introduction problèmesirt.enseeiht.fr/anas/cours/secwifi.pdf08/01/08 anas abou el kalam -...
TRANSCRIPT
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 1
�� �� � �� � � � � � ��� � � � �� �� �� � � �� �� � � � � ��� ��
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 2
Introduction
• L’histoire des réseaux 802.11 est émaillée de vulnérabilités
• Les protections tardent à se généraliser et ne couvrent toujours pas
tous les problèmes
• 50 % des réseaux wifi sont ouverts
• 25 % des réseaux sécurisés sont en fait mal protégés
• Les entreprises sont les mauvaix élèves ...
• Les implémentations présentent des vulnérabilités
• ...
C´
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 3
Introduction
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 4
Problèmes
• Un réseau sans-fil présente les mêmes vulnérabilités qu’un réseau filaire• Serveur DHCP malicieux, ARP / DNS spoofing, DoS, ...
• Mais aussi qlq spécificités wifi• Rayon d’action : propagation incontrôlable des ondes radio
• Écoute : plus facile que pour les réseaux filaires• Attaques spécifiques : Rogue AP, WarXing, ....
• Plus globalement• Risques d’intrusion, interception de données
Détournement de connexion Internet
Brouillage des transmissions
DoS• ...
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 5
Agenda
Les réseaux Wi-Fi ouverts
Le cas du WEP...
Sécurité : WPA, WPA2 and 802.11i
Authentification Wi-Fi
Limites
Aspects légaux
Auditer son réseau Wi-Fi
Bibliography
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 6
Agenda
Les réseaux Wi-Fi ouverts
Suivi des clients enregistrés
Protection des stations Wi-Fi
Le cas du WEP...
Sécurité : WPA, WPA2 and 802.11i
Authentification Wi-Fi
Aspects légaux
Auditer so n réseau Wi-Fi
Bibliography
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 7
Réseaux Wi-Fi ouverts
• Ces réseaux ne disposent d’aucune protection
Pas de problème de compatibilité
Configuration par défaut des équipements
Partage de connexion
• L’erreur est de croire qu’un réseau Wi-Fi est équivalent à un réseau
Ethernet ...
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 8
Hotspots Wi-Fi
• Accès Wi-Fi public, souvent commerciaux ou communautaires
Systèmes basés sur un portail captif
Authentification à une application Web d’enregistrement
Mise en place d’autorisations pour l’accès Internet
Suivi des clients enregistré
• Problèmes posés : aucune sécurité !
Accès non limité,
pas de chiffrement,
Accès à internet
Comment suivre les clients ?
Comment protéger les clients ?
• Nécessité de limiter / conditionner l'accès au réseau
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 9
Portails captifs
Authentification tierce pour réseau ouvert...
Trafic sortant interdit
Trafic HTTP redirigé vers vers un portail
Accès autorisé une fois enregistré
Problèmatique ...
Comment différencier les clients enregistrés des autres ?
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 10
Suivi des clients
• Comment suivre un client authentifié ?
Pas beaucoup de choix
Adresse MAC
Adresse IP
Adresses MAC and IP en même temps
• Seulement voilà, on peut usurper ces paramètres...
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 11
Quid des clients ?
• Le réseau est ouvert...
N’importe qui peut y accéder
Les communications ne sont pas chiffrées
Aucune mesure de protection pour les clients
Exposition
Les clients peuvent être attaqués facilement
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 12
Limites : Contourner les AP (Le Rogue AP)
• On monte un AP factice pour le réseau cible
Même SSID
Meilleure puissance perçue
Interception des communications
• Permet de voler les login/passwords ou faire valider ses identifiants réseau
• Airsnarf !!
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 13
Limites des autorisation par @MAC
Un réseau Wi-Fi est un domaine de collision
Changer son adresse MAC est trivial
Pas de conflits au niveau MAC
Prenez juste une IP différente
• Ifconfig, macchanger , etc.
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 14
Limites des autorisation par @IP
Un réseau Wi-Fi est un réseau de type
Ethernet
Vulnérable aux attaques de niveau 2
Vulnérable à corruption cache ARP
• Possibilité de Spoofer une @ IP
Pollisilité de rediriger le trafic
• Voir LSM 2002[BLA02], arp-sk[ARPS] ou
MISC3[MISC] pour détails
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 15
Autres attaques : usurpation de client
• On peut usurper l’identité d’un client enregistré
Adresse MAC
Adresse IP
Pas de perturbation induite
Mais...
On peut également le désassocier et prendre sa place
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 16
Autres problèmes
• Les portails captifs présentent souvent des vulnérabilités exploitables
Certificat pour l'accès SSL à la page d'enregistrement
Mauvaises configurations
Encapsulation possible dans DNS (Tunnels DNS [OZY][NSTX])
Applications web vulnérables
• Modification des arguments, SQL injection
Etc.
En résumé...
Il y a mille façon de mettre en oeuvre un portail c aptif
vulnerable
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 17
Autres exemples de failles ...
• Corruption de traffic par injection
Les trames Wi-Fi peuvent être capturée
Ecouter le trafic Wi-Fi
Repérer les requêtes intéressantes
Injecter de fausses réponses en usurpant l’AP
Applications :
fausses réponses DNS, contenu malicieux, etc.
• Communication par injection
• L’injection de trame à destination des stations permet de les atteindre.
Il suffit d’écouter les réponses et de continuer.
• ...
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 18
Récap
Les clients d’un hotspot Wi-Fi sont très exposés
• Pas de confidentialité
• Pas d’intégrité des flux
WarXing = wardriving + warchalking
Donc ..
• L’utilisation de hotspot Wi-Fi induit un risque important
• Elle suppose une période d’exposition pre-enregistrement
Le strict minimum de la sécurité wifi
• Une infrastructure adaptée ==> réglage portée
• Eviter valeurs par défaut lors de l'installation de l'AP
• Changer Mdp, désactiver broadcast
• Filtrage, mais facilement contournable :-(
• Cacher SSID, idem :-( (voir transp. suivant)
• Existe t-il des solutions plus robustes ??
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 19
Récap
• Mais attention !!
