Transmission par Wi-Fi sans WPA : les données ne sont pas protégées!

Ce document a pour but de mettre en évidence, que toutes transmissions de données par Wi-Fi, sans utiliser une protection par WPA (Wi-Fi Protected Access), pose un problème grave de confidentialité. Nous ne traiterons pas, dans ce document, de la manière de "casser" une clef de protection WEP, mais de la mise en évidence que toutes les données circulent en clair.

1) Description du problème:

Quand vous vous connectez sur Internet, sur des pages Web avec un browser, à votre serveur de mail, transférez vos pages Web avec un client FTP, ..., au moyen d'un câble RJ45, vous ne le savez peut-être pas, mais toutes les informations échangées sont en clair (authentification user/password, données transférées). Il existe maintenant des protocoles sécurisés (HTTPS, SSL, SSH, ...) qui résolvent ce problème. Mais encore aujourd'hui, et cela pour encore très longtemps, les protocoles "historiques" non-sécurisés, resteront en service.


Dans le cas d'une liaison Internet, au moyen d'un câble RJ45, les espions devront se connecter sur votre ligne téléphonique (ADSL), sur le coaxial de la télévision câblée (Téléréseau), intercepter les données transmises par satellite ou câbles (marins) des opérateurs de télécommunication (backbone). Cela relève plus des services "officiels" que du particulier éclairé! Bien sûr, votre provider Internet a loisir d'espionner TOUTES vos communications, vu que c'est lui qui vous relie à Internet! Mais, pour un usage "standard", ce problème ne semble pas trop critique.


Dans le cas d'une liaison Wi-Fi, c'est la même chose ... mais sans un câble de liaison entre votre ordinateur et votre modem/router; les données sont transmises par les ondes radio. Cela signifie que toutes les informations transférées, sont diffusées sur une bonne centaine de mètres (suivant votre configuration) autour de votre emplacement.
Avec les transmissions PCL (PowerLine Communication), qui utilisent le réseau électrique comme réseau informatique, la différence est que l'espion devra être sur la même phase électrique que l'utilisateur, donc être plus proche de ce dernier.


C'est la raison pour laquelle, sauf dans le cas des hotspot, il ne faut jamais laisser une connexion Wi-Fi sans protection par mot de passe.


Malheureusement, comme c'est souvent le cas (par exemple aussi avec bluetooth), on commercialise des produits pas vraiment au point, l'utilisateur final servira de "testeur final"! A la sortie à grande échelle de Wi-Fi, aux alentours de 2002, on disait que le WEP était incassable. Malheureusement, cela ne semble plus être le cas, avec l'utilisation de quelques logiciels spécialisés; le problème est que la clef de protection échangée ne change plus, une fois l'établissement de la communication entre le modem/router et l'ordinateur. Avec la protection WPA, il y a un échange constant de clefs entre l'ordinateur et le modem/router, ce qui complique la tâche du cracker potentiel. Mais est-ce "inviolable"? Seul l'avenir nous le dira, car un système de protection est totalement sûr à 100% ... jusqu'à ce que l'on prouve le contraire!!!


Une nouvelle activité est née avec le Wi-Fi, les "wardriver's", dont leur but est de se connecter à des Access Point (A.P.) Wi-Fi non sécurisés (mais aussi de casser les protections éventuelles). Cela se fait principalement en voiture, mais le mode "piéton à rollers" est aussi répandu. Ils ont même un marquage des lieux, comme le font les gitans; ces informations sont aussi cataloguées sur des sites Web, Board, Blog, ... traitant des découvertes de chacun! Maintenant, du moment qu'ils peuvent exploiter votre connexion non protégée ou en ayant cassé la clef WEP, ils peuvent aussi surveiller le trafic que vous générez entre votre ordinateur connecté par Wi-Fi et votre modem/router. Vos comptes, non-protégés par cryptage, pourront aussi être exploités le cas échéant ...


Si vous vous connectez par Wi-Fi, à des hotspot (qui sont des point d'accès à Internet, par le réseau Wi-Fi, gratuits ou payants) le problème de confidentialité est encore plus grave! Dans le cas d'un accès sans protection par WPA, ou par une authentification 802.1x, les données circulent EN CLAIR, et n'importe qui, avec un simple logiciel, peut capturer TOUT le trafic, très facilement, sans casser aucune protection! Ce n'est donc pas "illégal" sur le principe, vu que vous vous contentez de simplement écouter les informations qui circulent à travers les ondes et qui arrivent dans votre ordinateur.


