INTRODUCTION

0.1 PROBLEMATIQUE

SASAMI AKIO définit la problématique comme étant un art de poser des problèmes ou un ensemble de problème posé dont les éléments sont entièrement liés.¹

En effet, ces problèmes ne sont que rarement perçus particulier, car celui-ci ne se sert généralement que d'un seul point d'accès pour y relier un ou deux ordinateur au plus . Dès que l'on envisage le déploiement de dizaines voire de certaines de point d'accès ; certainement le mode infrastructure qui permet de connecter les ordinateur équiper d'une carte réseau wifi entre eux via un ou plusieurs point d'accès qui agissent comme des concentrateurs. La mise en place d'un tel réseau oblige de poser a intervalle régulier des point d'accès dans la zone qui doit être couverte par le réseau.

Si le câblage vers chaque ordinateur n'est désormais plus nécessaires il faut tout de même acheminer le réseau Ethernet vers l'ensemble des point d'accès, ceux-ci pouvant être nombreux car situés à proximité des postes utilisateurs, de l'ordre de quelque mètre . On peut parler de deux types de point d'accès :

· Le point d'accès simple qui n'a qu'une fonction de lien entre le réseau filaire et le réseau Wifi.

· Le point d'accès routeur qui permet de connecter un modem ASDL
Ethernet afin de partage une connexion Internet sur le réseau wifi.

Au final, et si l'on souhaite obtenir une qualité de réseau correcte il faut prévoir environ un point d'accès pour 5 utilisateur maximum soit 20 points d'accès pour 100 personnes.

La disponibilité de résistance aux perturbation électromagnétique volontaire (brouillage) ou non ( moteur, caténaires, soudure etc.) reste faible malgré l'utilisation de technologie a étalement de spectre. Le wifi utilise la gamme de fréquence de 2.4GHZ, la même que celle des fours à microondes ; cela parfois perturbe l'ensemble d'un réseau wifi suffit a la mise en marche d'un simple four a micro-ondes.

Comme aucune garantie de la passante n'est possible, il est envisageable qu'un ordinateur puisse occuper la quasi- totalité de celle-ci, pénalisant ainsi les autres ordinateur de connectés à la même borne qui n'auront qu'un débit minimal. Il est possible de mettre en place sur certains

¹ SASAMI AKIO ; De la problématique à l'hypothèse, éd. Power, Tokyo ; 1997, p. 25

modèle de point d'accès des mécanismes de gestion de la bande passante, mais cela est complexe et doit être murement réfléchi.

Sur le plan technique la notion de collision est fréquente, ce qui ralentit considérablement le débit dès lors que plusieurs liaisons vers des ordinateurs sont en cours.

O.2 HYPOTHESE

Au regard aux problèmes soulevés dans notre problématique, nous émettons pour ce travail de fin cycle, l'hypothèse selon laquelle de respecter notre utilisation au point d'accès qui doit être couverte par un réseau. La sécurisation sur le point d'accès de réseau wifi procure à un certain nombre d'avantage, sur la mise en place au point d'accès qui n'a pas de perte a chaque utilisation.²

O.3 INTERET ET CHOIX DU SUJET

Mon intérêt part sur ce sujet, car la sécurisation de ce réseau par rapport au point d'accès qui nous donne une facilité d'utilisé un réseau rapide. Grace a sa technologie, il est ainsi possible d'accéder a des ressources partagés, notamment a l'internet, a partir de plusieurs lieux différents : on parle de mobilité.

Mon choix est porté sur ce sujet étant qu'étudiant, j' ai eu le souci de faire la connaissance du réseau ; car j'ai trouvé la facilité d'utilisation . car le réseau wifi procure un confort d'utilisation non négligeable aux utilisateurs tant particulier que professionnels.

0.4 DELIMITATION DU SUJET

Notre délimitation s'effectue en deux volés :

Dans l'espace : nous avons pensé de prendre que l'espace de ce réseau wifi par rapport à notre pays qui est la République démocratie du Congo.

Dans le temps, nous avons déterminé par rapport aux années de notre étude qui est de 2008- 2010.

² SASAMI AKIO, op.cit, p. 26

0.5 METHODOGIE

A. Méthode

En vue de collecter les informations liées a l'étude de mise en sécurité sur le point d'accès dans le réseau wifi, nous avons usées de la méthode fonctionnaliste qui nous a permis d'expliquer en toute détaille ces système, de son avantages, de sa performance au vue de l'utilisation.

B. Technique

Plusieurs techniques ont contribuées comme outil de recherche de données dont à savoir la technique de documentation qui nous a permis d'exploiter la documentation écrite portant sur le réseau wifi et sa sécurité auquel s'ajoute l'observation direct et l'internet.