– le filtrage d'adresses MAC
• la simple observation du trafic permet de repérer des adresses
MAC autorisées et de les usurper, ce qui est trivial sur un réseau
WiFi ;
– le masquage de SSID
le nom du réseau est toujours présent en clair dans les requêtes
d'association et n'est ni nécessaire pour casser une clé WEP, ni
pour communiquer si on dispose d'une adresse MAC associée au
même moment à usurper.
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 20
Agenda
Les réseaux Wi-Fi ouverts
Suivi des clients enregistrés
Protection des stations Wi-Fi
Le cas du WEP...
Le protocole (authentification & chiffrement)
Récupération et exploitation de keystreams
• Faiblesses, Attaques ...
Sécurité : WPA, WPA2 and 802.11i
Authentification Wi-Fi
Aspects légaux
Auditer son réseau Wi-Fi
Bibliography
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 21
WEP : le protocole de chiffrement
• Chiffrement RC4
• Authentification par
challenge de chiffrement
• Somme de contrôle
CRC32 (ICV)
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 22
WEP : le déchiffrement
Etape 1 : déchiffrerEtape 1 : déchiffrer • Renverser le procédé de chiffrement
• C1’= P ⊕ RC4(IV| k)
= ([ C' | ICV(C') ] ⊕ RC4(I V|k )
= [ C' | ICV(C') ]
Etape 2 : vérifie l’intégrité du message reçuEtape 2 : vérifie l’intégrité du message reçu
Vérifier contrôle d’intégrité du plaintext déchiffré : • Calculer CRC32(C') puis ICV(CRC32(C'))
Comparer ce checksum avec celui reçu
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 23
WEP : l'authentification
L'authentification est réalisée en vérifiant que la partie qui demande à
s'authentifier possède bien la clé WEP
Le point d'accès envoie un challenge aléatoire de 128 octets à partir
duquel la station désireuse de s'associer devra construire une trame de
réponse correctement chiffrée à renvoyer.
Il suffira alors à l'AP de vérifier le bon déchiffrement de cette trame.
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 24
Les problèmes ...
• Le protocole WEP souffre de problèmes de conception
– La rotation des clés se fait sur 24 bits
• L’intégrité est vérifiée avec un CRC32
– Les données protégées fournissent des clairs connus
• L’utilisation de RC4 ne respecte pas les contraintes
• Tout ceci conduit à des attaques qui permettent de mettre à mal la sécurité
du réseau sans fil
Alors ..
WEP ou ... Weak Encryption Protocol...
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 25
Les problèmes ...
Wep n'inclue aucun mécanisme permettant d'empêcher le rejeu ou l'injection arbitraire de données;
CRC32 est généralement utilisé pour détecter erreurs transmissions ...
• CRC32 n'a pas les propriétés nécessaires pour assurer un bon contrôle d'intégrité, en particularité à cause de sa linéarité.
XOR est également linéaire
le contrôle d'intégrité ne fonctionne donc pas.
l'authentification est unilatérale.
• Un AP malicieux pourrait transformer un client en oracle en lui fournissant des messages à chiffrer sous forme de challenge
Le mécanisme d'authentification entraîne l'envoie du challenge d'abord en clair, puis chiffré.
attaque en clair connu qui nous permet d'extraire suffisament de données pour pouvoir répondre à n'importe quel challenge, et donc nous authentifier sans connaissance préalable de la clé.
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 26
Authentification ??
G le challenge et R sa réponse
R = RC4(IV|K) XOR (G|ICV(G))
RC4(IV|K) = R XOR (G|ICV(G))
Un attaquant ayant observé une authentification connait R et G et peut donc
déduire la valeur de RC4(IV | K) !!
S'il reçoit un nouveau challenge G', il calculera sa réponse R' en réutilisant le même IV et donc cette sortie de RC4 :
R' = RC4(IV|K) XOR (G'|ICV(G'))
L'authentification n'est donc pas efficace !!
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 27
Et le chiffrement ??
trois règles de basesrègles de bases dans l'utilisation de RC4 :
• ne jamais utiliser deux fois la même clé dans le même contexte ;
• jeter les 512 premiers octets de la sortie RC4 pour éviter les problèmes
liés à l'utilisation de clés faibles ;
• ne pas chiffrer plus de 2^36 octets de données avec la même clé.
Ces règles sont ils respéctées ?Ces règles sont ils respéctées ?Ces règles sont ils respéctées ?Ces règles sont ils respéctées ?
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 28
Problèmes du RC4
La seule partie changeante de la clés est l'IV
• ce qui nous donne un espace de clés de 24 bits seulement .
théorème des anniversaires
==> une collision de clé a 99% de chances de se produire après l'envoi de
seulement 12000 trames.
La première règle n'est donc pas respectée
fuites d'information utilisables pour réduire l'effort nécessaire à la
découverte de la clé.
Si deux trames C et C' sont chiffrée avec le même IV , on aura :
P = RC4(IV|K) XOR (M|ICV(M))
P' = RC4(IV|K) XOR (M'|ICV(M'))
En posant C = M|ICV(M) , on obtient :
P XOR P' = C XOR C'
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 29
Problèmes du RC4
Et La deuxième règle (clés faibles) ?
il se trouve qu'on reconnait les clés faibles à leurs trois premiers octets !!
• c'est à dire l'IV , qui est transmis en clair dans l'entête de la trame.
La simple observation du trafic permet donc de repérer les trames chiffrées
avec des clés faibles
• et ensuite d'attaquer RC4 ...
Et La troisième (clés ≠ ) règle ?
• WEP n'a aucune condition d'arrê !!
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 30
Recap : vulnérabilités du RC4
WEP présentent plusieurs vulnérabilités, dont certaines sont structurelles et
inehrente au protocole lui même :
1.Problèmes du mécanisme d'authentification,
• Problèmes de l'utilisation du CRC32 ou encore
3.Possibilités de rejeu/injection.
”Your 802.11 Wireless Network Has No Clothes” [ASW01]
Et ce n'est pas tout !!!!
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 31
Autres attaques ...
On a déjà vu qu'une faille dans le mécanisme d'authentification permettant
à un attaquant de récupérer la sortie de RC4 pour un IV donné, laquelle
pourra lui servir ensuite à calculer une réponse à un challenge arbitraire de
manière à s'authentifier sans pour autant être en possession de la clé WEP
La sortie RC4(IV|K) qu'il récupère est en effet longue de 144 octets ,
ce qui est largement suffisant pour chiffrer quelques requêtes, comme un
requête ARP ou HTTP par exemple.
