Cet article est un extrait de mon livre électronique sur les tests de pénétration et la sécurité du WiFi destiné aux aspirants hackers WiFi et aux amateurs de sécurité sans fil. Cliquez ici pour en savoir plus
Dans les chapitres précédents, nous avons couvert :
- Introduction à la suite d’outils Aircrack-ng
- Introduction à Wireshark
- Craquage WEP en utilisant Aircrack-ng
- Craquage WPA/WPA2 Personal en utilisant Aircrack-ng
Aujourd’hui, nous allons apprendre le craquage WPS en utilisant reaver.
- Qu’est-ce que le WPS ?
- Qu’est-ce que Reaver ?
- Description:
- Installation de Reaver à partir du code source:
- Etape 1 : Mettre la carte en mode moniteur
- Étape 2 : Scanner l’air pour les réseaux WPS
- Etape 3 : Lancer Reaver
- Étape 4 : Craquer WPS
- La vilaine vérité sur le WPS
- Pilotes sans fil pris en charge
- Partiellement supportés
- Non pris en charge
- Contre-mesures
- Liens utiles:
Qu’est-ce que le WPS ?
Le WPS est l’acronyme de Wi-Fi Protected Setup et a été conçu pour rendre la configuration d’un AP sécurisé plus simple pour le propriétaire moyen. Introduit pour la première fois en 2006, il a été découvert en 2011 qu’il présentait un grave défaut de conception. Le PIN WPS pouvait être forcé brutalement assez simplement en utilisant des outils comme Reaver.
Qu’est-ce que Reaver ?
Reaver est un outil de craquage WPS gratuit et open-source qui exploite une faille de sécurité dans les routeurs sans fil et peut craquer le mot de passe actuel du routeur compatible WPS avec une relative facilité. Il est préinstallé dans Kali Linux et peut être installé sur d’autres distros Linux via le code source. Reaver effectue une attaque par force brute contre le numéro de pin du point d’accès WiFi Protected Setup. Une fois le pin WPS trouvé, le PSK WPA peut être récupéré
Checkout my new store for Best WiFi adapters for Hacking, Best-selling Pentesting Books and Best WiFi Boosters : Rootsh3ll rStore
Description:
Reaver-wps cible la fonctionnalité de registrar externe mandatée par la spécification WiFi Protected Setup. Les points d’accès fourniront aux registraires authentifiés leur configuration sans fil actuelle (y compris le PSK WPA), et accepteront également une nouvelle configuration de la part du registraire.
Pour s’authentifier en tant que registraire, le registraire doit prouver sa connaissance du numéro de pin à 8 chiffres du PA. Les registraires peuvent s’authentifier auprès d’un AP à tout moment sans aucune interaction avec l’utilisateur. Comme le protocole WPS est mené sur EAP, le registraire doit seulement être associé à l’AP et n’a pas besoin d’une connaissance préalable du cryptage ou de la configuration sans fil.
Reaver-wps effectue une attaque par force brute contre l’AP, en tentant toutes les combinaisons possibles afin de deviner le numéro de pin à 8 chiffres de l’AP. Comme les numéros de pin sont tous numériques, il y a 10^8 (100 000 000-1 = 99 999 999) valeurs possibles pour tout numéro de pin donné, en considérant que 00 000 000 n’est pas la clé. Cependant, parce que le dernier chiffre du pin est une valeur de somme de contrôle qui peut être calculée sur la base des 7 chiffres précédents, cet espace clé est réduit à 10^7 (10,000,000-1 = 9,999,999) valeurs possibles, encore une fois comme la somme de contrôle des 6 premiers zéros sera zéro, nous supprimons 0,000,000 pour être brute-forcé.
L’espace clé est encore plus réduit en raison du fait que le protocole d’authentification WPS coupe le pin en deux et valide chaque moitié individuellement. Cela signifie qu’il y a (10^4 )-1 soit 9 999 valeurs possibles pour la première moitié du pin et (10^3)-1 soit 999 valeurs possibles pour la seconde moitié du pin, le dernier chiffre du pin étant une somme de contrôle.
Reaver-wps force brutalement la première moitié du pin puis la seconde moitié du pin, ce qui signifie que tout l’espace clé du numéro de pin WPS peut être épuisé en 10 999 tentatives. La vitesse à laquelle Reaver peut tester les numéros d’identification est entièrement limitée par la vitesse à laquelle l’AP peut traiter les demandes WPS. Certains points d’accès sont suffisamment rapides pour qu’une broche puisse être testée toutes les secondes ; d’autres sont plus lents et ne permettent qu’une broche toutes les dix secondes. Statistiquement, il ne faudra que la moitié de ce temps afin de deviner le bon numéro de pin.
Installation de Reaver à partir du code source:
Système : Ubuntu
Ouvrir le terminal et taper:
Si vous avez lu le tutoriel précédent, Vous saurez que nous devons d’abord mettre notre carte sans fil en mode moniteur et ensuite commencer à scanner.