0.6 OBJECTIFS

L'objectif poursuivit dans ce travail est de faire l'étude sur sa mise en sécurité au point d'accès dans un réseau wifi, a démontré quelques mécanismes de sécurité et d'utilisé avec un radius de système de clientserveur ; de donner l'envie aux utilisateur d'utilisent, en fin d'éliminer le câblé.

0.7 LA SUBDIVISION

Hormis l'introduction et la conclusion, le présent travail de fin cycle est subdivisé en trois grandes parties :

Le premier chapitre sur le réseau sans fil.

Le deuxième chapitre les mécanismes de sécurité.

L'étude de mise en sécurité au point d'accès dans le serveur radius au réseau wifi.

CHAPITRE. : LA GENERALITE DE RESEAU SANS FIL

. . INTRODUCTION

Le Wi-Fi est un ensemble de fréquences radio qui élimine les câbles, partage une connexion Internet et permet l'échange de données entre plusieurs postes³.

La technologie est connue aux Etats-Unis depuis 1997. Là-bas, on recense 11 millions de points d'accès contre 80 dans l'Hexagone. Mais la France assouplit sa législation sur les ondes radio et s'emballe à son tour pour le Wi-Fi : les grands opérateurs montrent leur intérêt, les périphériques compatibles s'installent en rayon. Le passage aux réseaux sans fil ouvre de nouvelles perspectives d'usage communautaire de l'informatique. Cap sur le Wi-Fi !

. . Les réseaux sans fils

Un réseau sans fils (en anglais wireless network) est, comme son nom l'indique, un réseau dans lequel au moins deux terminaux peuvent communiquer sans liaison filaire. Grâce aux réseaux sans fils, un utilisateur a la possibilité de rester connecté tout en se déplaçant dans un périmètre géographique plus ou moins étendu, c'est la raison pour laquelle on entend parfois parler de "mobilité".

Les réseaux sans fils permettent de relier très facilement des équipements distants d'une dizaine de mètres à quelques kilomètres. De plus l'installation de tels réseaux ne demande pas de lourds aménagements des infrastructures existantes comme c'est le cas avec les réseaux filaires. En contrepartie se pose le problème de la réglementation relative aux transmissions radioélectriques. De plus les ondes hertziennes sont difficiles à confiner dans une surface géographique restreinte, il est donc facile pour un pirate d'écouter le réseau si les informations circulent en clair. Il est donc nécessaire de mettre en place les dispositions nécessaires de telle manière à assurer une confidentialité des données circulant sur les réseaux sans fils.

. . Les catégories de réseaux sans fils

On distingue habituellement plusieurs catégories de réseaux sans fils, selon le périmètre géographique offrant une connectivité (appelé zone de couverture) :

³ DI GALLO Frédéric, l'essentieIX1uXZ TII, Page 4

.3.1. Réseaux personnels sans fils (WAN)

Le réseau personnel sans fils (appelé également réseau individuel sans fils ou réseau domotique sans fils et noté WPAN pour Wireless Personal Area Network) concerne les réseaux sans fils d'une faible portée : de l'ordre de quelques dizaines mètres. Ce type de réseau sert généralement à relier des périphériques (imprimante, téléphone portable, appareils domestiques, ...) ou un assistant personnel (PDA) à un ordinateur sans liaison filaire ou bien à permettre la liaison sans fils entre deux machines très peu distantes. Il existe plusieurs technologies utilisées pour les WPAN :

La principale technologie WPAN est la technologie Bluetooth, lancée par Ericsson en 1994, proposant un débit théorique de 1 Mbps pour une portée maximale d'une trentaine de mètres. Bluetooth, connue aussi sous le nom IEEE 802.15.1, possède l'avantage d'être très peu gourmand en énergie, ce qui le rend particulièrement adapté à une utilisation au sein de petits périphériques. La version 1.2 réduit notamment les interférences avec les réseaux Wi-Fi.

Figure I. 3. 1 le symbole de Bluetooth

HomeRF (Home Radio Frequency), lancée en 1998 par le HomeRF Working Group (formé notamment par les constructeurs Compaq, HP, Intel, Siemens, Motorola et Microsoft) propose un débit théorique de 10 Mbps avec une portée d'environ 50 à 100 mètres sans amplificateur. La norme HomeRF soutenue notamment par Intel, a été abandonnée en Janvier 2003, notamment car les fondeurs de processeurs misent désormais sur les technologies Wi-Fi embarquée (via la technologie Centrino, embarquant au sein d'un même composant un microprocesseur et un adaptateur Wi-Fi).