• L'attaquant est donc en mesure, à partir de l'observation d'une
authentification, d'injecter des paquets cohérents dans le réseau,
pouvant ainsi commencer à le stimuler pour faire de la découverte ...
• Il sera également en mesure de déchiffrer les 144 premiers octets
de tout paquet chiffré avec l'IV en question08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 32
Autres attaques ...
On a déjà vu qu'une faille dans le mécanisme d'authentification permettant
à un attaquant de récupérer la sortie de RC4 pour un IV donné, laquelle
pourra lui servir ensuite à calculer une réponse à un challenge arbitraire de
manière à s'authentifier sans pour autant être en possession de la clé WEP
La sortie RC4(IV|K) qu'il récupère est en effet longue de 144 octets ,
ce qui est largement suffisant pour chiffrer quelques requêtes, comme un
requête ARP ou HTTP par exemple. • L'attaquant est donc en mesure, à partir de l'observation d'une
authentification, d'injecter des paquets cohérents dans le réseau,
pouvant ainsi commencer à le stimuler pour faire de la découverte ...
• Il sera également en mesure de déchiffrer les 144 premiers octets
de tout paquet chiffré avec l'IV en question
Ouawww !! mais peut ont faire mieux ?
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 33
La fragmentation 802.11 : principe
• Nous disposons de cas de clair connu et la norme nous dit que chaque
fragment de trame est chiffré individuellement
• Principe de l’attaque
– On récupère un keystream par clair connu
– On utilise ce keystream pour chiffrer des fragments d’une même trame
– L’AP réassemble et rechiffre la trame
– On récupère un keystream plus long par clair connu sur la trame émise
par l’AP
• C’est une expansion de keystream[BHL06]
Ouawww !! mais peut ont faire mieux ?
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 34
Fragmentation 802.11 : exploitation entêtes ARP, IP
Nous connaissons les 8 premiers octets pour IP et ARP, donc aumoins 8 octets de keystream (0xAAAA030000000800 et 0xAAAA030000000806)
Ok ok, mais peut on tout simpelment casser la clés ?
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 35
Tables IV / Keystream
• K étant fixe, la valeur d’un keystream ne dépend que de IV• Idée : pour chaque IV possible, on essaye de récupérer le keystream
correspondante
Nous savons déjà récupérer 140 octets
Nous pouvons générer du trafic arbitraire• tout est bon pour générer des trames dont nous sommes capables de
prédire le contenu les plus longues possibles
Nous pouvons récupérer des keystreams plus longs• Ainsi on aura construit une table associant à chaque IV la sortie RC4
correspondante sur la longueur maximale.• Une telle table représente environ 25Go mais permet de
déchiffrer/chiffrer n’importe quelle trame à la volée.
On peut accélérer l’attaque en désassociant les clients...
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 36
Plus généralement ...
• La possession d’un keystream permet :
d’injecter des données arbitraires sur le réseau
de déchiffrer des morceaux de trames chiffrées avec même keystream
• Exploiter les keystreams
C’est un attaque très efficace et facilement exploitable dont les
conséquences sont très intéressantes
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 37
Exploitation du CRC32
• Attaques par bit flipping• Une attaque courante sur les protocoles cryptographiques• On capture un contenu chiffré
On modifie des bits du contenu
On rejoue ce contenu et on observe la réaction• Concrêtement, on peut manipuler l'équation produisant le payload chiffré
lorsqu'on introduit une modification
si M'= M ⊕ Mod
P' = RC4(IV|K) ⊕ (M'|ICV(M'))
= RC4(IV|K) ⊕ (M XOR Mod|ICV(M XOR Mod))
= RC4(IV|K) ⊕ (M|ICV(M)) XOR (Mod|ICV(Mod))
= P ⊕ (Mod|ICV(Mod))
• si nous disposons d'une trame chiffrée, le calcul d'une nouvelle trame
modifiée ne dépend que de la modification qu'on veut apporter.08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 38
Exploitation du CRC32
• Attaques par bit flipping
• Une attaque courante sur les protocoles cryptographiques
• On capture un contenu chiffré
On modifie des bits du contenu
On rejoue ce contenu et on observe la réaction
• Parade ?
• Ajouter une couche de contrôle d’intégrité
Idée : compenser la somme d’intégrité...
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 39
Déchiffrement de paquet
Arbaugh publie une première attaque contre WEP[ARB01] Korek publie
une attque similaire[KO04b] avec un outil appelé Chopchop
• Capture d’une trame multicast/broadcast
• Suppression du dernier octet de données
•3Hypothèse sur la valeur de l’octet supprimé
• Construction de la trame modifié par compensation de l’ICV
• On regarde si l’AP accepte la trame
Très efficace sur les petits paquets comme ARP (10-20s par paquet).
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 40
Attaques statistiques
• En 1995, Roos et Wagner[RW95] mettent en exergue un problème dans
RC4
• Il existe des classes de clés faibles
• Elles induisent des relations entre les états internes Si
• On peut en retouver des octets en étudiant les premiers tours[MIR02]
Ce problème n’est pas pris en compte lors de la conception de WEP
• Reprise des travaux...
• En 2001, Fluhrer, Mantin et Shamir publient une attaque[FMS01]
basée sur ces travaux contre WEP, dite FMS
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 41
Description de la FMS
• Une clé faible est caractérisée par ses 3 premiers octets
• Les 3 premiers octets représentent IV
• Un IV faible est de la forme (B + 3) | 0xFF k
• Les probabilités d’avoir des IV faibles sont fortes : 1 sur 13000 pour des
clés de 40bits, 1 sur 5000 pour 104 bits...
• L’exploitation de ces résultats montrent qu’on a 5% de chances de trouver
un octet de clé si on a un IV faible
Généralisation
• 60 trames faibles sont nécessaires pour dépasser 50% de
• chances de succ`es pour un octet
On a besoin d’environ 4 millions de trames que la clé soit de 40 ou 104
bits pour dépasser 50%08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 42
Amélioration à la FMS
• En 2004, Korek publie une généralisation de la FMS[KO04a]
• L’attaque est généralisée à tous les IV
Le nombre de trames nécessaires est divisé par 2, voire 4
• En 2007, d’autres relations sont mise en exergue[KLE06] et exploitée
[PTW07]
Le nombre de trames nécessaires tombe à 40000 !
