Les hotspots sont des points d’accès Wi-Fi présent dans  des lieux publics (aéroport, café, McDo).

Typiquement ce sont des réseaux ouvert sans protection WEP ou WPA (imaginez la distribution des clés à toutes les personnes souhaitant se connecter…)  avec parfois un filtrage MAC.

Certains utilisent un portail de connexion pour accéder à internet (souvent quand l’accès est payant).

Théories et objectifs : Evil Twin

Nous allons voir une attaque nommée « evil twin » :

Il s’agit simplement de créer un réseau Wi-Fi avec le même ESSID, et éventuellement la même adresse MAC (BSSID) que le hotspot ciblé. On appellera votre faux réseau Wi-Fi « soft AP ».

Ensuite déconnecter tous les clients pour casser la connexion avec le vrai hotspot.

Si votre soft AP émet un meilleur signal, les clients se reconnecteront sur votre AP.

Une fois le client connecté sur votre soft AP, vous avez la possibilité de rediriger son  trafic vers internet pour que le client ne voit aucune différence et de vous placer au milieu : « MITM ».

L’outil utilisé : airbase-ng.

Airebase-ng est un tool de la suite aircrack nous permettant de créer des  points d’accès arbitraires.

Dans notre cas nous allons nous contenter de créer un réseau portant le même ESSID mais avec un BSSID (adresse mac) différent car si les hotspots crées porte le même nom et la même adresse MAC nous n’avons aucun moyen de les différencier, nous rendant impossible de déconnecter les clients seulement du VRAI hotspot .

A noter : avoir le même ESSID est suffisant pour tromper le client qui se reconnectera donc sur le hotspot du même nom ayant le plus fort signal.

Labs et pratiques :

Dans un premier temps lançons un airodump pour localiser le réseau que nous souhaitons jumeler.

Notre soft AP aura donc pour ESSID : « CREATIVEO.NET ».

Créons le avec airbase :

Si vous regardez la liste des réseaux disponible sous Windows, sous Linux avec wicd  ou sous Mac vous voyez toujours un seul et unique point d’accès CREATIVEO.NET .

C’est normal car ces gestionnaires de réseau WIFI regroupe les points d’accès du même nom n’affichant que celui ayant le signal le plus fort

Par exemple dans une université, que vous soyez d’un bout à l’autre du campus vous pouvez accéder au réseau WIFI : en réalité derrière il y a des dizaines d’Access Point portant le même nom, afin de vous connecter où vous le souhaitez).

Cependant si vous utilisez un Tool comme kimset, netstumbler ou inssider vous pouvez voir les différents AP portant le même nom :

Si nous revenons à airbase vous avez dû constater qu’il a créé une « tap interface at0 ».

Il s’agit de l’interface correspondant à notre réseau crée qui va nous servir à écouter, rediriger le trafic des clients connecté à notre soft AP.

Cette interface n’est pas active par défaut, donc dans le cas où vous vouliez par exemple faire une écoute Wireshark sur cette interface (ce que nous allons faire :p), il faut l’activer :

ifconfig at0  up

Maintenant que notre soft AP est prêt nous allons déconnecter les clients de l’hotspot en ciblant son BSSID : (lancez aussi en parallèle une capture Wireshark sur l’interface at0)

aireplay-ng –desauth 0 –a 00 :0F :B5 :67 :FF :52 mon0

Retournant sur la fenêtre où nous avons lancé airbase : un nouveau client s’est associé à notre réseau !

Attendons un peu, et regardons ce qui se passe sous Wireshark :

Nous voyons que le client envoie des paquets « dhcp discover » car celui-ci tente de joindre le serveur DHCP pour se voir attribuer une IP sous le réseau.

Comme nous n’avons pas mis en place de serveur DHCP c’est normal qu’il n’y ait pas de réponse de la part de notre soft AP.

Nous verrons un peu plus tard comment exploiter le client une fois connecté à notre soft AP (vous pouvez d’ores et déjà vous renseigner sur nmap et metasploit  ).