Et si on pousse encore le raisonnement plus loin, et que votre ordinateur n'est pas sécurisé au niveau de son système (logon, services, ...), on pourra même se connecter directement sur votre machine! Et tout ceci, dans la plus grande impunité, car comme la Mac Address (qui est un identificateur unique de la carte réseau, inscrit 'en dur' dans cette dernière), peut être changée au niveau du système (Windows, Linux, ...); il n'y aura aucune preuve absolue de celui qui s'y sera connecté!
Dans le cas d'une connexion normale, celui qui vous 'pirate' laissera des traces de connexions chez votre provider et chez le sien (si ces derniers les enregistrent) .


Pour terminer, si vous vous connectez sur un A.P. non sécurisé, sans intention de nuire (par exemple chez votre voisin imprudent, ou dans une zone à 'Start-Up'), faites attention:  vos données pourront aussi être interceptées par les ondes, ou par l'installation elle-même de celui qui "la met à disposition"; par exemple, un honeypot (pot de miel)!

En résumé, si vous vous connectez de manière anonyme, et que votre trafic ne vous identifie pas, ce n'est pas critique; mais pour les autres cas, vous saurez que tout ce que vous transmettrez pourra potentiellement être capturé par n'importe qui!


Si vous êtes un nomade, il faut utiliser un client du type VPN, qui crée un tunnel sécurisé, ou des liaisons du type https pour les pages Web, en cas de transactions sensibles (banque, commande de matériel, accès à des services, ...)

Nous ne traiterons pas ici, du "cassage" de la protection WEP, mais seulement des informations qui seront capturées dans l'ordinateur connecté sur un réseau Wi-Fi.


A une échelle locale, quand pour relier plusieurs ordinateurs dans un réseau, on utilisait un HUB, il était aussi possible de capturer les paquets du noeud concerné! Avec l'usage d'un SWITCH, les paquets ne sont plus broadcastés à tous les ports (prises RJ45), mais seulement à celles concernées. Il n'est plus possible de capturer des paquets pour une liaison établie entre deux points. Une connexion Wi-Fi s'apparente à un HUB.


La capture de paquets est très simple; un logiciel spécialisé comme Packetyzer (qui est gratuit) est simple à utiliser; il existe naturellement beaucoup d'autres logiciels spécialisés dans l'analyses des réseaux informatiques; l'analyseur peut aussi être hardware. Le logiciel utilisé ici n'a pas la prétention de remplacer "Echelon" (les 'grandes oreilles' de la planète), mais de mettre en évidence que cela est possible sans aucune difficulté. D'ailleurs, nous vous conseillons d'installer ce logiciel (ou un équivalent suivant votre Operating System et votre usage), afin de voir ce qui est transmis sur les réseaux. Le métier d'Ingénieur en réseaux informatiques est une formation, et l'étude des protocoles ne se fait pas en quelques clics de souris; mais par contre, il est intéressant de savoir où se connectent et ce que transmettent certains logiciels 'fouineurs' que vous utilisez!

2) Procédure des tests:

Nous avons faits les tests en utilisant la configuration de la Fig. 2.1:

Fig. 2.1 - Schéma de montage

Tous les PC's tournent sous Windows XP SP2, le firewall étant désactivé.

Afin d'éviter de poser un problème de sécurité pendant les tests, nous n'avons pas relié le matériel au réseau Internet; pour simuler une connexion, c'est le PC "Server", ayant deux services installés (Web port 80 et FTP port 21) qui le simulera.


Beaucoup de protocoles historiques comme le transfert FTP, le courrier électronique e-mail, la connexion à des serveurs par Telnet, ... NE CRYPTENT PAS les données échangées; les comptes (user et password) ainsi que les transactions échangées, sont donc transmises en clair. Pour notre test, la mise en place d'un serveur FTP (qui est très simple), permettra de démontrer le problème d'une manière globale vue que l'on capturerait aussi les comptes, pour les autres protocoles non-sécurisés.

Les programmes utilisés sont gratuits et simples à mettre en service. Leur installation ne pose pas de problème particulier, il suffit de les installer avec leurs options par défaut.