• Les 50% de chance de succès sont très rapidement dépassés !
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 43
La FMS en pratique
La mise en oeuvre la plus efficace utilise du rejeu de paquets et est publiée
par Christophe Devine avec aircrack/aireplay[AIRC]
• Capture d’une requête ARP
• Rejeu de la trame
• Génération d’une réponse
• On boucle pour augmenter le trafic et collecter des trames
• Cassage de la clé WEP par FMS
Temps de réalisation
• Récupérer une clé WEP est alors une question de minutes[WACR]
Aircrack : permet, à partir d'une capture réseau contenant suffisament de
paquets chiffrés avec des IV différents, de casser une clé en une 10e de s.
Aireplay : stimuler de réseau, soit par injection de trames arbitraires avec
les techniques précédemment évoquées, soit par rejeu de trafic. 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 44
Agenda
Les réseaux Wi-Fi ouverts
Le cas du WEP...
Sécurité : 802.11x, WPA, WPA2 802.11i
• Fonctionnement 802.11x, WPA, WPA2 802.11i
• Différences WPA // WPA2
• Failles ...
• Compatibilités
• Règles bon usage
•Evolutions ?
Authentification Wi-Fi
Aspects légaux
Auditer son réseau Wi-Fi
Bibliography
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 45
802.11x
• 802.1x ≡ WPA-EAP (ou WPA Enterprise ou EAPOL pour EAP Over Lan)
• S'applique au sans fil, mais aussi au filaire.
• Utilise un serveur d'authentification au lieu de la simple clé WEP.
• Chaque utilisateur sans fil possède ses propres login/pwd.
• L'intérêt pour une entreprise est de pouvoir réutiliser les comptes réseaux déjà existants (e.g., sur serveur LDAP ou serveur de domaine Microsoft).
• Pendant la phase d’authentification
La station ne peut accéder qu’au serveur d’authentificationTous les autres flux sont bloqués par l’AP
• Les flux vers réseau interne sont permis seulement après authentification
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 46
802.11x
• Avantages• Clé spécifique pour chaque client
• Vraie confidentialité entre client et AP• Renouvellement possible de clés
• Rend plus difficile la cryptanalyse• Usage d’un serveur d’authentification (e.g., RADIUS)
• Administration centralisée• Inconvénients
• Ecoute du trafic d’authentification• Attaque « man in the middle »• Déni de service• Complexité• Besoin d’un serveur d’authentification• Déploiement de certificats• Très nombreuses options possibles
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 47
WPA
Ne nécessite pas d'application web intermédiaire
Ne nécessite pas de période de vulnérabilité
Facile à déployer en env SOHO (e.g.,WPA-PSK avec phrasepasse )
Recommandation transitoire[WPA] de la Wi-Fi Alliance (2003) issue des
travaux en cours de l’IEEE
Pour être WPA le produit doit implémenter 802.1x & TKIP ==> WPA fournit• Nouvelle authentification basée sur PSK ou 802.1x (dit WPA-EAP)
Plusieurs méthodes d'authentification• Nouvel algorithme de génération et de rotation des clés (TKIP )• L’IV passe de 24 à 48 bits
• ... avec des vraies clés de 128 bits + MIC• Mécanisme de gestion des clés (possibilité de modifier clé ++ fois/s)• Nouvel algorithme de vérification d’intégrité basé sur SHA1 avec
séquencement appelé Michael
La solution tient la route ...08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 48
WPA (Wi-Fi Protected Access)
• Avantages
• WPA introduit un véritable concept de session, absent dans WEP
WPA adresse également les problèmes de rejeu et d'injection de trafic
• À l'issue de la phase d'authentification, chaque client se retrouve avec
une clé de session propre qui servira à initialiser TKIP (Temporal Key
Integrity Protocol) pour finalement chiffrer en RC4
Le filtrage des IVs faibles est standard
La clé est renouvelée tout les 10000 paquets
• Inconvénient
• TKIP repose toujours sur RC4 (et donc ses faiblesses)• WAP N'est pas applicable aux réseaux Ad-hoc.
• Temps de latence lors de la ré-authentification lors du passage d’une
borne à l’autre
Problème pour applis Temps Réel
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 49
WPA2 et 802.11i
• 802.11i est un standard de l’IEEE pour la sécurité Wi-Fi, ratifié en 2004.• WPA2 est une recommandation de la Wi-Fi Alliance extraite de 802.11i• WPA2 fournit
• Chiffrement au niveau liaison• RSN (Robust Security Network) : negociation paramètres de sécurité– Support des réseau Ad-Hoc– Authentification mutuelle par
• secret partagé (WPA2-PSK ou WPA2 Personal)
• 802.1x (WPA2-EAP) via un RADIUSRADIUS externe / EAP-TLS
• Gestion des clés : 4-way Handshake, Group Key Handshake, etc.