Figure I. 3. 1 le symbole de Home RF

La technologie ZigBee (aussi connue sous le nom IEEE 802.15.4) permet d'obtenir des liaisons sans fil à très bas prix et avec une très faible consommation d'énergie, ce qui la rend particulièrement adaptée pour être directement intégré dans de petits appareils électroniques (appareils électroménagers, hifi, jouets, ...).

Enfin les liaisons infrarouges permettent de créer des liaisons sans fils de quelques mètres avec des débits pouvant monter à quelques

mégabits par seconde. Cette technologie est largement utilisé pour la domotique (télécommandes) mais souffre toutefois des perturbations dûes aux interférences lumineuses. L'association irDA (infrared data association) formée en 1995 regroupe plus de 150 membres.

. 3.2. Réseaux locaux sans fils (WLAN)

Le réseau local sans fils (WLAN pour Wireless Local Area Network) est un réseau permettant de couvrir l'équivalent d'un réseau local d'entreprise, soit une portée d'environ une centaine de mètres. Il permet de relier entre-eux les terminaux présents dans la zone de couverture. Il existe plusieurs technologies concurrentes :

Le WiFi (ou IEEE 802.11), soutenu par l'alliance WECA (Wireless Ethernet Compatibility Alliance) offre des débits allant jusqu'à 54Mbps sur une distance de plusieurs centaines de mètres.

Figure I. 3.2 le symbole du wifi

hiperLAN2 (HIgh Performance Radio LAN 2.0), norme européenne élaborée par l'ETSI (European Telecommunications Standards Institute), permet d'obtenir un débit théorique de 54 Mbps sur une zone d'une centaine de mètres dans la gamme de fréquence comprise entre 5 150 et 5 300MHz.

figure I. 3.2 le symbole de Hyper Lan2

DECT (Digital Enhanced Cordless Telecommunication), norme des téléphones sans fils domestiques. Alcatel et Ascom développent pour les environnements industriels, telles les centrales nucléaires, une solution basée sur cette norme qui limite les interférences. Les points d'accès résistent à la poussière et à l'eau. Ils peuvent surveiller les systèmes de sécurité 24/24h et se connecter directement au réseau téléphonique pour avertir le responsable en cas de problème.

. 3.3. Réseaux métropolitains sans fils (WMAN)

Le réseau métropolitain sans fils (WMAN pour Wireless Metropolitan Area Network) est connu sous le nom de Boucle Locale Radio (BLR). Les WMAN sont basés sur la norme IEEE 802.16. La boucle locale radio offre un débit utile de 1 à 10 Mbit/s pour une portée de 4 à 10 kilomètres, ce qui destine principalement cette technologie aux opérateurs de télécommunication.

. . . Réseaux étendus sans fils (WWAN)

Le réseau étendu sans fils (WWAN pour Wireless Wide Area Network) est également connu sous le nom de réseau cellulaire mobile. Il s'agit des réseaux sans fils les plus répandus puisque tous les téléphones mobiles sont connecté à un réseau étendu sans fils. Les principales technologies sont les suivantes :

. . Historique

En 1997; alors que l'attention est accaparée par le succès d'Internet et l'euphorie boursière montante, un événement est passé inaperçu sauf pour quelques spécialistes et observateurs: l'adoption du standard IEEE 802.11 ou Ethernet sans fil. Exploitant la bande de fréquence de 2,4 GHz, le 802.11 plafonne à un débit de 2 Mbits/s au maximum. Ce précurseur est suivi de plusieurs déclinaisons dont le célèbre Wi-Fi qui connaît un franc succès, aidé par le volontarisme des fabricants, distributeurs et fournisseurs de services... Wi-Fi, est un nom composé à la manière de hi-fi et signifiant Wireless Fidelity. Il désigne les différentes déclinaisons de la norme IEEE 802.11 qui permet à plusieurs ordinateurs de communiquer sans fil en utilisant comme support les ondes radio. Les câbles disparaissent enfin².

Le Wi-Fi est une technologie intéressante pour de nombreuses sociétés liées au monde des télécoms et d'Internet. Les collectivités locales et surtout les particuliers profitent de la facilité d'accès à Internet haut débit liée à cette norme. Dans sa déclinaison la plus connue, 802.11 b, le Wi-Fi utilise la bande de fréquence de 2,4 GHz et atteint un débit théorique de 11 Mbits/s (contre 128, 512 Kbits/s ou 1 Mbits/s pour l'ADSL), le 802.11a culmine à 22 Mbits/s et le 802.11 g, enfin, flirte avec les 54 Mbits/s. Le Wi-Fi peut certes servir à surfer sur Internet, mais pas seulement. Il autorise l'organisation de réseaux -pourvus ou pas d'Internet pour échanger des fichiers, des données, et bien entendu pour jouer:.. Ce ne sont là que ; quelques exemples de ses usages possibles Les

² DI GALLO Frédéric, op.cit Page 8

avantages des réseaux sans fil ne sont plus à démontrer surtout à une génération de plus en plus habituée à la mobilité. La multiplication des appareils (PDA, PC portables, terminaux et bientôt les téléphones portables) capables de communiquer entre eux en fait le support idéal des réseaux modernes.

