Le Wi-Fi à FON en toute sécurité ?
Par Sid,
lundi 11 septembre 2006 à 09:18 :: Wi-Fi
:: lu 4014 fois :: #120
:: rss
:: atom
Read it in english with Google
ant que je suis dans les fournisseurs de service WiFi, je ne peux m'empêcher de vous parler de FON. Mécékoidonfon ? Comme on peut le lire sur leur site web, "FON est une communauté mondiale d'individus qui partagent leur WiFi". En gros, une super communauté d'un peu plus de 85000 utilisateurs, appelés "foneros", qui partagent leur accès entre eux, forcément, mais aussi avec le reste de la planète.
L'idée sympa dans leur histoire, c'est que FON s'occupe de tout : vous pouvez télécharger des firmwares tout prêts pour monter votre routeur compatible ou acheter directement un routeur FON préflashé, et même prochainement une boîte dédiée, la "Fonera", avec deux SSID, un privé et un public partagé.
Bref, du zéro tracas pour le "fonero", en tout cas pour ce qui est de la configuration. On pose et ça part tout seul. Il paraît que ça marche tellement bien qu'ils comptent atteindre le million d'utilisateurs avant la fin de l'année. Ambitieux...
Donc une fois son compte créé chez FON, on choisit son profil d'utilisateur[1] parmis les deux proposés :
- soit vous êtes un "Linus" qui partage son accès sans rien en retirer d'autre que le droit d'utiliser l'ensemble du réseau gratuitement et de manière illimité ;
- soit vous êtes un "Bill" qui touche la moitié de ce paie les gens utilisant son accès, mais qui se retrouve soumis à payer 3EUR par jour pour surfer.
Ceux qui ne font pas partie de la communauté, appelés "Aliens", accèdent au réseau comme les "Bills", c'est à dire moyennant les 3EUR journaliers. Et c'est ausi simple que ça. Comme on dit, il suffisait d'y penser. Ça a l'air tellement bien qu'on totalise plus de 6000 utilisateurs en France, dont quatre à moins de 500 mètres de chez moi. Me laisserais-je tenter ? À méditer, mais cependant...
Cependant quoi ? Et bien quand je lis sur leur site : "Se connecter sur FON, c'est se connecter à Internet de façon sûre et sécurisée", je ne peux qu'exprimer mon désaccord avec cette affirmation. Elle s'adresse peut-être au "fonero" qui partage son accès[2], et il y aurait encore à discuter sur ce point, mais ce qui est sûr, c'est que pour l'utilisateur, celui qui surfe, la sécurité n'est pas là. Je m'explique. Tout ceci fonctionne sur le principe du portail captif qui marche comme suit. L'accès WiFi est laissé complètement ouvert de manière à ce que n'importe quel utilisateur puisse s'y associer et récupérer une adresse IP automatiquement en DHCP. Jusque là, tout va bien, c'est ensuite que les choses se compliquent. Tous les flux émis sont bloqués, à l'exception de HTTP qui est redirigé vers un site unique, le portail captif, lequel vous explique que pour sortir, il faut vous enregistrer, ce qui implique soit de posséder un compte, soit de payer. Une fois cette formalité remplie, vous sortez librement. Je n'aime pas les portails captifs. Ce n'est pas le côté payant qui m'ennuie, mais justement le manque complet de sécurité qui va avec.
Pourquoi ? Justement parce que ce type d'accès repose sur un réseau ouvert, comme je l'expliquais encore récemment à Bellua Cyber Security Asia 2006. Comment prétendre offrir à l'utilisateur un accès sécurisé sur un service qui ne fournit pas le moindre morceaux de début de fonctionnalité de sécurité ? On se le demande encore... Outre le fait qu'il existe des moyens de contourner ce genre de dispositifs en s'appuyant sur les flux DNS ou en usurpant les adresses réseaux[3] d'un utilisateur dûment enregistré, ce qui va essentiellement poser un problème à l'opérateur du réseau, FON en l'occurence, l'internaute se retrouve tout simplement à poil sur Internet, pour reprendre l'expression consacrée. Il va donc lui appartenir de déployer toute la panoplie hygiénique classique dont le minimum sera l'utilisation correcte[4] de services sur SSL, TLS ou toute couche d'authentification et chiffrement digne de ce nom, voire, probablement la meilleure solution, le déballage du VPN et l'encapsulation de tous les flux dans le tunnel sécurisé.
