Premier cassage de WPA ... la sécurité du Wi-Fi en question

Durant la conférence PacSec de Tokyo qui s’est déroulée les 12 et 13 novembre 2008, une nouvelle méthode pour casser partiellement WPA est apparue. Une quinzaine de minutes suffisent !

Dès sa conception, la technologie Wi-Fi était par nature plus exposée à la malveillance car la connexion physique au réseau n’était pas nécessaire puisque le Wi-Fi repose sur une communication par ondes hertziennes. Afin de palier à cette problématique, WEP (Wired Equivalent Privacy) a été créé. Mais rapidement, il a démontré des erreurs de conception qui ont débouché sur la possibilité de casser WEP rapidement (moins de 30 minutes) après la capture de quelques centaines de milliers de paquets.Heureusement, WPA était alors déjà disponible et bien plus sécurisé. En résumé, la sécurité de WPA repose sur une PSK (Pre-Shared Key), à savoir une clé (en fait un mot de passe) de longueur variable entre 8 et 256 bits qu’il fallait craquer selon la méthode traditionnelle de l’attaque par force brutale.Par conséquent, et malgré des annonces à sensation encore récentes (telles celle de la société ElcomSoft qui, par l’exploitation des processeurs graphiques NVidia a pu multiplié par 100 ou même 10.000 la puissance de calcul), le temps nécessaire pour une clé de taille respectable était encore de plusieurs centaines d’années.Cependant, durant la conférence PacSec de Tokyo qui s’est déroulée les 12 et 13 novembre 2008, une nouvelle méthode pour « casser » partiellement WPA [1] est apparue, réduisant des centaines d’années de calcul à environ…une quinzaine de minutes.

Comprendre WPA

Avant tout, il faut savoir que WPA est implémenté au dessus de WEP. Cela signifie par conséquent que WEP pouvant être cassé, la sécurité de WPA ne peut compter que sur elle-même. Il faut également comprendre que WPA n’est qu’une solution intermédiaire développée pour palier rapidement à toutes les faiblesses découvertes avec WEP. Par conséquent une des contraintes était que les solutions mises en œuvre dans WPA devaient pouvoir être installées dans les équipements existants (par mise à jour BIOS par exemple). Sans ces contraintes, on aurait pu passé, pour ainsi dire, de WEP à WPA2 d’un coup, permettant ainsi d’utiliser directement AES-CCMP (Counter-Mode/CBC-Mac protocol) plutôt que TKIP (Temporal Key Integrity Protocol) pour assurer le chiffrement et l’intégrite des échanges. À ce jour, CCMP est considéré comme sécurisé et approuvé par le NIST (National Institute of Standards and Technology).En résumé, WPA est donc un protocole TKIP supplémentaire et c’est précisement au niveau de ce protocole que l’attaque va se faire, d’une manière très proche du cassage de WEP par la méthode dite « chopchop ». TKIP, qui fonctionne d’une manière très similaire aux mécanismes de WEP mais en plus complexe, doit en fait mélanger une clé de session avec un vecteur d’initialisation pour chaque paquet transmis, empêchant ainsi les attaques classiques de découverte de clé.De plus, 64 bits supplémentaires, appelés MIC (Message Integrity Check) ou Michael, sont ajoutés au paquet dans le but d’empêcher les attaques sur le checksum CRC32, pratique connue avec le WEP. Par ailleurs, afin d’empêcher les attaques de replay, un compteur de séquence (TSC) est utilisé pour garantir l’arrivée séquentielle des paquets.La technique d’attaque « chopchop » ayant déjà été éprouvée avec le WEP, TKIP met également en place à ce niveau des contre mesures. Ainsi, si un paquet est reçu avec un ICV incorrect, le paquet est détruit. Si l’ICV est correct mais que le MIC ne l’est pas, alors le paquet est considéré comme une attaque et une réponse « MIC failure report frame » est renvoyée. Si deux paquets ainsi incorrects sont reçus, alors la communication est rompue pendant 60 secondes et toutes les clés renégociées après ce délai. Enfin, lors de la réception d’un paquet valide, le TSC (TKIP Sequence Counter) du canal correspondant est mis à jour et, si un paquet avec un TSC inférieur est reçu, le dit paquet sera jeté.

« Casser » WPA

Erik Tews, étudiant à l’Universite de Darmstadt, associé à Martin Beck de l’Université de Dresden, déjà connu pour sa participation dans Aircrack, outil destiné à casser du Wi-Fi, ont découvert une faiblesse dans l’implémentation de TKIP, qu’ils ont réussi à exploiter avec succès.Avant tout, il existe des contraintes pour que l’attaque puisse réussir :

il est nécessaire que le point d’accès fonctionne en s’appuyant sur TKIP ;
le point d’accès doit reposer sur IPv4 et dans un plan d’adressage où les adresses (souvent RFC1918) sont connues, permettant ainsi de déduire la plus grande partie du codage des adresses IP ; à ce niveau, une précieuse source d’information sera la documentation du point d’accès car souvent si la sécurité est modifiée, les plans d’adressage par défaut le sont moins ;
l’intervalle de renouvellement des clés doit être long, par exemple une heure (3.600 secondes). À nouveau, la documentation de l’équipement permettra d’avoir la configuration par défaut, la plus souvent appliquée ;
idéalement, le réseau doit supporter la fonction de Qualité de Service IEEE 802.11e qui permet jusqu’à 8 canaux différents entre le point d’accès et une machine spécifique sur le réseau.