– Chiffrement avec AES ( Advanced Encryption Standard ) - CCMP
� AES: clés 128-bit, bloques 128-bit, mode “Counter” + CBC-MAC
� 48-bit Packet Number pour empêcher les rejeux
• Plus puissant que TKIP– Vérification d’intégrité par CCMP (Counter-mode/CBC-MAC Protocol ) 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 50
WPA2 et 802.11i : authentification mutuelle
• RSNA Establishment Procedures
– Network and Security Capability Discovery
– 802.11 Open System Authentication and Association
– EAP/802.1X/RADIUS Authentication
– 4-Way Handshake
– Group Key Handshake
– Secure Data Communications
• RSNA security analysis gives:
– can provide satisfactory authentication and key management
– could be problematic in Transient Security Networks (TSN)
– reflection attack could be possible if not implemented correctly
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 51
WPA2 et 802.11i : authentification mutuelle
Authentic
a-tion
Server
(RADIUS)
No Key
Authenticator
UnAuth/UnAsso
c
802.1X Blocked
No Key
Supplicant
UnAuth/UnAsso
c
802.1X Blocked
No Key
Supplicant
Auth/Assoc
802.1X Blocked
No Key
Authenticator
Auth/Assoc
802.1X Blocked
No Key
Authentic
a-tion
Server
(RADIUS)
No Key
802.11
Association
EAP/802.1X/RADIUS
Authentication
Supplicant
Auth/Assoc
802.1X Blocked
MSK
Authenticator
Auth/Assoc
802.1X Blocked
No Key
Authentic
a-tion
Server
(RADIUS)
MSK
MS
K
Supplicant
Auth/Assoc
802.1X Blocked
PMK
Authenticator
Auth/Assoc
802.1X Blocked
PMK
Authentic
a-tion
Server
(RADIUS)
No Key
4-Way
Handshake
Supplicant
Auth/Assoc
802.1X
UnBlocked
PTK/GTK
Authenticator
Auth/Assoc
802.1X
UnBlocked
PTK/GTK
Authentic
a-tion
Server
(RADIUS)
No Key
Group Key
Handshake
Supplicant
Auth/Assoc
802.1X
UnBlocked
New GTK
Authenticator
Auth/Assoc
802.1X
UnBlocked
New GTK
Authentic
a-tion
Server
(RADIUS)
No Key
Data
Communication
Supplicant
Auth/Assoc
802.1X
UnBlocked
PTK/GTK
Authenticator
Auth/Assoc
802.1X
UnBlocked
PTK/GTK
Authentic
a-tion
Server
(RADIUS)
No Key
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 52
WPA2 et 802.11i : 4 way handshake
• L'AP doit s'authentifier auprès du client• Les clés pour chiffrer le trafic doivent être générées• L'échange EAP (antérieur) fournit clés psecrête partagée PMK (Pairwise Master Key )• PMK doit s'exposer le mois possible• 4-way handshake est utilisé pour établir PTK (Pairwise Transient Key : 64 bits )
• PTK : PMK | nonce AP | nonce STA | @MAC AP | @MAC STA • The résultat est soumis à une fonction de hashage• Le handshake fournit également le GTK (Group Temporal Key ), utilisé pour chiffrer / calculer MIC pour trafic multicast
GTK + MIC
ACK
Génération PTK
PTK DerivedRandom GTK
STA AP Anonce ...
Snonce + MIC
1. AP envoie nonce à STA. Le client a mnt tous
attributs pour générer PTK
2. STA envoie nonce avec MIC à AP
3. AP envoie GTK et N° Sqce + MIC. Le N°
Sqce sera ulitisé pour trafic multicast / broadcast
==> les stations puisse détecter les rejeux
4. STA envoie confirmation à AP
�ote : PTK est utilisé pour générer 5 clés
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 53
Différences
• Très peu de différences entre WPA et WPA2
WPA ne supporte pas les liens Ad-Hoc
WPA ne possède pas la notion de RSN
WPA2 permet les réauthentification rapide en cas de roaming
WPA2 facilite la mixité des moyens de sécurité
• En dehors de cela, c’est pratiquement la même chose.
En particulier, on peut
Chiffrer en AES sur WPA
Chiffrer en TKIP avec WPA2
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 54
Qlq failles
• Des études sont été faites sur la sécurité WPA/WPA2
• On peut retrouver une PSK faible (<20 chars)[MOS03]
• L’injection de demande d’authentification écroule l’AP[HM04] (DoS)
• L’abus des contre-mesure contre le rejeu bloque le réseau (DoS)
• Attaque contre la TEK dans TKIP en 2105[MRH04] sans
exploitation pratique
• Le trafic de gestion n’est toujours pas protégé
Cependant, rien ne vous prot`ege d’attaque en DoS physique (réservation
de bande passante, brouillage)
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 55
Compatibilité WPA
• Support WPA dans les OS du marché
Windows XP SP1 + Patch (Windows Update)
Windows XP SP2, Vista et 2003
Windows Mobile 2003 SE and 5.0
Autres Windows avec wpa supplicant autre client tierce-partie
MacOS X 10.3
La plupart des drivers Linux avec wpa supplicant
NetBSD et FreeBSD avec wpa supplicant
Support AP pour Linux et FreeBSD hostapd
• Pas de support sous OpenBSD
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 56
Compatibilité WPA2
Support WPA dans les OS du marché
Windows XP SP2 avec patch
Windows 2003 avec patch
Windows Vista
Autres Windows avec wpa supplicant ou autre client tierce-partie
MacOS 10.4
La plupart des drivers Linux avec wpa supplicant
NetBSD et FreeBSD avec wpa supplicant
Support AP pour Linux et FreeBSD avec hostapd
Pas de support sous OpenBSD
fabricants seulement proposent des matériels agréés WPA2
Cisco, Intel (dont les chipset Centrino), Broadcom, Realtek, Atheros et
Instant802 Networks, RaLink
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 57
C/C
Alors ?
Les portails ne sont pas une bonne solution
Ni pour les clients
Ni pour les gestionnaires de réseau
WEP qui est cassé depuis longtemps et ne protège de rien
Les solutions sont là...
802.1x pour l’authentification
WPA/WPA2 pour la protection de la session
Vous n’avez pas confiance en WPA ou WPA2 ? Utilisez IPSEC !