. 5. Les différentes couches Wifi (802.11)

La norme Wi -Fi définit les deux couches basses du modèle OSI d'un réseau sans fil de type WLAN (Wireless LAN), à savoir une couche liaison de données et une couche physique:

. 5.1. La couche physique

La couche physique définit la modulation des ondes radioélectriques et les caractéristiques de la signalisation pour la transmission de données, elle propose plusieurs types de codage de l'information : DSSS, FHSS, IR, OFDM, toutes ces technologies permettent des débits de 1Mbps et 2Mbps.

. 5.1.1. DSSS (Direct Sequence Spread Spectrum)

C'est une méthode de modulation de signale, qui permet un étalement de spectre en séquence directe. La bande des 2,4 GHz est divisée en 14 canaux de 22 MHz espacés de 5 MHz. Les canaux adjacents se chevauchent partiellement (en cas où deux points d'accès utilisant les mêmes canaux ont des zones d'émission qui se recoupent, des distorsions du signal risquent de perturber la transmission) et seuls trois canaux sur les 14 étant entièrement isolés sont généralement utilisés pour éviter les interférences (ex. 1, 6, 11 ou 1, 7, 13 comme le montre la figure 1.5.1.1). Les données sont transmises intégralement sur l'un de ces canaux de 22 MHz, sans

Figure 1.5.1.1 répartition de canaux de technologies DSSS

5. 1. 2. FHSS (Frequency-Hopping Spread Spectrum)

Cette technique consiste à découper la large bande de fréquence en un minimum de 75canaux (hops ou saut d'une largeur de 1 MHz), puis de transmette en utilisant une combinaison de canaux connue de toutes les stations de la cellule. Dans la norme Wi -Fi, la bande de fréquence de 2.4 GHz permet de créer 79 canaux de 1 MHz. La transmission se fait ainsi en émettant successivement sur un canal puis sur un autre pendant une courte période de temps (d'environ 400 ms), l'émetteur et le récepteur s'accordent sur une séquence de Sauts de fréquence porteuse pour envoyer les données successivement sur les différents sous-canaux.

N.B : Il est important de remarquer que FHSS et DSSS sont des mécanismes de signalisation fondamentalement différents l'un de l'autre et qu'aucune interopérabilité ne peut être envisagée entre eux.

5.1. 3. Infrarouge (IR)

Une liaison infrarouge permet de créer des liaisons sans fil de quelques mètres avec un débit qui peut atteindre quelques mégabits par seconde. Cette technologie est largement utilisée pour la domotique (télécommandes) mais souffre toutefois des perturbations dûes aux interférences lumineuses⁸.

Il est possible grâce à la technologie infrarouge d'obtenir des débits allant de 1 à 2 Mbit/s en utilisant une modulation appelée PPM (pulse position modulation). Cette dernière consiste à transmettre des impulsions à amplitudes constantes, et à coder l'information suivant la position de l'impulsion.

5.1. 4. OFDM (Orthogonal Frequency Division Multiplexing)

Le principe de cette technique consiste à diviser le signal que l'on veut transmettre sur différentes bandes porteuses, comme si l'on combinait ce signal sur un grand nombre d'émetteurs indépendants, fonctionnant sur des fréquences différentes. Un canal est constitué de 52 porteuses de 300 KHz de largeur, 48 porteuses sont dédiées au transport de l'information utile et 4 pour la correction d'erreurs appelées porteuses pilote, Huit canaux de 20 MHz sont définis dans la bande de 5 GHz (voir FIG 1.5.1.4).

8 www.clubic.com/wiki/Wifi : Mat_E9riel_E9cessai re - 34k Octobre 2006.

. 5. 2. La couche liaison de données

La couche liaison de données a pour objectif de réaliser le transport des données et elle est constituée de deux sous-couches :

. 5.2. 1. La couche LLC (Logical Link Control) :

La couche LLC a été définie par le standard IEEE 802.2 [5], elle permet d'établir un lien logique entre la couche MAC et la couche réseau du modèle OSI (transition vers le haut jusqu'à la couche réseau). Ce lien se fait par l'intermédiaire du Logical Service Access Point (LSA P).