Ça semble relever du bon sens ; pourtant la pratique montre que les utilisateurs ont du mal à se défaire des (mauvaises) habitudes qu'ils ont prises sur les réseaux filaires, environnements plus confortables du point de vue sécurité qu'un réseau WiFi. Parce que si j'écris "à poil", c'est que je le pense vraiment et que je pèse mes mots. Au programme des choses faisables de manière triviale, et sans forcément être associé en plus, on trouve :
- écoute des flux, conduisant à la récupération des éléments d'authentification lorsque ceux-ci sont échangées en clair ;
- interception de flux de type MiM, qu'il soit physique (RogueAP) ou situé dans les couches supérieures (ARP cache poisoning, DNS spoofing, etc.) ;
- corruption de flux par insertion de réponses bien senties à des requêtes choisies (ARP, DNS, HTTP, etc.).
Et on a beau le mentionner à droite ou à gauche, ce qu'on constate dans les halls de gare, d'aéroport ou tout simplement sur les accès disponibles dans les salles de conférence sont affligeant. Consultation de mail en clair (POP, IMAP, HTTP), accès à des interfaces de configuration diverses (telnet, HTTP), utilisation d'un VPN mais résolution DNS en clair sur le WiFi, etc. Autant de pratiques qui ouvrent tout un monde à un attaquant un peu astucieux. Monde qui comprend des choses aussi simples que l'attaque directe de la station, d'une manière que je qualifierais de classique, en ne pas se privant pas d'exploiter les configurations par défaut quelque peu laxistes de certains firewalls[5], mais qui englobe également des actions plus pernicieuses, mais pas forcément plus compliquées à mettre en œuvre. Rappelez-vous par exemple ce qui s'est passé à la Defcon 12, été 2004 où un outil appelé airpwn fut utilisé en live : chaque requête HTTP émise pour une image se voyait recevoir en réponse une image de chèvre fournie à l'aide de cet outil par les attaquants. Potâche et inoffensif me direz-vous. Sauf qu'à l'époque, IE est vulnérable à quelques failles sur l'interprétation des images. Vous voyez la suite ? Vous ouvrez votre browser qui charge votre page d'accueil, et boom headshot ! Sans commentaire. Non, décidemment, je n'aime pas les accès ouverts, et c'est entre autres raisons pour celle-ci que j'ai écrit Wifitap, preuve de concept fonctionnelle[6], mais pas à l'épreuve de la réalité parce que trop lente puisqu'écrite en Python[7]. Le concept reste bel et bien là.
Alors quoi faire ? Et bien par exemple proposer du WPA et/ou WPA2 avec authentification EAP, comme le propose WifiRadis par exemple. Les utilisateurs enregistrés possédant déjà leur login/password, leur accès se verra sécurisé dès le début. Mais pour les autres, les "Aliens", le passage par un portail sera inévitable, instant de vulnérabilité incompressible, mais finalement moindre mal. Parce qu'une fois en possession d'un précieux login/password, ils pourront lancer une association dûment authentifiée et chiffrée avec l'AP. Et même si ce type d'accès ne dispense pas de l'hygiène de base (SSL, SSH, etc.), au moins il ne vous met pas directement à la merci du premier venu. On me rétorquera que la compatibilité et la simplicité ne sont pas là, ce à quoi je répondrai qu'il faut savoir ce qu'on veut, quitte à proposer les deux type d'accès en parallèle comme commencent à le mettre en place certains opérateurs de hotspot. Et pour la simplicité, je ne pense pas que solution VPN soit très Michu compliant...
Quand j'y repense, je me prendrais presque à rêver d'un mariage entre FON et Wifiradis pour obtenir un large réseau communautaire, avec un bon niveau de sécurité, un vrai...
Notes
[1] On notera la touche d'humour dans les dénominations.
[2] Impression confirmée par un billet de leur blog anglophone.
[3] MAC et/ou IP.
[4] Avec vérification strictes des certificats pour éviter les détournements par exemple.
[5] Services accessibles, ports source bien choisis, etc.
[6] Qui fonctionne sur les réseaux ouverts et WEP.
[7] Non, non, aucune véléité de troll là-dedans
Commentaires
1. Le lundi 11 septembre 2006 à 18:26, par Francky
Réponse de Sid
2. Le mardi 12 septembre 2006 à 19:59, par jme
Réponse de Sid
Ajouter un commentaire