En pratique, la personne malveillante va capturer des paquets jusqu’à ce qu’elle tombe sur un paquet de requête ARP (ARP request) chiffré ou sa réponse, ceux-ci étant caractérisés par une très petite taille dont 28 octets forment la requête ARP selon un format défini. Dans ce type de paquet (qui ne contient que des adresses IP et MAC où les adresses MAC ne sont pas chiffrées et le paquet envoyé vers une adresse de broadcast), la plupart du contenu en clair (plaintext) du paquet est donc aisément devinable par le pirate. Il ne lui manquera en fait que les informations suivantes : les 8 octets de Michael (MIC) et les 4 octets du checksum ICV, lesquels formeront les derniers 12 octets de la partie claire du message.Partant de là, le pirate peut alors lancer son attaque de type « chopchop » modifiée afin de décoder les octets manquants. Comme nous l’avons expliqué précédemment dans « Comprendre WPA », TKIP dispose de contre mesures pour lutter contre ce type d’attaque, mais celle-ci reste possible en s’appuyant sur la fonction de Qualité de Service qui permet de disposer de 8 canaux pour la même relation « point d’accès-ordinateur ». En effet, la personne malveillante peut alors utiliser ces autres canaux, particulièrement ceux encore peu utilisés où le trafic est bien moindre afin de disposer d’un TSC bien inférieur, pour continuer son attaque.Pour chaque paquet envoyé qui sera rejeté par un paquet « MIC failure report frame », il faudra patienter 60 secondes afin d’éviter que le point d’accès n’enclenche ses contre mesures.Ainsi, dans un laps de temps de 12 minutes, le pirate est donc à même de décoder les derniers 12 octets du paquet (le MIC et l’ICV). Il ne lui reste plus qu’à déterminer les adresses IP source et destination par force brutale en les comparant avec l’ICV déchiffré.Une fois que le contenu en clair du paquet et le MIC sont connus, il suffit alors de lancer l’inverse de l’algorithme MIC pour en déduire la clé MIC utilisée pour le chiffrement des paquets. C’est ici que réside la deuxième faiblesse du système du fait que l’algorithme Michael est réversible et tout aussi performant à l’envers qu’à l’endroit.À partir d’ici, le pirate dispose de la clé MIC. Il est donc capable d’utiliser les autres canaux de communication (en général seul le canal 0 est employé). Une fois l’attaque réussie, il devient possible de décoder une nouvelle clé en environ 4 ou 5 minutes, ouvrant ainsi la porte à des actions visant à perturber le point d’accès ou même tenter d’établir des sessions.

Quels risques ?

Il ne faut pas dramatiser : non, WPA n’est plus l’équivalent de WEP, à savoir une couche qui ne garantit plus la confidentialité des échanges. Ici, le succès de cette technique permettra de pouvoir insérer des paquets qui perturberont, jusqu’au déni de service, le point d’accès ou sa communication avec une machine particulière. Le pirate pourrait réussir, sous certaines conditions, à rerouter le trafic par des faux paquets ARP. Cependant, il n’est pas encore ici question de décoder la PSK de WPA, et par conséquent, le risque n’est pas aussi fort qu’avec WEP qui, lui, est complètement cassé.

Conclusion

Avec le temps qui passe, utiliser du Wi-Fi devient de plus en plus risqué, même s’il est ici assez simple d’empêcher ce type d’attaque. En effet, en définissant un délai de 1 ou 2 minutes de renouvellement de la clé, le pirate ne dispose plus d’assez de temps matériel pour réussir. Une autre stratégie consisterait à ne pas renvoyer de paquet « MIC failure report frame », ce qui empêcherait le pirate de détecter le moment où il doit patienter 60 secondes avant de continuer pour ne pas voir les contre mesures enclenchées.Autre approche : passer à WPA2 qui s’appuie sur le protocole AES, déjà utilisé actuellement par les Etats-Unis pour ses communications militaires. Mais passer à WPA2 a un coût car, pour des raisons de performances, le chiffrement est assuré le plus souvent par un composant électronique et non par le logiciel. Il peut donc être nécessaire de changer le matériel des points d’accès ainsi que des interfaces Wi-Fi clients.Cependant, il faut clairement de plus en plus envisager de s’appuyer sur d’autres technologies pour combler les lacunes liées à la sécurité Wi-Fi. Ainsi, il peut être bien plus simple de paramétrer le point d’accès sans sécurité et de forcer une authentification pour l’établissement d’un tunnel chiffré par exemple (IPsec, VPN SSL, …), laquelle pourrait même être à usage unique.Les outils déjà prêts à appliquer cette nouvelle technique sont :

Aircrack-ng http://www.aircrack-ng.org
Tkiptun-ng http://www.aircrack-ng.org/doku.php?id=tkiptun-ng
Chopchop http://www.netstumbler.org/f50/chopchop-experimental-wep-attacks-12489/

Laurent Levier, Expert en sécurité des systèmes et des réseaux, CISSP CISM

Pour en savoir plus :

[1] Practical attacks against WEP and WPA – Martin Beck, TU-Dresden, Germany, Erik Tews, TU-Darmstadt, Germany – November 8, 2008 – http://dl.aircrack-ng.org/breakingwepandwpa.pdf