La trame LLC contient une adresse en en-tête ainsi qu'une zone de détection d'erreur en fin de trame : le forward error correction (FEC) comme le montre la figure 1.5.2.1 :

FIG 1.5.2.1. L'organisation de la couche Liaison

Son rôle principal réside dans son système d'adressage logique, qui permet de masquer aux couches hautes les informations provenant des couches basses. Cela permet de rendre interopérables des réseaux complètements

différents dans la conception de la couche physique ou la couche MAC possédant la couche LLC.

. 5.2.2. La couche MAC (Media Access Control) :

La sous-couche MAC est spécifique à la norme Wi-Fi et définit deux nouveaux mécanismes qui assurent la gestion d'accès de plusieurs stations à un support partagé dans lequel chaque station écoute le support avant d'émettre, elle assure aussi le contrôle d'erreur permettent de contrôler l'intégrité de la trame à partir d'un CRC (voir format de trame). Elle peut utilisée deux modes de fonctionnement :

. 5.2.2.1. Distributed coordination fonction (DCF)

C'est un mode qui peut être utilisé par tous les mobiles, et qui permet un accès équitable au canal radio sans aucune centralisation de la gestion de l'accès (mode totalement distribué). Il met en oeuvre un certain nombre de mécanismes qui visent à éviter les collisions et non pas à les détecter. Dans ce mode tous les noeuds sont égaux et choisissent quand ils veulent parler. Ce mode peut aussi bien être lorsqu'il n'y a pas de station de base (mode ad hoc) que lorsqu'il y en a (mode infrastructure).

Ce mode s'appuie sur le protocole CSMA/CA.

Un protocole CSMA/CA (Carier Sense Multiple Access with Collision Avoidance) utilise un mécanisme d'esquive de collision en imposant un accusé de réception systématique des paquets (ACK), ce qui signifie que pour chaque paquet de données arrivé intact, un paquet ACK est émis par la station de réception.

Ce protocole fonctionne de la manière suivante : Une station voulant émettre, doit d'abord écouter le support de transmission, s'il est occupé (i.e. une autre station est en train d'émettre), alors, la station remet sa transmission à plus tard. Dans le cas contraire, la station est autorisée à transmettre [11].

La procédure de vérification se fait en utilisant deux types de messages, le premier est appelé RTS (Ready To Send) qui est envoyé par la station et contenant des informations sur le volume des données qu'elle souhaite émettre et sa vitesse de transmission. Le récepteur (généralement un point d'accès) répond par un deuxième message qui est le CTS (Clear To Send), puis la station commence l'émission des données (voir FIG 1.5.2.2.1) :

FIG 1.5 Mécanisme de vérification du canal

A chaque paquet envoyé, l'émetteur doit recevoir un accusé de réception ACK (ACK nowledgement), qui indiquera qu'aucune collision n'a eu lieu.

Si l'émetteur ne reçoit pas de l'accusé de réception, alors il retransmet la trame après un ACK_TIMEOUT jusqu'à ce qu'il obtienne ou abandonne au bout d'un certain nombre de transmission.

Ce type de protocole est très efficace quand le support n'est pas surchargé, mais il y a toujours une chance que des stations émettent en même temps (collision). Cela est dû au fait que les stations écoutent le support, repèrent qu'il est libre, et finalement décident de transmettre, parfois en même temps qu'un autre exécutant, cette même suite d'opération.

Ces collisions doivent être détectées pour que la couche MAC puisse retransmettre le paquet sans avoir à repasser par les couches supérieures, ce qui engendrerait des délais significatifs.

~ . . . . Point Coordination Fonction (PCF)

Le (PCF) appelée mode d'accès contrôlé, est fondé sur l'interrogation à tour de rôle des stations, contrôlées par le point d'accès qui indiquera a chacun des mobiles qui lui sont rattachés quand ils doivent émettre leurs paquets. Durant la phase où le point d'accès impose l'ordre des transmissions, il n'y a pas de contention pour l'accès au canal.

Une station ne peut émettre que si elle est autorisée et elle ne peut recevoir que si elle est sélectionnée. Cette méthode est conçue pour les applications temps réel (vidéo, voix) nécessitant une gestion du délai lors des transmissions de données. Cette méthode est optionnelle et ne fonctionne qu'en mode infrastructure.