AES = algorithme de chiffrement standard du gouvernement américain
• AES (requis par 802.11i) est obligatoire dans certification FIPS-140-2
• FIPS-140-2 est exigée dans marchés gouvernementaux américains et par
++ entreprises internationales dans appels offre sécurité
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 58
Rappel des règles de bon sens
• Positionner correctement les AP• Bien régler la fréquence• les AP ne doivent pas être liés aux réseaux de câbles,
• désactiver la diffusion du SSID dans les AP, et activer le masquage du SSID,
• désactiver la communication client-client dans le AP,
• changer les paramètres par défaut des AP (le SSID, les pwd, l’@ IP, etc.),
• mettre à jour en temps réel le firmare des AP et des cartes sans fil,
• activer le contrôle d’accès au niveau MAC & IP (activer les deux),
• activer le chiffrement ( min de 128 ou de 256-bits),
• éviter l’utilisation des clés secrètes WEP faciles à déviner,
• utiliser les AP gérant le WPA / WPA2 (TKIP, AES et 802.1X),
• désactiver le protocole DHCP sur les réseaux WLAN, surtout pour étendues des @
• observer la création de nouveaux AP car le pirate peut installer un AP jumeau
• vérifi er si les employés n’installent pas des AP sans autorisation,
• installer un faux point d’accès, afin de tromper l’adversaire,
• sécuriser les AP contre un accès physique (... pirate qui remet params par défaut)
•
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 59
Rappel des règles de bon sens
Sécuriser toutes les stations clientes et tous les serveurs (fermeture ports inutiles,
pare-feu, IDS); malheuresement, certains logiciels clients (p. ex., 3Com) stockent la
clé WEP sous la forme non codée dans le registre Windows
IDS / firewall• analyse des numéros de séquence, types bizarres des trames, @ de diffusion
générale (broadcast), @ MAC bizarres sur le réseau, par ex préfixes OUI
(Organizationally Unique Identifier) non accordés par IEEE,
Mettre en route les mécanismes classiques de sécurité• IPSec, VPN, architecture sécurisé ...
Les drivers Wi-Fi présentent des failles...
On peut atteindre le client directement
L’attaque visant le driver, on ne peut pas la filtrer
Le driver écoute qu’il soit associé ou non
Beaucoup de travaux en ce moment, et pas mal de failles découvertes[BUT07]
Surface vulnérable ?
Tout ordinateur avec un carte Wi-Fi active...
les utilisateurs des réseaux WLAN doivent être authentifiés (VPN, SSH, 802.1X ...)08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 60
C/C : évolutions
La normalisation arrive enfin à maturité
Transfert problème / solutions des bornes vers les commutateurs/Serveurs
Administration centralisée
Attitude active et automatique face aux attaques
Produits dimensionnés / adaptables pour l’entreprise
• Conformes avec les normes en vigueur
• Fournissant des services adaptés aux besoins des entreprises
Mais attention ...
• Des failles dans les implémentations sont toujours possibles
• Des failles dans la configuration sont très souvent présentes
Qls défis
• QoS, DoS, facilité admin, ...
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 61
Agenda
Les réseaux Wi-Fi ouverts
Le cas du WEP...
Sécurité : WPA, WPA2 and 802.11i
Servers d'Authentification Wi-Fi
• Architectures d'authentification wifi
• EAP
• Protocoles d'authentification wifi : Vue d'ensembl e
• RADIUS
Aspects légaux
Auditer son réseau Wi-Fi
Bibliography
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 62
Rappels : Archi d'authentification WPA2
WPA Personal
• permet de mettre en oeuvre une infrastructure sécurisée basée sur le WPA sans mettre en oeuvre de serveur d'authentification.
• Repose sur l'utilisation d'une clé partagée, appelées PSK pour Pre-shared Key, renseignée dans le point d'accès ainsi que dans les postes clients.
• Contrairement au WEP, il n'est pas nécessaire de saisir une clé de longueur prédéfinie. En effet, le WPA permet de saisir une « passphrase », traduite en PSK par un algorithme de hachage.
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 63
WPA Enterprise • impose l'utilisation d'une infrastructure d'authentification 802.1x basée sur l'utilisation d'un serveur d'authentification, généralement un serveur RADIUSRADIUS (Remote Authentication Dial-in User Service), et d'un contrôleur réseau (le point d'accès). • Actuellement ce qu’il y a de plus sûr en terme de sécurité.
WPA s'appuie sur la famille 802.1x et le protocole EAPEAP, extension du protocole PPP (Point-to-Point Protocol), qui peut supporter de nombreux mécanismes d’authentification
cartes à jeton,
mots de passe à usage unique
authentification par clé publique / cert – utilisation cartes à puce.
Rappels : Archi d'authentification WPA2
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 64
EAP (Extensible Authentification Protocol)
L'authentification générée par WPA 2 est considérée comme forte quand
elle est couplée à EAP,
EAP authentifie le point d'accès avant de connecter l'utilisateur.
L'U fournit cert que lui a transmis le point d'accès, qui en vérifie la validité
EAP est conçu pour transporter des scénarios d'authentification
4 types de messages
requête, réponses, succès, Échec
3 catégories d'acteur Supplicant : poste demandant accès réseau Authenticator : dispositif Wi-Fi relai (également client RADIUS) Serveur authentification : serveur implémentant solution RADIUS
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 65
EAP (Extensible Authentification Protocol)
EAP-MD5EAP-MD5
• Client (C) authentifié par Serveur (S) en utilisant mécanisme défi-réponse
S envoie valeur aléatoire (défi),
• C calcul MD5 (défi | pwd) qu’il renvoie au serveur.
S, qui connaît pwd, calcule sa propre empreinte, compare et valide ou non
Ecoute trafic + attaque dictionnaire ==> trouver pwd
LEAPLEAP (Lightweight EAP)
• méthode propre à Cisco
• Utilisation secrets partagés pour authentifier mutuellement S et C
Elle n'utilise aucun certificat et est basé sur l'échange de défi et réponse
EAP-TTLS (tunneled Transport Secure Layer)
utilise TLS comme un tunnel pour échanger des couples attribut valeur à la
manière de RADIUS11 servant à l’authentification. 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 66
EAP (Extensible Authentification Protocol)
PEAP (Protected EAP)• très semblable à EAP-TTLS mais développé Microsoft• Se sert d’un tunnel TLS pour faire circuler de l’EAP • On peut alors utiliser toutes les méthodes d’auth. supportées par EAP
EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)• C’est la plus sûre. • S et C ont leurs certificats qui va servir à les authentifier mutuellement
Auth C peut se faire de différentes façons :
A l’aide d’un certificat personnel associé à la machine,
l’authentification a lieu au démarrage de la machine.
A l’aide d’un certificat personnel associé à l’utilisateur
l’authentification a lieu après l’entrée en session ("logon") de l’utilisateur.
