Livebox : cryptage WPA TKIP menacé ?

[Pang]

Bonjour,

 

Une livebox avec cryptage WPA TKIP et un passphrase de 63 caractères divers et variés, filtrage MAC activé.

Livebox inventel, ce qui implique d'appuyer physiquement sur un bouton (à l'arrière de la LB) pour qu'un nouveau périphérique wifi s'y connecter et s'identifier.

DHCP est activé sur la plage 192.168.198 > 192.168.1.201

 

Hier soir, je vois dans airodump-ng une adresse MAC inconnu. Dans wireshark, je vois des envoies massif de deauth.

2 minutes après, airodump m'informe que la station est associée auprès de ma livebox...

Dans l'interface de gestion de ma livebox, dans périphériques associés, l'adresse MAC de l'intrus n'apparait pas !

Quelques secondes après, une nouvelle adresse IP apparait sur mon réseau (192.168.1.251).

 

Sur mon poste windows, la nouvelle adresse MAC est effectivement dans la table !!! (arp -a)

L'adresse MAC de l'intrus ne correspond à aucun fabricant.

 

Complètement affolé et sidéré, j'ai éteint le module wifi de la livebox. Je suis resté jusqu'à 2 heures du mat devant airodump, mais l'intrus à disparu et je ne vois plus que des MAC déjà connu.

 

Renseignements pris auprès de quelques geeks, il semblerait que pour le moment seule l'attaque par dictionnaire puisse marcher contre WPA TKIP; mais avec 63 caractères aléatoires, je me demande comment cela est possible.

 

De plus, normalement, il aurait fallu que l'intrus spoof une adresse MAC déjà déclaré dans les périphériques associés de la LB pour pouvoir accéder à la box; ce qui n'est pas le cas, puisque l'adresse MAC inconnu et non déclarée dans les périphériques associés de la LB était bien présente dans la table MAC du PC.

 

A mon niveau de connaissance, ce qui c'est passé reste un très grand mystère et je ne sais pas quoi en penser si ce n'est qu'il faut tout de même vachement toucher du clavier pour arriver à faire un truc comme ça, non ?

Modifié le 2 juillet 2009 par Pang

[Greywolf]

oui, l'envoi massif de deauth est une technique pour forcer la réassociation des clients légitimes et obtenir la négociation WPA.

 

Ensuite, en effet c'est du brute force en mode déconnecté pour tenter d'obtenir la clé WPA.

Quant à l'adresse MAC, elle est facilement spoofable pour faire croire à la livebox qu'on est un client légitime (y'a même des trucs automatiques pour faire de l'ARP poisoning et rediriger le trafic par chez soi)

 

Des Live CD tout-en-un permettent de faire ça, même sans connaissance particulière...

[Pang]

D'accord, mais même avec le handshake, il faudrait plusieurs années avec un super bon dico pour trouver les 63 caractères (enfin jusqu'à présent)

Quant à l'adresse MAC, elle est facilement spoofable pour faire croire à la livebox qu'on est un client légitime

Toujours d'accord, mais à ce moment la, pourquoi cette MAC inconnu est dans la table de mon PC ? C'est pas logique, non ?

Si l'intrus avait spoofé une MAC existente de mon réseau, alors cette MAC inconnu n'aurait pas du se trouver dans ma table; Tu vois ce que je veux dire ?

 

y'a même des trucs automatiques pour faire de l'ARP poisoning et rediriger le trafic par chez soi

Oui, je connais un peu ettercap-ng que j'ai déjà pratiqué, mais toujours pareil, la vraie MAC n'apparait pas sur le réseau, puisque je spoof l'adresse du point d'accès.... Modifié le 2 juillet 2009 par Pang

[Greywolf]

Si l'intrus avait spoofé une MAC existente de mon réseau, alors cette MAC inconnu n'aurait pas du se trouver dans ma table; Tu vois ce que je veux dire ?

 

pas forcément, arpspoof peut uniquement cibler certaines machines du réseau (ce qui fait que l'on détourne uniquement le flux réseau d'une machine en particulier et non pas l'intégralité du réseau => ou comment se faire un DoS sur soi même)

 

L'adresse MAC de l'intrus ne correspond à aucun fabricant.

tu as essayé http://coffer.com/mac_find/ ?

[Pang]

tu as essayé http://coffer.com/mac_find/ ?

Pratique cette page > marque page.

Mais "No matches found for "00-8e-03""

 

Alors modifier son adresse MAC en une qui n'existe ni dans la liste des constructeurs mais surtout qui n'existe pas sur mon réseau < je reste perplexe, parce que je comprends pas l'intérêt...

 

Y'a quelque chose qui colle pas dans cette histoire et je suis vraiment tracassé.

 

Je n'utilise plus ce fournisseur orange et sa livebox depuis quelques mois (mais c'est Pang qui paye) et donc je ne sais plus trop ce qui s'y passe.

Autour de chez moi, il y a encore plusieurs points d'accès en WEP, alors pourquoi se faire chier avec un WPA ?? Parce que franchement, même si sur le papier c'est possible à casser, dans la réalité, handshake en main si j'ose dire, si t'as pas le bon dictionnaire avec ma clef de 63 caractères dedans, ça risque de prendre plusieurs années² (ça doit pouvoir se calculer d'ailleurs).

Enfin, c'est ce que je pensais jusqu'à hier...

Et puis, depuis combien de temps ça dure cette histoire ?

 

Hier, après le coup de chaud, j'ai branché un pc sur la prise ethernet de la box et fait tourner wireshark en promiscuous mode, kismet airodump et wireshark en mode monitor sur deux autres machines avec une antenne omni + une yagi (pendant 24 heures)

Plus trace d'intrus dans les alentours, activité wifi classique, quelques téléphones et ordinateur portables de passages...

Ou le malveillant s'est déguisé en quelque chose et s'est trouvé un point d'accès moins regardant...

 

oui, l'envoi massif de deauth est une technique pour forcer la réassociation des clients légitimes et obtenir la négociation WPA.

Ensuite, en effet c'est du brute force en mode déconnecté pour tenter d'obtenir la clé WPA.

J'ai pas compté, mais environ 8 minutes entre les paquets deauth et la connexion sur le réseau... ça laisse songeur sur la faisabilité du truc.

Sauf si gars avait déjà en sa possession le passphrase, mais à ce moment là, il n'aurait pas eu besoin de de-authentifier les stations.

Modifié le 2 juillet 2009 par Pang

[Pang]

Bon, les geeks genre blackhats vont a peu près tous dans le même sens : c'est pas possible !!

 

Nouvel élément au dossier, je me suis rendu compte que l'ordinateur portable qui utilise cette livebox avait la carte wifi en mode partagé (partage de connexion internet). Lorsque j'ai paramétré ce portable Vista, je n'ai évidemment pas activé ce partage de connexion et la personne qui l'utilise habituellement se contente de lire ces mails, aller sur msn, facebook et venteprivé.com, et c'est tout.

Il faut tout de même faire quelques contorsions pour activer ce partage sur Vista.

 

Je ne sais pas si ça peut être un point d'entrée dans le réseau, parce que la carte wifi est en infrastructure, pas en ad-hoc (et je ne crois pas qu'il soit possible qu'elle fasse les deux en même temps)...mais on ne peut pas être au courant de tous les exploits et scripts qui circulent sur la toile.