures d'efficacité de l'outil sont décrites au paragraphe suivant, "4. Evaluation". Ces mesures portent sur les deux étapes principales du scénario d'attaque :

d'abord la phase dite de "bootstrap" qui consiste à récupérer le keystream et les paramètres réseau nécessaires à l'injection efficace de trafic, c'est à dire parvenir à l'étape 6 ;
ensuite, l'inondation du réseau visant à forcer la génération de trafic et la récupération de la clé, à savoir l'étape 8.

Le "bootstrap" prend moins d'une minute selon "4.1, Bootstrap speed", sans aucune connaissance ni hyptohèse sur la valeur de la clé WEP. Ici réside probablement une partie de la confusion. Oui, cette nouvelle attaque prend quelques secondes, mais non, sa finalité n'est pas de casser la clé. C'est après que ça vient, sous forme d'application pratique, en utilisant aircrack. "4.3, Cracking time" explique la méthode utilisée pour casser la clé et les temps associés. Et c'est ici qu'on va trouver l'autre partie de la confusion. Wesside lance aircrack pour déterminer la clé WEP, mais pas une seule fois. Il le lance pendant une minute tous les 100000 nouveaux paquets et ce jusqu'à 3 millions de paquets capturés. Cette limite passée, aircrack sera lancé tous les millions de paquets pendant 10 minutes, principalement pour lui laisser le temps de charger la capture. Et donc oui, aircrack va probablement, à un moment donné, trouver la clé en moins d'une minute, mais non, cette durée ne tient pas compte du temps passé préalablement pour parvenir à cet état. Et ce temps est largement supérieur à la minute, comme on peut le lire plus loin :

"The attack time (top axis) is estimated by dividing the number of packets required by the 1200 p/s flood rate figure. The key cracking time is also included in this value - ten minutes when more than three million packets are needed, one minute otherwise. According to the simulator, 50% of the 40-bit keys are obtained in under 15 minutes, and half of the 104-bit keys are recovered in less than 80 minutes."

Ce qui est important dans ce paragraphe n'est pas le "cracking time" qui décrit le temps pendant lequel on laisse tourner aircrack. C'est le "attack time" qui décrit le temps total d'exécution de l'outil pour parvenir au résultat escompté. Et comme on le voit, on n'est pas du tout dans les quelques secondes annoncées encore çà et là. En commentaire à ce dernier billet, on peut d'ailleurs lire à la question de la comparaison avec la fameuse vidéo de aircrack la réponse suivant de l'auteur du blog :

"yes it is different. the video is not in realtime, and he captures huge amount of traffic. the method described in the paper requires just one packet of data, and the time to break the key (even a strong one) is an order of magnitude smaller."

Ben non, dommage. L'attaque n'est pas très différente, demande également une grosse quantité de trafic et la durée est du même ordre en pratique. La seule chose qui change, c'est la méthode de stimulation du réseau visé.

En "6. Conlusions", on pourra encore enfin lire :

"If the ability to receive traffic via the network is also needed, active attacks bootstrapped using the fragmentation attack will recover 40-bit WEP keys in perhaps fifteen minutes and 104-bit WEP keys in an hour or two."

CQFD...

On pourra certes me rétorquer que "briser la protection WEP" ne veut pas forcément dire casser la clé. C'est vrai, mais c'est comme ça que les gens que le comprenne, comme le montre le commentaire de Alex Holy cité précédemment.

Notes

[1] Forcément difficile, pour ne pas dire impossible, à obtenir en quelques secondes

Commentaires

1. Le jeudi 24 août 2006 à 13:19, par Greg

Merci pour cette explication ! Ca fait du bien d'avoir des commentaires de qualité sur ces travaux :).

Petite question qui me vient en tête, quels outils as-tu utilisés pour tester cette attaque sous linux ?

Réponse de Sid

quels outils as-tu utilisés pour tester cette attaque sous linux ?

Pas grand chose, un peu de Python et Scapy pour réaliser la phase de bootstrap à la main. Je m'en suis servi dans deux cas :

fabrication d'une requête ARP valide que je rejoue avec aireplay en mode interactif ;

fabrication d'un SYN TCP que j'envoie à une station hors du réseau en utilisant le BSSID comme MAC destination.

Les deux cas marchent bien et générent des réponses, seul le premier suppose un peu de travail supplémentaire pour découvrir automatiquement un adresse IP valide et active dans le réseau. L'article explique comment, mais j'ai été un peu flemmard sur ce coup là.

Comme je l'écrivais, cette attaque est particulièrement ingénieuse parce qu'elle est simple. À partir du premier paquet sniffé, on peut déjà envoyer au minimum 64 octets, ce qui suffit pour une requête ARP ou une bête requête HTTP (genre GET / HTTP/1.0).

Ensuite, c'est rien que du classique. Je lance airodump pour sniffer le trafic que je génère et je fais tourner aircrack sur la capture.

2. Le jeudi 24 août 2006 à 16:31, par Jco

Belle explication .

Un seul reproche : où as tu vu que les anglosaxons étaient nos amis ??? ! ;-)

Quelque part par là ? :P

3. Le jeudi 24 août 2006 à 19:28, par Nono

Est-ce que tu écoutes Moscow de Dschinghis Kahn lorsque tu lances aircrack ? Il parait qu'il va plus vite avec....

Ben non en fait, mais je devrais vu que je n'arrive pas à descendre en dessous des 15 minutes. Ou alors manger plus souvent chez Pizza Pino...

4. Le dimanche 27 août 2006 à 03:30, par Alexis

Exact, exact, et mea culpa, j'ai écrit des bêtises (en m'inspirant des sources citées)… Je confesse un article trop vite lu et m’excuse d’un lien vers ton article avec une affirmation fausee…

Comme pénitence, tu nous copieras 50 fois le 802.11 :)

5. Le lundi 11 septembre 2006 à 13:00, par Sid

Et toujours dans la série "je sais pas lire", version affligeante :

www.lesforumz.com/viewtop...

6. Le mercredi 19 novembre 2008 à 04:42, par seb

bonjour il y a plein de chose intéressante dans ce blog c'est vraiment bien.

Mais il faudrais mettre a jour puisque il est tout a fais possible de casser du wep en moins de une minute et il commence a y avoir des piste pour le wpa (voir tkiptun-ng de la suite aircrack-ng) bonne continuation

Vous racontez pleins de choses intéressantes, mais épargnez-moi ce ton paternaliste et condescendant. Pensez plutôt à regarder la date de parution de ce que vous commentez, puis à parcourir la suite. Depuis ce billet, qui date du 24 août 2006 (la PTW sera publiée en 2007), d'autres ont été mis en ligne. En particulier :

Les clous sont là, mais vous aviez oublié la couronne... sur l'attaque PTW ;

Ça fout les boules... sur le cassage de PSK

Des fameuses faiblesses de TKIP... sur les attaques contre TKIP qui viennent de sortir.

Ajouter un commentaire

Les commentaires pour ce billet sont fermés.

Ma petite parcelle d'Internet...

Notes

Trackbacks

Commentaires

Ajouter un commentaire

Abonnez-vous

À propos...

Rechercher

Calendrier

Hitmap

Dans la catégorie "Wi-Fi"

Langues

Catégories

Archives

Liens

Blogs

Webcomics

Chez moi (from me)

« janvier 2012
lun	mar	mer	jeu	ven	sam	dim
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31