Relativement contraignant car nécessité déployer PKI / IGC
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 67
EAP : recap
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 68
Exemple de protocoles d'authentification
Architecture AAA (Authentification Authorization Accounting)
Principaux protocoles d'authentification :
• TACACS, TACACS+, XTACACSTACACS, TACACS+, XTACACS
• Assez rependus, utilisent TCP
ne sont pas des standards
• KerberosKerberos
• Standard, dans Win 2000/3 Active Directory,
déploiement/interopérabilité complexe
RADIUSRADIUS (Remote Authentification Dial In User Service)
• Standard, S'appuie sur UDP
... Le plus approprié
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 69
RADIUS : propriétés
Protocole de transport des infos d'authentification
Standard : RFCRFC (2138 : aspect authentification, 2139 : suivi activités).
Gratuit, et son code est public et c'est un protocole ouvert.
Fonctionnement basé sur C/S chargé de définir accès utilisateurs distants • Serveur RADIUS (sous Win/Linux) relié à une base d'identification• Client RADIUS appelé NAS (Network Access Server ) faisant office
d'intermédiaire entre l'utilisateur final et le serveur.
UDP ==> Fiabilité transport• port UDP 1645 pour authentification 1646 pour suivi activités
L'∑ transactions est chiffré et authentifiée grâce à une clé partagée• Mécanisme utile lorsqu'une entreprise veut externaliser la gestion de
l'accès distant tout en gardant le contrôle sur sa sécurité.
Un serveur RADIUS peut jouer rôle de client pour un autre serveur RADIUS
++ possibilités: succès/échec tentative d'authentification peut dépendre du :• serveur d'accès depuis lequel requête a été envoyée, heure, jour, @IP
Possiblilité de définir restrictions pour transactions / ajouter fonctionalités
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 70
RADIUS : ex de fonctionnement globale
Le NAS envoie la requête de connexion par
l’utilisateur x.
Le serveur interroge le LDAP de l’école pour vérifier
l’identité du client.
L’authentification a-t-elle fonctionné.
Le serveur renvoie ACCEPT ou REJECT au NAS
Si l’authentification est réussie, le NAS laisse passer
le client vers le réseau et ce dernier obtient une
adresse IP grâce au serveur DHCP.
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 71
RADIUS : fonctionnement
1 Utilisateur qui souhaite établir connexion, contacte serveur d'accès distant :
remote access server (RAS) ou network access (NAS) qui est client RADIUS
L'utilisateur envoie une requête au NAS afin d'autoriser une connexion à
distance au serveur d'accès (requête de type access-request) : son login et
son mot de passe.
Le NAS achemine la demande au serveur RADIUS
Le serveur RADIUS consulte la base de données d'identification afin de
connaître le type de scénario d'identification demandé pour l'utilisateur.
RADIUS retourne une des quatre réponses suivantes :• ACCEPT : l'autorisation est acceptée, des informations supplémentaires
comme l'adresse IP ou le masque de réseau sont envoyées.• REJECT : le nom d'utilisateur et le mot de passe sont erronés.• CHALLENGE : le serveur souhaite plus d'informations• CHANGE PASSWORD : le serveur demande un nouveau mot de passe
Après avoir sélectionné un protocole d'authification, il faut déterminer la
manière dont on va s'authentifier.• pwd statique, OTP, carte à puce, clé USB, biométrie, ...
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 72
RADIUS : cas d'1 auth. Par pwd dynamique
Serveur envoie un challenge (numéro) à l'utilisateur.
L'utilisateur génère un nouveau pwd en utilisant son authentificateur
L’utilisateur envoie ensuite un access-request contenant le pwd généré.
Serveur vérifie infos reçues et renvoie : access-accept ou access-reject
Clients autorisés à émettre requête vers serveur sont identifiés par @IP et clef
partagée (secret).
Chiffrement pwd : MD5 (secret) XOR pwd
Note
Un certain nombre de fonctions de suivi d'activité sont définies dans la
norme (accounting-request/accounting-response).
Suite à la phase dite d'authentification débute une phase d'autorisation
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 73
RADIUS :choix solutions
FreeRADIUS
* Aradial WiFi
* Bridgewater Wi-Fi AAA
* Cisco Secure Access Control Server
* Funk Odyssey
* IEA RadiusNT
* Infoblox RADIUS One Appliance
* Interlink Secure.XS
* LeapPoint AiroPoint Appliance
* Meetinghouse AEGIS
* OSC Radiator
* Vircom VOP Radius
... 08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 74
Agenda
Les réseaux Wi-Fi ouverts
Le cas du WEP...
Sécurité : WPA, WPA2 and 802.11i
Authentification Wi-Fi
Limites
Aspects légaux
Auditer son réseau Wi-Fi
Bibliography
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 75
Aspects légaux
Chercher à s'introduire dans un SI tombe sous le coup de la loi Godefrain:
"Quiconque, frauduleusement, aura accédé ou se sera maintenu dans tout ou
partie d'un système de traitement automatise de données sera puni d'un
emprisonnement de 2 mois à un an et d'une amende de 2 000 F à 50 000 F ou
de l'une de ces 2 peines seulement."
Le seul fait d'entrer dans le système sans qu'il y ait lieu à considérer le but
poursuivi ou les conséquences possibles, est incriminable en temps que tel.
Le maintien volontaire dans un système d'autrui est incriminable.
Exemples :
Piratage d'un compte d'un autre utilisateur en utilisant un faux login
Tentative de connexion à un système en utilisant combinaisons login/pwd
Recherche d'infos afin de contourner mécanismes sécurité.
Bien entendu, rien ne vous empêche de tester la sécurité de votre réseau afin
de corriger les éventuelles failles de ce dernier.
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 76
Agenda
Les réseaux Wi-Fi ouverts
Le cas du WEP...
Sécurité : WPA, WPA2 and 802.11i
Authentification Wi-Fi
Limites
Aspects légaux
Auditer son réseau Wi-Fi
Bibliography
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 77
Diagnostic vulnérabilités
� Netstumbler (Win, PDA, Pocket PC), Kismet (Linux, Win 32)
- Découverte des réseaux Wi-Fi sous windows
- Couplé avec un GPS, il est possible de réaliser des cartes.
� Ethereal (win, Linuw), tcpdump, airodump
- Une fois la libpcap à jour, ils peuvent écouter/scanner/capturer le 802.11
� Airjack, Aeropeek.exe (Win)
- injection paquets / forger trames désauthentification/désassociaon
� Aireplay
- envois paquets afin de stimuler le reseau et capturer plus de paquets
� Aircrack
- à partir des infos capturées à l'aide d'airodump va trouver la clef
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 78
Agenda
Les réseaux Wi-Fi ouverts
Le cas du WEP...