~ . Tableau synthèse

. . Les équipements WiFi

Il existe différents types d'équipement pour la mise en place d'un réseau sans fil Wifi :

. . . Les adaptateurs sans fil ou cartes d'accès

En anglais wireless adapters ou network interface controller, noté NIC. Il s'agit d'une carte réseau à la norme 802.11 permettant à une machine de se connecter à un réseau sans fil. Les adaptateurs WiFi sont disponibles dans de nombreux formats (carte PCI, carte PCMCIA, adaptateur USB, carte compactflash, ...). On appelle station tout équipement possédant une telle carte. A noter que les composants Wi-Fi deviennent des standards sur les portables (label Centrino d'Intel).

. . . Les points d'accès

Notés AP pour Access point, parfois appelés bornes sans fil, permettant de donner un accès au réseau filaire (auquel il est raccordé) aux différentes stations avoisinantes équipées de cartes WiFi. Cette sorte de Switch est l'élément nécessaire pour déployer un réseau centralisé en mode infrastructure. Certains modèles proposent des fonctions de modem ADSL et comprennent plus ou moins de fonctions comme un pare-feu.

. . . Les autres

· Smart Display: écrans mobiles, soutenus par Microsoft.

· Chaînes WiFi: offrant la capacité de lire les MP3 directement sur le disque dur d'un ordinateur grâce à l'interface Ethernet sans fil intégrée. Elle préfigure toute une génération de produits, capables de lire, outre les CD audio, les radios qui émettent en MP3 sur Internet.

· Assistant personnel: les PDA intégrant le WiFi est parfois plus avantageux qu'un portable pour lire ses mails, importer des documents voir surfer sur le net.

· Rétroprojecteurs: pour des présentations avec portables mobiles.

· Caméra video: transmettre des images à distance à l'ordinateur qui les enregistre.

Les composants Wi-Fi ne sont pas plus onéreux que ceux des réseaux filaires, bientôt toutes les plates-formes seront vendues avec des modules Wi-Fi intégrés. C'est déjà le cas dans le monde des PC portables, qui, sous l'impulsion d'Intel, fait sa révolution sans fil grâce au Centrino.

. . Les modes opératoires . . . Mode infrastructure

En mode infrastructure, chaque ordinateur station (notée STA) se connecte à un point d'accès via une liaison sans fil. L'ensemble formé par le point d'accès et les stations situés dans sa zone de couverture est appelé ensemble de services de base (en anglais Basic Service Set, noté BSS) et constitue une cellule. Chaque BSS est identifié par un BSSID, un identifiant de 6 octets (48 bits). Dans le mode infrastructure, le BSSID correspond à l'adresse MAC du point d'accès. Il s'agit généralement du mode par défaut des cartes 802.11b.⁹

Il est possible de relier plusieurs points d'accès entre eux (ou plus exactement plusieurs BSS) par une liaison appelée système de distribution (notée DS pour Distribution System) afin de constituer un ensemble de services étendu (Extended Service Set ou ESS). Le système de distribution (DS) peut être aussi bien un réseau filaire, qu'un câble entre deux points d'accès ou bien même un réseau sans fil ! Un ESS est repéré par un ESSID (Service Set Identifier), c'est-à dire un identifiant de 32 caractères de long (au format ASCII) servant de nom pour le réseau. L'ESSID, souvent abrégé en SSID, représente le nom du réseau et représente en quelque sort un premier niveau de sécurité dans la mesure où la connaissance du SSID est nécessaire pour qu'une station se connecte au réseau étendu.

Lorsqu'un utilisateur nomade passe d'un BSS à un autre lors de son déplacement au sein de l'ESS, l'adaptateur réseau sans fil de sa machine est capable de changer de point d'accès selon la qualité de réception des signaux provenant des différents points d'accès. Les points d'accès communiquent entre eux grâce au système de distribution afin d'échanger des informations sur les

⁹ DI GALLO Frédéric, op.cit Page 12

stations et permettre le cas échéant de transmettre les données des stations mobiles.

Cette caractéristique permettant aux stations de "passer de façon transparente" d'un point d'accès à un autre est appelé itinérance (en anglais roaming).

. . . Le mode ad hoc

En mode ad hoc, les machines sans fil clientes se connectent les unes aux autres afin de constituer un réseau point à point (peer to peer en anglais), c'est-à dire un réseau dans lequel chaque machine joue en même temps de rôle de client et le rôle de point d'accès. L'ensemble formé par les différentes stations est appelé ensemble de services de base indépendants (en anglais independant basic service set, abrégé en IBSS). Un IBSS est ainsi un réseau sans fil constitué au minimum de deux stations et n'utilisant pas de point d'accès. L'IBSS constitue donc un réseau éphémère permettant à des personnes situées dans une même salle d'échanger des données. Il est identifié par un SSID, comme l'est un ESS en mode infrastructure.

