Dans cet article vous retrouverez beaucoup de similarité avec le chapitre précédent, mais avec quelques nouvelles notions tout de même !

La première fois qu’un client se connecte à un point d’accès Wi-Fi,ce point d’accès est enregistré dans les préférences réseaux :

C’est pourquoi les clients se reconnectent automatiquement en cas de déconnexion, ou lorsque vous allumez votre poste vous n’avez pas besoin de spécifier le réseau sur lequel vous souhaitez vous connecter.

Qu’importe l’os le fonctionnement est le même sous Windows, Linux, Mac…les clients essayeront toujours de se connecter aux points d’accès Wi-Fi stockés sur votre OS.

Ce cours est basé sur la vidéo de notre ami Vivek:

Voici ce qui se passe quand le client se retrouve isolé de ces réseaux enregistrés (par exemple dans un aéroport).

Il envoie continuellement à intervalles réguliers des « probe request » paquets,  pour demander si  un des réseaux enregistré est disponible. Etant à l’aéroport, dans un environnement où il ne s’est jamais connecté préalablement, il ne devrait pas recevoir de « probe response » d’un des routeurs enregistrés. Logique non ?

Oui, sauf si un hacker à écouté  vos probe request  (ou figure le nom du réseau sur lequel le client essaye de se connecter) et qu’il a créer un soft AP portant le nom figurant dans la probe request.

Voici commence cela se passe :

1)      Le pirate effectue une capture avec airodump ou Wirehsark des paquets transitant dans l’air.

2)      Dans notre cas il doit récupérer 4 probe request : « default » , « myhome », « job » et « CREATIVEO.NET (cf image ci-dessus, c’est les 4 réseaux stockés sur le poste client).

3)      Il choisit de créer un point d’accès avec airbase où l’ESSID est le même que l’un des quatres noms vus ci-dessus.

Le client se connecte sur votre fake AP (dans le cas d’un réseau open, sans WEP / WPA la connexion se fera automatiquement sur votre soft AP…)

4)      Le pirate peut faire ce qu’il veut de vous !  MITM, metasploit…

Dans un premier temps je vous laisse le soin de procéder à une capture Wireshark où vous allez pouvoir voir les probes request envoyées par votre client . (filtre sur l’adresse MAC de votre client : wlan.addr == XX :XX :XX :XX :XX).

On crée notre soft AP avec airbase :

airbase-ng –essid CREATIVEO.NET mon0

Pour aller plus loin :

airbase-ng –a XX:XX:XX:XX:XX –essid CREATIVEO.NET –v mon0

Le paramètre « -v » permet d’activer le mode verbose , un mode ou vous voyez tous les paquets envoyés à votre routeur (probe request)…

Si vous souhaitez vous amuser un peu :

airbase-ng  –a XX:XX:XX:XX:XX –essid CREATIVEO.NET –P –C 10  mon0

Ces arguments permettent de créer un soft AP qui répondra à toutes les probes request quelque soit l’ESSID.

Une fois le client connecté sur votre soft AP vous pouvez utiliser nmap ou metasploit afin de l’exploiter…

Cette méthode marche uniquement pour les réseaux ouverts sans chiffrage.

Pour ce qui est du WEP / WPA nous le verrons une fois que nous aurons étudié ces deux protocoles.

Conclusion :  cette technique  marche particulièrement bien avec tous les hotspots qui sont pour la plupart du temps en Open.