Sécurité : WPA, WPA2 and 802.11i
Authentification Wi-Fi
Limites
Aspects légaux
Auditer son réseau Wi-Fi
Bibliography
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 79
Biblio
Travaux de Cédric Blancher•[IEEE04a] IEEE Std 802.1x, Port-Based Network Access Control, 2004, http://standards.ieee.org/getieee802/download/802.1X-2004.•[IEEE99] ANSI/IEEE Std 802.11,Wireless LAN Medium Access Control and Physical Layer Specifications, 1999, http://standards.ieee.org/getieee802/download/802.11-1999.•[IEEE04b] IEEE Std 802.11i, Medium Access Control Security Enhancements, 2004, http://standards.ieee.org/getieee802/download/802.11i-2004.[WPA] Wi-Fi Protected Access, http://www.wi-fi.org/OpenSection/protected access archive [WPA2] Wi-Fi Protected Access 2, http://www.wi-fi.org/OpenSection/protected access.asp[RW95] A. Roos and D.A. Wagner, Weak keys in RC4, sci.crypt Usenet newsgroup[WAL00] J. Walker, Unafe at any key size ; An analysis of WEP encapsulation, 2000,
http://www.dis.org/wl/pdf/unsafew.pdf•[ASW01] W.A. Arbaugh, N. Shankar and Y.C.J. Wan, Your 802.11 Wireless Network Has No Clothes, 2001, http://www.cs.umd.edu/∼waa/wireless.pdf•[FMS01] S. Fluhrer, I. Mantin and A. Shamir, Weaknesses in the Key Scheduling Algorithm of RC4, 2001, http://www.drizzle.com/∼aboba/IEEE/rc4 ksaproc.pdf[MIR02] I. Mironov, (Not so) Random shuffles of RC4, 2002,
http://eprint.iacr.org/2002/067.pdf[MOS03] R. Moskowitz, Weakness in Passphrase Choice in WPA Interface, 2003,
http://wifinetnews.com/archives/002452.html•[HM04] C. He and J.C. Mitchell, 1 Message Attack on 4-Way Handshake, 2004, http://www.drizzle.com/∼aboba/IEEE/11-04-0497-00-000i-1-
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 80
Biblio
[MRH04] V. Moen, H. Raddum and K.J. Hole, Weakness in the Temporal Key Hash of WPA, 2004,http://www.nowires.org/Papers-PDF/WPA attack.pdf[KLE06] A. Klein, Attacks on the RC4 stream cipher, http://cage.ugent.be/∼klein/RC4/RC4-en.ps[BHL06] A. Bittau, M. Handley and J. Lackey, The Final Nail in WEP’s Coffin,http://www.cs.ucl.ac.uk/staff/M.Handley/papers/fragmentation.[DNG06] L.K Deleuran, T.L Nielsen and H. Gammelmark, Insecurity of the IEEE 802.11 Wired Equivalent Privacy (WEP) standard, http://www.daimi.au.dk/∼ivan/cryptology-wep.pdf[PTW07] A. Pyshkin, E. Tews and R.P. Weinmann, Breaking 104 bit WEP in less than 60 seconds,http://eprint.iacr.org/2007/120.pdf[ABOB] Bernard Aboba, The Unofficial 802.11 Security Web Page, http://www.drizzle.com/∼aboba/IEEE/[WIFI] Wi-Fi Alliance, http://www.wi-fi.org/[MISC] MISC Magazine, http://www.miscmag.com/[WACR] Cracking WEP in 10 minutes with WHAX, http://sid.rstack.org/videos/aircrack/whax-aircrack-wep.C´[ARB01] W.A. Arbaugh, An Inductive Chosen Plaintext Attack against WEP/WEP2, 2001,http://www.cs.umd.edu/∼waa/attack/v3dcmnt.htm[BLA02] C. Blancher, Switched environments security, a fairy tale, 2002,http://sid.rstack.org/pres/0207 LSM02 ARP.pdf[BLA03] C. Blancher, Layer 2 filtering and transparent firewalling, 2003,http://sid.rstack.org/pres/0307 LSM03 L2 Filter.pdf[KO04a] Korek, http://www.netstumbler.org/showthread.php?p=89036[KO04b] Korek, Chopchop, http://www.netstumbler.org/showthread.php?t=12489
08/01/08 Anas Abou El Kalam - Sécurité Wi-Fi 81
Biblio
[MRH04] V. Moen, H. Raddum and K.J. Hole, Weak[BUT07] L. Butti, Wi-Fi Advanced Fuzzing,http://www.blackhat.com/presentations/bh-eu-07/Butti/Presentation/[AIRC] C. Devine, Aircrack, http://www.cr0.net:8040/code/network/aircrack/[AIRP] Airpwn, http://www.evilscheme.org/defcon/[ARPS] Arp-sk, http://sid.rstack.org/arp-sk/[EBT] Ebtables, http://ebtables.sourceforge.net/[HAP] Hostap Linux driver, http://hostap.epitest.fi/[HAPD] Hostapd authenticator,http://hostap.epitest.fi/hostapd/[MADW] Madwifi project, http://madwifi.sourceforge.net/[NSTX] Nstx, http://nstx.dereference.de/nstx/[OZY] OzymanDNS, http://www.doxpara.com/ozymandns src 0.1.tgz[PR54] Prism54 Linux driver, http://prism54.org/[PYTH] Python, http://www.python.org/[RT25] RT2500 Linux driver, http://rt2x00.serialmonkey.com/[RTL8] RTL8180 Linux driver, http://rtl8180-sa2400.sourceforge.net/[SCAP] Scapy, http://www.secdev.org/projects/scapy/[WLAN] Linux Wlan-ng, http://www.linux-wlan.org/[WPAS] Wpa supplicant, http://hostap.epitest.fi/wpa supplicant/[WTAP] Wifitap, http://sid.rstack.org/index.php/Wifitap EN[ISCD] ISC Handler’s Diary, http://isc.sans.org/diary.php?date=2005-06-26