Dans un réseau ad hoc, la portée du BSS indépendant est déterminée par la portée de chaque station. Cela signifie que si deux des stations des réseaux sont hors de portée l'une de l'autre, elles ne pourront pas communiquer, même si elles "voient" d'autres stations. En effet, contrairement au mode infrastructure, le mode ad hoc ne propose pas de système de distribution capable de transmettre les trames d'une station à une autre. Ainsi un IBSS est par définition un réseau sans fil restreint.¹⁰

CHAPITRE LES MECNISMES DE SECURITES

. . Masque par adresse SSID

Un SSID (Service Set Identifier) est un nom d'identifiant pour un réseau sans fil configuré sur les points d'accès. Il permet a un poste client de choisir le point d'accès auquel il souhaite s'associer quand plusieurs réseaux sans fil sont détectés dans l'environnement immédiat.

Pour se connecter à un point d'accès il est indispensable de connaître l'identifiant du réseau (SSID). Ainsi il peut être recommandé de modifier le SSID et d'interdire son annonce sur le réseau sans fil. Cependant, il faut savoir que cet identifiant peut facilement être retrouvé par une simple écoute et ensuite utilisé. Il est donc illusoire de se baser sur le SSID pour limiter l'accès a un réseau sans fil.

Quelques SSID par défaut des constructeurs :

. . Le filtrage des adresses MAC

Chaque équipement informatique possède une adresse physique qui lui est propre, appelée adresse MAC (Media Access Control). C'est un identifiant matériel unique inscrit dans chaque carte réseau. Contrairement a une adresse IP qui peut changer, l'adresse MAC est définie une fois pour toute en usine par le fabricant de la carte. Cette adresse est représentée par 12 chiffres hexadécimaux groupés par paires et séparés par des tirets. (Ex. 44-6F-D5-00-A1).

Le filtrage par adresse MAC est une fonctionnalité de sécurité que l'on trouve dans certains points d'accès, elle est basée sur la technique ACL (Access Control List), elle consiste à utiliser des listes d'accès. En effet, chaque point d'accès dispose d'une liste où sont inscrites toutes les adresses MAC des stations mobiles autorisées à l'accès. Le point d'accès procède alors à un filtrage sur la base des adresses MAC répertoriées. Chaque liste doit être continuellement mise à jour, manuellement ou par un logiciel spécialisé, afin d'ajouter ou de supprimer des utilisateurs.

Cette précaution, un peu contraignante permet de limiter l'accès au réseau à un certain nombre de machines, mais il ne faut pas compter dessus pour arrêter un pirate déterminer. Il existe, bien évidemment, des techniques permettant d'usurper une adresse MAC et ainsi de pouvoir se connecter au point d'accès. Elle est aussi, assis difficile à mettre en oeuvre pour les réseaux d'une grandes tailles où l'administrateur doit au minimum saisir toutes les adresses MAC autorisées dans un fichier de référence.¹²

.3. Le WEP

. 3. 1. Introduction du protocole WEP

Le protocole WEP (Wired Equivalent Privacy) fait partie de la norme internationale IEEE 802.11 ratifiée en septembre 1999. Il est très répandu et implémenté dans un grand nombre de cartes réseaux sans fil. Le WEP prétend (comme son l'indique) offrir une solution de confidentialité équivalente à un réseau filaire. En effet, les réseaux câblés sont, par nature, plus sécurisés que les réseaux sans fil car il faut se brancher physiquement sur le réseau. Il ne fut cependant pas créer par des experts en cryptographie. D'un point de vue plus théorique, il protège les communications de la couche liaisons de données (niveau 2 du modèle OSI).¹³

. 3.2. Fonctionnement Général

Le WEP (Wired Equivalent Privacy) est un protocole qui permet (en théorie, tout du moins) d'éviter le eavesdropping (écoute clandestine) en chiffrant les communications. Il peut être utilisé pendant la phase d'authentification ou encore pour chacune des trames de données. Il repose sur l'algorithme a clé symétrique RC4. Le mécanisme de distribution des clés n'est pas précisé. Elles doivent dont être saisis manuellement sur les stations et les AP. C'est dans le champ de contrôle FC (Frame Control) des trames de données

¹² Sean Convery, Darrin Miller et Sri Sundaralingam. Description détaillée de la sécurité pour les réseaux locaux sans fil. Cisco SAFE 2003

¹³ http://www.securityfocus.com/infocus/1824 - WEP: Dead Again, Part 2.

et d'authentification qu'est précisée l'utilisation du chiffrement WEP. Le bit positionné à 1 signifie que le corps de la trame est chiffré en WEP.¹⁴

Le chiffrement se décompose en plusieurs phases :

· La création de la graine ;

· La création du keystream ;

· Le calcul ICV ;

· La constitution du message final et son encapsulation dans une trame.

