Un nouvel outil permettant l’attaque de résaux wifi protégés par WPS est sorti. Son petit nom est reaver. Il permet de tester différentes clefs sous la forme d’une attaque de type brute force. La methode employé permet de résoudre cette attaque en un maximum de 11.000 tests, ce qui est très peu.
WPS est une couche de configuration Wifi simplifiée qui permet de recevoir directement du point d’accès la clef WPA et le SSID du réseau. Autant dire que cette attaque permet d’obtenir les clefs WPA en moins de 11000 tests.
Toutefois, WPS, ne fonctionne pas aussi simplement, il y a deux usage distincts : le premier ne fonctionne pas avec un mot de passe mais avec un bouton poussoir (vous savez : le boutons sur lequel on appuie lorsque l’on veut ajouter un nouveau client au reseau sans fil), dans ce cas, la methode reaver sera sans effet car le point d’accès restera sourd a ses solicitations. Le second mode est un mode par code à 8 chiffre et c’est ce mode qui est faillible. Toutefois, bon nombe de point d’accès n’accepent pas de sollicitations en continu et bloque les tentatives multiples trop rapprochées. Ceci ne rend pas forcement l’attaque impossible mais elle devient alors très longue.
Pour démontrer l’attaque, il faut :
* Un linux
* Reaver (qui demande lui-meme pcap-devel)
* Aircrack-ng (qui demande lui-meme iw)
* L’adresse MAC de l’AP cible à attaquer (qui bien entendu vous appartient exclusivement)
Une fois ces éléments compilés, installé, il faut placer la carte wifi en mode monitor avec le script airmon:
/usr/local/sbin # ./airmon-ng start wlan0
Puis lancer l’attaque avec reaver :
/usr/bin/reaver -i mon0 -b aa:bb:cc:dd:ee:ff
aa:bb:cc:dd:ee:ff etant l’adresse mac de l’AP cible. Cette adresse peut etre obtenue en ecoutant les réseaux wifi avec un outil comme kismet par exemple.
Ma cible est un de mes points d’accès Netgear, j’ai pu déclanché une reaction de reaver en démarrant une procédure d’ajout de client WPS via l’interface du routeur et en choisissant le mode par clef et non bouton.