Le Wi-Fi à FON en toute sécurité ?

Par Sid, lundi 11 septembre 2006 à 09:18 :: Wi-Fi :: lu 6547 fois :: #120 :: rss :: atom ::

FON

ant que je suis dans les fournisseurs de service WiFi, je ne peux m'empêcher de vous parler de FON. Mécékoidonfon ? Comme on peut le lire sur leur site web, "FON est une communauté mondiale d'individus qui partagent leur WiFi". En gros, une super communauté d'un peu plus de 85000 utilisateurs, appelés "foneros", qui partagent leur accès entre eux, forcément, mais aussi avec le reste de la planète.

L'idée sympa dans leur histoire, c'est que FON s'occupe de tout : vous pouvez télécharger des firmwares tout prêts pour monter votre routeur compatible ou acheter directement un routeur FON préflashé, et même prochainement une boîte dédiée, la "Fonera", avec deux SSID, un privé et un public partagé.

Bref, du zéro tracas pour le "fonero", en tout cas pour ce qui est de la configuration. On pose et ça part tout seul. Il paraît que ça marche tellement bien qu'ils comptent atteindre le million d'utilisateurs avant la fin de l'année. Ambitieux...

Donc une fois son compte créé chez FON, on choisit son profil d'utilisateur^[1] parmis les deux proposés :

soit vous êtes un "Linus" qui partage son accès sans rien en retirer d'autre que le droit d'utiliser l'ensemble du réseau gratuitement et de manière illimité ;
soit vous êtes un "Bill" qui touche la moitié de ce paient les gens utilisant son accès, mais qui se retrouve soumis à payer 3EUR par jour pour surfer.

Ceux qui ne font pas partie de la communauté, appelés "Aliens", accèdent au réseau comme les "Bills", c'est à dire moyennant les 3EUR journaliers. Et c'est ausi simple que ça. Comme on dit, il suffisait d'y penser. Ça a l'air tellement bien qu'on totalise plus de 6000 utilisateurs en France, dont quatre à moins de 500 mètres de chez moi. Me laisserais-je tenter ? À méditer, mais cependant...

Cependant quoi ? Et bien quand je lis sur leur site : "Se connecter sur FON, c'est se connecter à Internet de façon sûre et sécurisée", je ne peux qu'exprimer mon désaccord avec cette affirmation. Elle s'adresse peut-être au "fonero" qui partage son accès^[2], et il y aurait encore à discuter sur ce point, mais ce qui est sûr, c'est que pour l'utilisateur, celui qui surfe, la sécurité n'est pas là. Je m'explique. Tout ceci fonctionne sur le principe du portail captif qui marche comme suit. L'accès WiFi est laissé complètement ouvert de manière à ce que n'importe quel utilisateur puisse s'y associer et récupérer une adresse IP automatiquement en DHCP. Jusque là, tout va bien, c'est ensuite que les choses se compliquent. Tous les flux émis sont bloqués, à l'exception de HTTP qui est redirigé vers un site unique, le portail captif, lequel vous explique que pour sortir, il faut vous enregistrer, ce qui implique soit de posséder un compte, soit de payer. Une fois cette formalité remplie, vous sortez librement. Je n'aime pas les portails captifs. Ce n'est pas le côté payant qui m'ennuie, mais justement le manque complet de sécurité qui va avec.

Pourquoi ? Justement parce que ce type d'accès repose sur un réseau ouvert, comme je l'expliquais encore récemment à Bellua Cyber Security Asia 2006. Comment prétendre offrir à l'utilisateur un accès sécurisé sur un service qui ne fournit pas le moindre morceaux de début de fonctionnalité de sécurité ? On se le demande encore... Outre le fait qu'il existe des moyens de contourner ce genre de dispositifs en s'appuyant sur les flux DNS ou en usurpant les adresses réseaux^[3] d'un utilisateur dûment enregistré, ce qui va essentiellement poser un problème à l'opérateur du réseau, FON en l'occurence, l'internaute se retrouve tout simplement à poil sur Internet, pour reprendre l'expression consacrée. Il va donc lui appartenir de déployer toute la panoplie hygiénique classique dont le minimum sera l'utilisation correcte^[4] de services sur SSL, TLS ou toute couche d'authentification et chiffrement digne de ce nom, voire, probablement la meilleure solution, le déballage du VPN et l'encapsulation de tous les flux dans le tunnel sécurisé.