Etape 1 : Mettre la carte en mode moniteur
D’abord tuer les programmes qui peuvent causer des problèmes, puis nous allons mettre notre carte en mode moniteur.
sudo airmon-ng check killsudo airmon-ng start wlan1
wlan1 est l’interface sans fil dans mon cas, vous pouvez vérifier le vôtre en tapant simplement dans le terminal.
iwconfig
Étape 2 : Scanner l’air pour les réseaux WPS
Airodump-ng a une limitation, il ne peut pas détecter les routeurs compatibles WPS. Donc, à cette fin, nous utilisons la commande wash qui s’installe en même temps que Reaver et nous aide à scanner les routeurs compatibles WPS.
Il suffit d’écrire:
sudo wash -i wlan1mon
Il montrera une sortie similaire:
Notez la colonne « WPS Locked » ; c’est loin d’être un indicateur définitif, mais en général, vous trouverez que les AP qui sont répertoriés comme déverrouillés sont beaucoup plus susceptibles d’être sensibles au brute forcing. Vous pouvez toujours tenter de lancer une attaque contre un réseau qui est verrouillé par WPS, mais les chances de succès ne sont pas très bonnes.
Voici,
ESSID/Target : belkin.ffd
BSSID : EC:1A:59:43:3F:FD
Channel : 11
WPS verrouillé : Oui
Au cas où vous obtiendriez une sortie comme celle-ci :
Ajoutez simplement « -C » ou « -ignore-fcs » avec la commande précédente pour sauter
- wash -i wlan1mon -C
- wash -i wlan1mon -ignore-fcs
Les deux fonctionneront de la même manière, et ignorent les paquets FCS et vous obtiendrez la sortie montrée précédemment.
Etape 3 : Lancer Reaver
Après avoir obtenu le BSSID de l’Ap cible, nous allons dire à Reaver d’essayer l’attaque par pin WPS sur ce BSSID spécifique uniquement
- reaver -i wlan1mon -b EC:1A:59:43:3F:FD
Dans certains cas, le BSSID peut être masqué, ou dupliqué par un autre attaquant. Dans ce cas, Rever ne sera pas en mesure de mener avec succès une attaque par pin WPS. Vous devrez être plus précis en fournissant l’ESSID et le numéro de canal, nous l’avons précédemment noté à Reaver.
- reaver -i wlan1mon -b EC:1A:59:43:3F:FD -c 11 -e « belkin.ffd »
ESSID peut contenir des espaces, il faut donc toujours inclure ESSID entre guillemets.
Étape 4 : Craquer WPS
Cette partie est en fait réalisée par Reaver lui-même, car nous avons déjà fourni les informations nécessaires à Reaver. Si le routeur est vulnérable à l’attaque par pin WPS, il vous montrera une sortie comme celle-ci :
Si Reaver réussit à essayer un pin après l’autre, le pin WPS et la clé WPA2-PSK correspondante ont le plus de chances d’être cassés en quelques heures (3-5).
C’est assez drôle que le WPS était censé fournir la facilité et la sécurité aux Homeusers, mais un routeur vulnérable activé par le WPS permet à un attaquant potentiel de casser la sécurité avec facilité. Non seulement la clé WPS, mais aussi la clé pré-partagée WPA2 qui est considérablement beaucoup plus difficile à craquer sans WPS.
La vilaine vérité sur le WPS
Il est important de noter que les nouveaux AP n’ont plus cette vulnérabilité. Cette attaque ne fonctionnera que sur les PA vendus durant cette année 2006 et début 2012. Comme de nombreuses familles conservent leurs AP pendant de nombreuses années, il y a encore beaucoup de ces AP vulnérables. Donc, de temps en temps, cette technique peut être utile.
Pilotes sans fil pris en charge
Les pilotes sans fil suivants ont été testés ou signalés pour fonctionner avec succès avec Reaver-wps :
- ath9k
- rtl8187
- carl19170
- ipw2000
- rt2800pci
- rt73usb
Partiellement supportés
Les pilotes sans fil suivants ont eu un succès mitigé, et peuvent ou non fonctionner en fonction de votre carte sans fil (i.e., si vous avez des problèmes avec ces pilotes/cartes, envisagez d’essayer une nouvelle carte avant de soumettre un ticket d’incident):
- ath5k
- iwlagn
- rtl2800usb
- b43
Non pris en charge
Les pilotes/cartes sans fil suivants ont été testés ou signalés comme ne fonctionnant pas correctement avec Reaver :
- iwl4965
- RT3070L
- Netgear WG111v3
Contre-mesures
- Désactiver le WPS par le bouton poussoir WPS, si vulnérable.
- Ne pas utiliser le WPS, si votre routeur est vulnérable et utiliser une phrase de passe WPA2 forte.
- Vérifiez si votre routeur est fabriqué après 2012, Il peut ne pas être vulnérable.
Liens utiles:
Routeur:
TP-LINK TL-MR3420 300 MB/s Routeur sans fil 2x antennes 5dBi
Adaptateurs réseau :
Alfa AWUSO36NH High Gain B/G/N USB / Alfa AWUS036NHA B/G/N USB
Antenne à haut gain :
Alfa 9dBi WiFi Omni-Directional High-Gain Antenna
Drive USB (32 Go) :
SanDisk Ultra Fit USB 3.0 32 Go Pen Drive
SanDisk Ultra USB 3.0 32 Go Pen Drive
.