Attaque sur l’authentification WPS

Publié par Fabio Pace le

Bonjour à tous, aujourd’hui nous allons voir comment attaquer l’authentification WPS qui est généralement activé sur les box opérateur et bornes WIFI.

Avant de commencer, j’insiste sur le fait que cet article a pour but de sensibiliser sur l’authentification WPS et non à inciter à utiliser la faiblesse de la technologie sur des réseaux où vous n’avez pas l’autorisation.

Presentation

Tout d’abord, le WPS (Wi-Fi Protected Setup) est une technologie qui simplifie le processus de connexion d’un équipement Wi-Fi au réseau. En effet, il faut l’intervention physique de la personne pour qu’elle s’authentifie.

Au départ, pour obtenir la certification WPS, il fallait appairer les équipements entre eux en saisissant manuellement un code PIN composé de 8 chiffres.

Aujourd’hui, l’appairage se fait plus automatiquement, il suffit de presser le bouton WPS du routeur et le client s’authentifie. La méthode utilisée se nomme PBC : « Push Button Connect ».

Néanmoins, cette méthode d’authentification n’est pas du tout sûre. Il est très facile de compromettre la sécurité sur ce type d’authentification. Nous allons le voir tout de suite.

L’attaque

Le code PIN étant composé de 8 chiffres, cela fait donc 108 soit 100 000 000 possibilités. Il faut savoir que le 8ème chiffre est une somme de contrôle qui peut être facilement calculé : on obtient donc 107 soit 10 000 000 possibilités.

De plus, le grand problème du WPS est que l’équipement vérifie le code en deux parties : il audite les quatre premiers chiffres, puis les quatre derniers. On a donc 104 possibilités pour la première partie et 104 pour la dernière partie, soit 10 000 et 10 000. Pour être plus précis, si on prend en compte les deux problèmes, on a 104 possibilités pour la première partie, et 103 possibilités pour la dernière partie, puisqu’il y a seulement 7 chiffres significatifs, soit 10 000 et 1 000 possibilités. D’après des recherches, il est possible de tester 46 codes en moyenne par minute, soit environ 239 minutes ou 4 heures.

Nous utilisons l’outil Bully. C’est un outil écrit en C et spécialement créé pour l’attaque par bruteforce pour le WPS.

Nous devons donc choisir le SSID WIFI avec l’adresse MAC de l’équipement (BSSID) : 

bully wlan0mon -b XX:XX:XX:XX:XX:XX -e SSID_WIFI

NB : Il faut bien évidement une carte WIFI en mode « monitoring » pour effectuer cette action.

Au bout de quelques heures, vous aurez donc le code PIN pour appairer un équipement via le WPS.

Il est donc primordial de désactiver l’authentification via WPS, ou de limiter le nombre de tentatives erronées (en bloquant l’accès) pour augmenter le temps de réalisation de l’attaque. Il serait judicieux de coupler le système de blocage à un système de supervision, afin d’être alerté de la tentative d’attaque. Il est conseillé de mettre en place un IDS (Intrusion Detection System) pour détecter le bruteforce réalisé.

J’espère que l’article vous aura plu. N’hésitez pas à commenter si vous avez la moindre remarque.

A bientôt,

Fabio Pace.

Catégories : OffensiveSécurité
Étiquettes :

9 commentaires

Luddite · 15 décembre 2019 à 19 h 50 min

Belle démonstration.

Répondre

Walter Paulau · 16 décembre 2019 à 9 h 13 min

Clair, net et précis. Merci pour cet article !

Répondre

David · 16 décembre 2019 à 16 h 41 min

Bonjour,

Je pense avoir bien compris l’article mais n’y a-t-il pas une erreur sur les 2^4 et 2^3 possibilité ? Ne s’agit-il pas de 10^4 et 10^3 puisque après vous parlez de 10000 et 1000 ?

Répondre

    Fabio Pace · 16 décembre 2019 à 19 h 22 min

    Bonjour David,
    Je te remercie pour ton retour et également pour ta correction ! je modifie tout de suite.

    Répondre

Jean-Paul · 16 décembre 2019 à 21 h 10 min

Si il faut une intervention physique en pressant sur un bouton PIN ou pas la méthode ne marche pas sans accès physique, non ?

Répondre

    Fabio Pace · 16 décembre 2019 à 21 h 41 min

    Bonsoir Jean-Paul,
    Non, il n’y a pas besoin d’un accès physique au bouton. Le fait de faire un bruteforce sur l’authentification WPS nous permet de tester toutes les combinaisons possibles et donc trouver le bon code pin. Le fait d’appuyer sur le bouton permet au routeur d’envoyer des requêtes d’authentification au premier utilisateur souhaitant se connecter (méthode très peu sécurisée). Le code PIN peut cependant être vérifié même si le bouton n’est pas pressé.

    Répondre

Ben · 12 mai 2020 à 18 h 11 min

Merci pour ce tuto

Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles similaires

Cryptographie Linux Sécurité

Créer une CSR avec des SAN sur OpenSSL

Bonjour à tous ! Aujourd’hui un article sur OpenSSL pour savoir comment créer une CSR avec des SAN. CSR ? Tout d’abord une petite explication, une CSR ou Certificate Signing Request est tout simplement une Lire la suite…

Cryptographie Linux Sécurité

Activer le chiffrement TLS sur Kibana

Bonjour à tous ! Aujourd’hui un article assez court concernant l’activation du protocole TLS sur l’interface de Kibana. Introduction J’ai commencé il y a peu à travailler sur ELK et je pense donc proposer plusieurs Lire la suite…

Linux Sécurité Vie privée

Installation d’un nœud de sortie Tor sur Debian 10

Bonjour à tous ! Aujourd’hui un article qui traîne depuis un moment dans les brouillons, l’installation d’un nœud Tor sur un VPS avec le système Debian 10. C’est également le moment de présenter rapidement le Lire la suite…