Ça semble relever du bon sens ; pourtant la pratique montre que les utilisateurs ont du mal à se défaire des (mauvaises) habitudes qu'ils ont prises sur les réseaux filaires, environnements plus confortables du point de vue sécurité qu'un réseau WiFi. Parce que si j'écris "à poil", c'est que je le pense vraiment et que je pèse mes mots. Au programme des choses faisables de manière triviale, et sans forcément être associé en plus, on trouve :

écoute des flux, conduisant à la récupération des éléments d'authentification lorsque ceux-ci sont échangées en clair ;
interception de flux de type MiM, qu'il soit physique (RogueAP) ou situé dans les couches supérieures (ARP cache poisoning, DNS spoofing, etc.) ;
corruption de flux par insertion de réponses bien senties à des requêtes choisies (ARP, DNS, HTTP, etc.).

Et on a beau le mentionner à droite ou à gauche, ce qu'on constate dans les halls de gare, d'aéroport ou tout simplement sur les accès disponibles dans les salles de conférence est affligeant. Consultation de mail en clair (POP, IMAP, HTTP), accès à des interfaces de configuration diverses (telnet, HTTP), utilisation d'un VPN mais résolution DNS en clair sur le WiFi, etc. Autant de pratiques qui ouvrent tout un monde à un attaquant un peu astucieux. Monde qui comprend des choses aussi simples que l'attaque directe de la station, d'une manière que je qualifierais de classique, en ne se privant pas d'exploiter les configurations par défaut quelque peu laxistes de certains firewalls^[5], mais qui englobe également des actions plus pernicieuses, mais pas forcément plus compliquées à mettre en œuvre. Rappelez-vous par exemple ce qui s'est passé à la Defcon 12, été 2004, où un outil appelé airpwn fut utilisé en live : chaque requête HTTP émise pour une image se voyait recevoir en réponse une image de chèvre fournie à l'aide de cet outil par les attaquants. Potâche et inoffensif me direz-vous. Sauf qu'à l'époque, IE est vulnérable à quelques failles sur l'interprétation des images. Vous voyez la suite ? Vous ouvrez votre browser qui charge votre page d'accueil, et boom headshot ! Sans commentaire. Non, décidemment, je n'aime pas les accès ouverts, et c'est entre autres raisons pour celle-ci que j'ai écrit Wifitap, preuve de concept fonctionnelle^[6], mais pas à l'épreuve de la réalité parce que trop lente puisqu'écrite en Python^[7]. Le concept reste bel et bien là.

Alors quoi faire ? Et bien par exemple proposer du WPA et/ou WPA2 avec authentification EAP, comme le propose WifiRadis par exemple. Les utilisateurs enregistrés possédant déjà leur login/password, leur accès se verra sécurisé dès le début. Mais pour les autres, les "Aliens", le passage par un portail sera inévitable, instant de vulnérabilité incompressible, mais finalement moindre mal. Parce qu'une fois en possession d'un précieux login/password, ils pourront lancer une association dûment authentifiée et chiffrée avec l'AP. Et même si ce type d'accès ne dispense pas de l'hygiène de base (SSL, SSH, etc.), au moins il ne vous met pas directement à la merci du premier venu. On me rétorquera que la compatibilité et la simplicité ne sont pas là, ce à quoi je répondrai qu'il faut savoir ce qu'on veut, quitte à proposer les deux type d'accès en parallèle comme commencent à le mettre en place certains opérateurs de hotspot. Et pour la simplicité, je ne pense pas que solution VPN soit très Michu compliant...