Configuration du PC "Server":


     - Serveur Web          SimpleServer:WWW   http://www.analogx.com/contents/download/network/sswww.htm
     - Serveur FTP           Filezilla Server             http://sourceforge.net/project/showfiles.php?group_id=21558

Le fichier, qui sera en téléchargement, sera du texte pur, de manière à mettre facilement en évidence ce qui sera transmis; nous utiliserons les deux manuels de PGPi 2.6.3.i, Pgpdoc1.txt et Pgpdoc2.txt fusionnées. 


Pour le serveur Web, il suffit de créer une simple page Web, avec un éditeur basique comme celui de votre browser, et de créer un lien qui pointe sur le fichier Texte.

Pour le serveur FTP, il faut créer un compte utilisateur (john/theripper), donner les droits complets dans un répertoire; mettez dans ce dernier, une copie du fichier Texte.

Testez la configuration de vos deux services, à partir du PC "Server", avec l'URL "localhost".



Configuration du PC "Sniffer":


   - Sniffer de paquets Packetyzer                    http://www.networkchemistry.com/products/packetyzer.php
   - Analyseur Wi-Fi      Netstumbler                  http://www.netstumbler.com

Configuration du PC "Client":


   - Un browser Web (Mozilla, FireFox, Opera, ...)
   - Un client FTP (Filezilla, ...)



La manipulation est très simple: à chaque test, les deux PC's "Client" et "Sniffer" se connectent au router "USR 8054" avec les différentes méthodes: "en clair", protection par WEP, puis par WPA.

   - Sur le PC "Sniffer", on efface les paquets capturés précédemment, et on lance la capture.

  - Sur le PC "Client", on se connecte sur le PC "Server" et on télécharge le fichier Texte par

       # Web (http://192.168.1.100)
       # Transfert FTP (host: 192.168.1.100, user: john, pass: theripper)

3) Analyse du trafic "en clair":

Capture Web et FTP:

Fig. 3.1 - Capture Web	Fig. 3.2 - Capture FTP

La Fig. 3.1 montre le transfert du fichier Texte, par le protocole HTTP, qui est coupé en différents morceaux (paquets); en descendant le curseur, on peut voir les suivants.


La Fig. 3.2 montre les transactions entre le client et le serveur; l'authentification "USER : john / PASS : theripper" est parfaitement lisible en clair. Les autres paquets transférés contenant le fichier texte sont aussi parfaitement lisibles.

Analyse de la capture Web:

Fig. 3.3 - Analyse capture Web (IP)	Fig. 3.4 - Analyse capture Web (Contenu)

La Fig. 3.3 montre les connexions effectuées (IP).


La Fig. 3.4 montre le contenu complet du transfert du fichier Texte; au sommet, les échanges liés au protocole Web HTTP, et en dessous, le fichier texte pur. Dans le cas d'une page Web, on aurait eu le code HTML complet.



Analyse de la capture FTP:

Fig. 3.5 - Analyse capture FTP (IP)	Fig. 3.6 - Analyse capture FTP (Contenu)

La Fig. 3.5 montre les connexions effectuées (IP).


La Fig. 3.6 montre le contenu complet de l'échange du fichier Texte.

Fig. 3.7 - Transfert partiel	Fig. 3.8 - Recherche d'une chaîne ASCII

La Fig. 3.7 montre une capture partielle, c'est-à-dire que le PC "Sniffer" commence à enregistrer les paquets lors d'une communication déjà établie entre le PC "Client" et le PC "Server". On voit un morceau du fichier texte, qui commence à partir du lancement de la capture.


La Fig. 3.8 montre qu'il est très facile de rechercher une chaîne de caractères, comme "PASS" dans notre cas; on arrive immédiatement sur les lignes concernées. Pour trouver le serveur en relation, il suffit d'aller dans l'onglet des connexions.

Remarque: 'PASS' est différent de 'pass', c'est-à-dire que les minuscules et les majuscules sont différentiées avec ce logiciel!



On a les même caractéristiques que celle d'un HUB.

4) Analyse du trafic avec WEP :

Capture Web:

Fig. 4.1 - Capture Web / FTP

Une fois que le PC "Sniffer" s'est connecté avec une AUTHENTIFICATION WEP, sur le router "USR 8054", on se retrouve exactement dans le même cas que décrit dans le Chapitre 3 (Analyse du trafic "en clair"). Si vous n'avez pas la clef WEP, il n'est pas possible d'analyser le trafic.


Par contre, les utilisateurs du même réseau authentifié avec WEP, peuvent analyser les données échangées. Cela n'est pas critique si ces derniers font partie de la même famille/milieu de travail; par contre, si vous "partagez" votre connexion entre plusieurs locataires, c'est un risque qu'il faut être conscient!


