Nous venons de voir comment cracker une clef WEP lorsqu’un client est connecté avec l’attaque d’ARP replay.

Aujourd’hui nous allons comment cracker une clef WEP sans client connecté.

Deux méthodes similaires existent :

L’attaque KoreK chopchop : son but est de décrypter le paquet WEP bit par bit jusqu’à le décrypter entièrement.

L’attaque Fragmentation : elle joue sur la fragmentation des paquets envoyés pour récupérer une Keystream valide.

La première est plus lente, mais peu fonctionner quand la fragmentation ne fonctionne pas.

La seconde est extrêmement rapide et peut fonctionner quand ChopChop ne fonctionne pas.

ChopChop Attaque:

Cette attaque pourrait se faire sans que nous soyons authentifiés mais cela marche assez rarement, donc nous nous attarderons seulement sur l’attaque en étant authentifié.

Dans un premier temps nous lançons airodump afin de voir si un client est connecté ou non :

airodump-ng –c 11 –bssid XX…  mon0

« -c » le chanel ciblé.

« -bssid » l’adresse MAC du routeur ciblé.

Encadrée en vert : l’adresse MAC du client connecté.

On repère un client connecté sur notre point d’accès cible, cela pourrait nous faciliter la tâche, mais comme le but est de faire du crack WEP sans client connecté nous allons faire comme si  ce client n’était pas là…

Pour réussir cela il faut commencer à  nous authentifier sur le point d’accès :

« -1 » Permet de créer une fausse authentification

« -a » Bssid cible.. ;

« -h » L’adresse MAC qui sera utilisé pour la fausse authentification.

Note : En cas de filtrage MAC l’authentification sera un échec si nous n’utilisons pas une adresse MAC autorisé à se connecter au point d’accès.

Maintenant nous pouvons lancer aireplay avec l’attaque ChopChop en ciblant notre l’adresse MAC du point d’accès cible et en précisant l’adresse MAC d’un client authentifié (ici nous utilisons 00 :C0 :CA :00 :A9 :80 l’adresse utilisée lors de la fake auth).

aireplay-ng –chopchop –a  00 :0F :B5 :67:FF:52 –h :C0 :CA :00 :A9 :80 mon0

En réalité comme nous avons vu qu’un client est déjà connecté nous aurions pu sauter l’étape de la fausse authentification et directement utilisé celle du client avec aireplay (paramètre « -h »).

Au bout de quelques minutes cette attaque va générer deux fichiers :

Un fichier .cap contenant un paquet décrypté (à étudier avec Wireshark ).

Et un fichier .xor (Keystream)

Nous allons utiliser ce dernier afin de forger un paquet de type ARP que nous injecterons ensuite afin de récupérer la clé WEP.  (le .xor contenant la Keystream permet de chiffrer le paquet de type ARP).

Pour forger notre ARP il nous faut l’ip source et l’ip de destination du paquet ARP que nous allons crées :

On peut soit regarder le paquet décrypté généré par l’attaque ChopChop dans le but de récupérer ces IP, ou alors simplement avec tcp dump:

tcpdump -s 0 -n -e -r replay-X.cap

    reading from file replay_-X.cap, link-type [...]

    IP 192.168.0.1 > 192.168.0.255: icmp 64: echo request seq 1

Maintenant forgeons notre fameux paquet:

packetforge-ng -0 -a 00:16:41:C9:E0:3F -h 00:12:F0:6F:ED:38 -k 192.168.1.1 -l 192.168.1.10 -y lefichier.xor -w arp.cap

Nous avons maintenant notre paquet ARP dans arp.cap.

Il nous reste plus qu’a lancer une attaque d’ARP replay( comme vu dans le cours précédent), en précisant cette fois le paquet ARP utilisé :

« -r » : le paquet ARP forgé.

« -x » la vitesse d’injection

« -h » Toujours l’adresse du client authentifié (sur l’image l’adresse MAC n’est pas la bonne).

Retournez sur la fenêtre airodump lancé au début :

Les « Datas » augmentent, c’est bon signe !

On peut donc lancer en parallèle aircrack-ng en spécifiant le fichier généré par airodump que nous avons lancé au début (chopchop)

Au bout de quelques minutes aircrack nous donnes la clef !

Fragmentation attaque:

Si ChopChop ne marche pas vous pouvez tenter l’attaque par fragmentation, les étapes sont les mêmes sauf qu’à la place de lancer aireplay pour effectuer une attaque ChopChop on lance aireplay pour faire une attaque de fragmentation :

Cette attaque nous génère comme pour ChopChop un .cap et un .xor…

Conclusion : Le crack de clef WEP est aussi possible sans même qu’un client soit connecté !

Dans le prochain article nous verrons une dernière attaque WEP « interactive replay », permettant le crack de clef WEP de manière plus « simple » (avec ou sans client).