Quand j'y repense, je me prendrais presque à rêver d'un mariage entre FON et Wifiradis pour obtenir un large réseau communautaire, avec un bon niveau de sécurité, un vrai...

Notes

[1] On notera la touche d'humour dans les dénominations.

[2] Impression confirmée par un billet de leur blog anglophone.

[3] MAC et/ou IP.

[4] Avec vérification strictes des certificats pour éviter les détournements par exemple.

[5] Services accessibles, ports source bien choisis, etc.

[6] Qui fonctionne sur les réseaux ouverts et WEP.

[7] Non, non, aucune véléité de troll là-dedans

Commentaires

1. Le lundi 11 septembre 2006 à 18:26, par Francky

Et oui, les utilisateurs sont décidement incorrigibles. Tu parles de Defcon, de Airpwn en 2004... et bien, il est toujours aussi drole de voir que meme sur des réseaux pourtant inquiétants, on retrouve "encore" du pop, du telnet... C'est bien sur le fameux "Wall of Sheep", attraction maintenant habituelle à Defcon... pics.defcon.org/showphoto.php...

Cela dit, je serai curieux de voir si personne n'a jamais mis un petit honeypot derriere une entrée... ca pourrait etre sympa...

-Francky

Réponse de Sid

Durant une conférence, tu peux facilement ramasser une 30e de personnes avec un simple RogueAP. Et si tu as une carte dont le driver (Madwifi par exemple) supporte les VAP, tu n'as même pas besoin d'une autre carte pour faire le MiM avec l'accès légitime...

Aucun commentaire sur ce que tu pourrais y voir passer :)

2. Le mardi 12 septembre 2006 à 19:59, par jme

@Francky

J'ose faire un parallèle avec un autre domaine. Si un jour quelqu'un ouvre le capot de ma voiture, ricane et me dit « Mais, vous n'avez pas configuré les galipeurs », je lui répondrais que ce n'est pas mon problème et que si j'ai acheté une voiture, j'ai également payé pour que les galipeurs soient correctement configurés. Si on est soit même un consultant « galipeurs », il est effectivement normal que 1) nos « galipeurs » soient correctement configurés 2) que l'on s'indigne de voir des « galipeurs » mal configurés.

Néanmoins, en tant que simple utilisateur, au mieux on sait que les « galipeurs » sont mal configurés et on fait avec et au pire — ce qui me semble être à peu prêt ce qui se passe dans la vrai vie — on ne sait même pas que les «galipeurs » sont mal réglés vu qu'on faisait confiance au vendeur.

C'est d'autant plus vrai lorsqu'en plus à la télé y'a un consultant « galipeurs » qui dit que y'a pas de clé WEP donc c'est pas sécurisé ; ergo faut passer ses « galipeurs » en WEP.

ps : de toute façon les « galipeurs » c'est pas garanti.

D'où mon militantisme, parfois jugé extrême, pour l'utilisation de WPA/WPA2 parce que ça oblige l'utilisateur à avoir les bons "galipeurs".

D'ailleurs, pour une conférence pour laquelle chaque inscrit s'est vu affublé d'un login/password pour accéder à un espace en ligne, la fourniture d'un accès WiFi authentifié en EAP sur cette base ne serait peut-être pas un mal. Mais bon forcément, ça demande un poil de taff, mais je suis sûr que ce ne sont pas les volontaires qui manquent...

Ajouter un commentaire

Les commentaires pour ce billet sont fermés.

lun	mar	mer	jeu	ven	sam	dim
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

Ma petite parcelle d'Internet...

Notes

Trackbacks

Commentaires

Ajouter un commentaire

Rechercher

Calendrier

Hitmap

Dans la catégorie "Wi-Fi"

Langues

Catégories

Archives

Liens

Blogs

Chez moi (from me)

Webcomics

Copains (friends)

Liens

Syndication