La Fig. 4.1 est là pour montrer que les tests ont été effectués pour le transfert Web/FTP avec une liaison protégée par WEP; les résultats sont identiques avec une liaison "en clair".


On a les même caractéristiques que celle d'un HUB.

5) Analyse du trafic avec WPA:

Capture Web et FTP (+ping):

Fig. 5.1 - Capture avec WPA	Fig. 5.2 - Ping entre PC's "Sniffer" et "Client"

Le PC "Sniffer" s'est connecté avec une AUTHENTIFICATION WPA, sur le router "USR 8054"; on voit qu'il y a une différence complète entre la protection WEP et WPA.


En effet, même si on est authentifié dans le réseau (c'est aussi valable avec l'authentification 802.1x qui a été testée), on ne peut pas capturer le trafic entre le PC "Client" et le PC "Server".


La Fig. 5.1 nous le confirme; pendant la capture, nous avons consécutivement transféré le fichier Texte par Web et par FTP; Packetyzer ne nous a rien affiché. La capture nous montre seulement du trafic, qui semble plutôt lié à du "service" pour établir des communications.



Avec la Fig 5.2, nous avons simultanément transféré le fichier Texte par Web et FTP et fait un ping de la machine PC "Client" sur le PC "Sniffer"; seuls les paquets liés au protocole ping (soit 4 au total) sont visibles.

6) Recherche des Access Point (A.P.)

Diffusion ou pas du SSID:

Fig. 6.1 - Pas de diffusion du SSID "Exterminator666"	Fig. 6.2 - Diffusion du SSID "Exterminator666"

Dans les nouveaux A.P., il y a une option qui s'appelle "diffusion du SSID".


Quand vous allez dans le gestionnaire des connexions Wi-Fi de votre ordinateur, vous voyez le nom des l'A.P. présents dans votre zone (une centaine de mètres). C'est très pratique, mais cela a un inconvénient, c'est que cela est visible de tout le monde.


Le logiciel Netstumbler est spécialisé dans l'analyse des connexions Wi-Fi actives dans un périmètre donné; il indique aussi la force du signal, ce qui permet de mieux localiser la source avec l'utilisation d'antennes directives.


La Fig. 6.1 nous montre que deux A.P. "EPFL" et "PUBLIC-EPFL" sont actifs dans le périmètre de notre test; pourtant, à ce moment de la capture, il y a AUSSI notre A.P. local, mais il n'apparaît pas parce qu'il ne diffuse pas son SSID.


Dans le cas de la Fig. 6.2, on le voit apparaître sous le nom "Exterminator666"; c'est le nôtre.



Dans la pratique, une fois que toutes vos liaisons Wi-Fi sont établies pour vos ordinateurs, désactivez l'option de "diffusion du SSID"; cela complique la recherche des A.P. par des Wardrivers.

7) Conclusions:

La première version de Wi-Fi qui n'utilisait que le protocole WEP comme moyen d'authentification, est à éviter!


Attention, certaines promotions de cartes réseau Wi-Fi, ne gèrent pas le protocole WPA (il faut bien se débarrasser des anciens stocks!); d'autres ne supportent que partiellement WPA; regardez bien les caractéristiques et faites attention au symboles comme "†,‡" qui renvoient à une restriction! Cela est souvent écrit en très petit.


WPA est un protocole qui donne une bien meilleure sécurité: les échanges entre le client et le modem/routeront leurs clefs qui sont changées souvent, et les utilisateurs, même authentifiés dans le réseau, ne peuvent pas intercepter le trafic qui ne leur est pas destiné, par une manière aussi simple que celle décrite ici.

La nouvelle norme 802.11i (version 'i) devrait être encore meilleure, vu qu'elle incorporera des technologies de protections supplémentaires.


En résumé, n'utilisez QUE le protocole WPA pour sécuriser votre réseau Wi-Fi; de plus choisissez un bon mot de passe, le plus long possible; comme vous pouvez l'écrire sur papier, cette corvée ne se fait qu'au changement de ce dernier dans l'A.P.; changez-le aussi fréquemment.

Désactivez aussi la diffusion du SSID, une fois que toutes les liaisons sont établies avec les ordinateurs de votre réseau et votre A.P.

8) Liens:

Auteur:

Documentation:

Softwares:

URL: