Les accès Wi-Fi sont sources de convoitise pour plusieurs raisons :

  • obtenir un accès à Internet
  • usurper l'adresse IP de l'équipement incriminé.

Si la première raison, à condition de ne pas abuser, n'est pas une fin gênante en soi, la seconde est bien plus grave.

Pour parler un peu d'actualité, imaginez un voisin se connectant sur votre Box et téléchargeant de la musique sur un P2P classique. Celui qui recevra l'avertissement ne sera pas le méchant, mais bien le titulaire de la ligne. Et c'est précisément là que le bât blesse. Ce sont pour ces raisons que j'écris ce billet qui se veut comme un best-practice de la sécurité Wi-Fi dans un cadre non professionnel.

La grande majorité des particuliers se connectent sur Internet via des Box (Freebox, Livebox, ...). Ce présent billet se concentrera donc uniquement sur ces équipements.

Les sécurités existantes

Je ne parlerai que des sécurités simples à mettre en place, c'est-à-dire celles implémentées dans les box. Je ne parlerai donc pas de l'excellente alternative VPN. Les protocoles proposés sont au nombre de trois :

A noter également sWPA (resp WPA2) Enterprise ou le véritable WPA (resp WPA2), mais cela implique la mise en place d'un serveur Radius qui est un tantinet compliqué pour Madame Michu.

WEP

Aujourd'hui, encore beaucoup trop de personnes utilisent du WEP pour "protéger" leur communication. Est-il nécessaire de rappeler que ce protocole est largement désuet ? Qu'il ne tiendra pas cinq minutes face à votre voisin. Et nul besoin d'être un expert tant la documentation abonde sur le net.

Pour ceux qui veulent de la lecture théorique concernant les failles : Le WEP : une passoire.

Avec la suite aircrack-ng, cela peut être aussi simple que :

airodump-ng -w output -c 11 ath0
aireplay-ng -1 0 -e ESSID -a MACofAP -h MACofStation ath0
aireplay-ng -3 0-e ESSID -b MACofAP -h MACofStation ath0
aircrack-ng *.cap

Voici un lien expliquant le tout en image.

WPA-PSK et WPA2-PSK

Je regroupe les deux étant donné qu'il n'y a pratiquement aucune différence. Et non WPA-PSK ne rime pas avec TKIP puisque CCMP lui a été backporté. Sur ce sujet, de nombreux articles aux titres maladroits (mais plus aguicheurs) ont été écrits . Conséquence, beaucoup pensent que "WPA ça se pirate et pas WPA2". Alors que la vérité est ailleurs.

Déjà, que les choses soient claires : il ne faut pas confondre WPA(2) et WPA(2)-PSK. WPA(2)-PSK se base sur l'utilisation d'une clé partagée (PSK). L'architecture est donc certes, beaucoup plus simple, mais aussi largement moins sécuritaire.

Il existe principalement deux pistes d'attaque sur la version PSK

  • l'attaque sur le PSK (brute-force, attaque par dictionnaire),
  • la faiblesse TKIP.
L'attaque sur le PSK

L'attaque sur le PSK est très simple. Elle consiste à récupérer le 4-Way handshake lors de la phase d'authentification et de l'utiliser dans les bruteforceurs. Cette attaque marche très bien sur WPA-PSK, mais également sur WPA2-PSK. Conseiller donc de migrer à WPA2-PSK pour éviter le bruteforce du PSK sur WPA-PSK est donc complètement débile.

La seule protection efficace est l'utilisation d'une passphrase suffisamment robuste pour l'aboutissement des outils de cracks. Il est recommandé de choisir au minimum 20 caractères dénués de sens et d'utiliser des caractères non-alphanumériques (+,*,-,#, etc.).

Un petit lien pour vous montrer la simplicité.

Cette attaque est même plus dure à détecter puisqu'après avoir récolté le 4-Way Handshake tout le calcule se réalisera offline. Alors que pour le WEP, il faut sniffer des milliers de paquets, injecter des paquets (où être très patients).

La faiblesse TKIP

Là c'est une autre histoire. TKIP est un protocole qui a été créé pour assurer une compatibilité avec les anciens équipements et d'offrir un maximum de sécurité. Oui mais voilà, deux chercheurs ont réussi à exploiter trois faiblesses (adaptation de ChopChop (théorie de ChopChop), faiblesse de Michael (algorithme d'intégrité), files de priorité). Pour l'instant les conséquences sont limitées mais il y a aujourd'hui une brèche dans la boîte qui pourrait s'agrandir avec le temps. Il n'y a pas mille remèdes : ne pas utiliser TKIP.

Quelques fioritures :

Devant la facilité à se procurer des outils pour casser une clé WEP, des fioritures sont apparus :

Ces deux protections n'apportent rien à part un semblant de sécurité.

Non-diffusion du SSID

Certains se disent que si dans les requêtes, le SSID est substitué à une chaîne de caractère vide, on est à l'abri. Eh bien il n'en est rien.

Lors de l'association à l'AP, le client enverra des probe requests avec les SSID enregistrés en local afin d'obtenir une réponse d'un AP (Acess Point) connu. Donc, si un attaquant est patient, il récupérera le SSID lors de cette phase. Et puis, cette "sécurité" peut même donner lieu à d'autres attaques comme le Rogue AP, à cause de la fuite d'information qu'engendre les probe requests.

Filtrage par MAC

Cette "sécurité" part du principe que l'adresse MAC est une adresse unique. Certes, mais au-dessus de la couche hardware se trouve une couche logicielle permettant de changer l'adresse MAC. Et quitte à changer d'adresse, autant opter pour une adresse déjà associée à l'AP (obtenue par un logiciel du style Airodump, Kismet, ...). Protection donc inutile.

Pour vous convaincre de la facilité, voici la commande sur Gnu/Linux :

ifconfig interface hw ether 00:01:02:03:04:05

Sur windows, c'est un peu plus cliquissime.

Conclusion

Dans ce billet, j'ai expliqué brièvement que :

  • le WEP est à bannir parce que cryptographiquement mauvais,
  • la non-diffusion du SSID est contre-productif,
  • le filtrage par adresse MAC se contourne aisément,
  • les passphrases doivent être robustes,
  • TKIP commence à rouiller.

Ce qui élimine pas mal des fonctionnalités de la Box. Finalement, pour être à l'abri, il faut utiliser WPA-PSK + AES et WPA2-PSK + AES.

La passphrase (à ne pas confondre avec password) doit être solide (supérieure à 20 caractères). N'hésitez pas à consolider votre passphrase qui sera la voûte de votre sécurité Wi-Fi, d'autant plus qu'elle ne sera qu'à rentrer une fois pour toute sur votre machine.