. . . Le vecteur d'initialisation

Le vecteur d'initialisation (IV - Initialization Vector) est une séquence de bits qui change régulièrement (a chaque trame envoyée si l'implémentation est bonne). Combiné à la clé statique, il introduit une notion aléatoire au chiffrement. Ainsi, deux messages identiques ne donneront pas le même contenu chiffré, puisque l'IV est dynamique.

La longueur du IV est de 24 bits, soit 224 valeurs possibles. Cela laisse à penser que l'IV ne sera pas réutilisé plusieurs fois. Comme la clé, le IV doit être connu a la fois de l'émetteur et du récepteur. La solution d'un mécanisme de génération automatique qui devrait être présent sur tous les équipements n'a pas été retenue car elle est difficile à mettre en place. Le IV est donc transporté en clair dans les trames.

. . . b L'algorithme RC4 dans WEP

RC4 est un algorithme de chiffrement par flux (par flot ou encore sans état) à clé symétrique développé en 1987 par Ronald Rivest (l'un des créateurs du RSA).Son nom signifie : Ron's Code #4 ou encore Rivest Cipher #4. Il utilise différentes tailles de clé, couramment jusqu'à 256 bits. Le RC4 est la propriété de la RSA Security, mais la version allégée ARC4 peut être utilisée légalement. Il est utilisé dans de nombreuses applications, l'une des plus connues étant SSL (Secure Socket Layer).

RC4 ne nécessite pas trop de puissance de calcul. Il est extrêmement rapide (environ dix fois plus rapide que le DES). Il est considéré comme fiable mais une mauvaise implémentation peut entraîner des failles. Cet algorithme reprend le principe du masque jetable (OTP - One Time Pad ou masque de Vernam). En effet, on génère un flux de données de taille identique au flux de données claires et on fait un XOR entre les deux, le déchiffrement se fait par XOR entre le chiffré et le même flux pseudo-aléatoire.

¹⁴ Alexandre CHAUVIN-HAMEAU, Wi-Fi Maîtriser le réseau sans-fil page 6

Deux étapes sont nécessaires pour l'opération de chiffrement :

L'initialisation de la clé ;

La réalisation du cryptogramme (texte chiffré ou cyphertext).

~ . . Initialisation de la clé

Deux longueurs de clé WEP peuvent être choisies sur les équipements

Wi-Fi :

40 bits, soit 5 octets ;

104 bits, soit 13 octets.

Parfois, les constructeurs ont mis en place des tailles de clé supérieures. Ces valeurs n'étant pas normalisées, il faut veiller a l'interopérabilité des équipements.¹⁵

La clé K est concaténée a l'IV en position de poids faible généralement. On trouve parfois l'inverse. On notera par la suite : || l'opérateur de concaténation. On obtient alors une clé de 64 bits (8 octets) ou 128 bits (16 octets) que l'on appelle graine, germe, plaintext ou encore seed : IV || K

NB : Les constructeurs parlent souvent de clés de 64 bits ou de 128 bits. En réalité, la taille effective de la clé est, comme nous l'avons vu, de 40 bits ou 104 bits. Un mécanisme utilisant des clés WEP de 232 bits est parfois disponible.

Une table de 256 octets (généralement) est formée. Elle est initialisée en reportant la graine autant de fois que nécessaire. A partir de la même clé, on obtient donc la même table a l'issue de la phase d'initialisation. On appellera ce tableau S (comme seed) par la suite.

Par permutation et autres manipulations, les cellules sont ensuite mélangées. On initialise une table d'états T (qui sera le masque appliqué sur le texte clair) avec T*i+=i pour 0 = i = longueur(T)-1. Ce procédé porte le nom de Key Scheduling Algorithm (KSA) ou encore module de mise à la clé. A son issue, tous les éléments de la table auront été permutés.

Une fois la table T mélangée, on peut fabriquer des PRNs ou « Pseudo Random Numbers ~ a l'aide d'un générateur PRGA ou « Pseudo Random Generator Algorithm » qui fonctionne sur le même principe que le module KSA mais sans faire appel à la clé K.

. . . LES FAILLES DU WEP

Il existe mille manières d'aborder les failles du WEP, on a tenté ici de privilégier une approche à la fois historique et technique tout en essayant de

¹⁵ Alexandre CHAUVIN-HAMEAU, op.cit. page 7

rester le plus cohérent possible. On a ainsi répertorié de nombreuses méthodes pour mettre à mal le protocole WEP.

. 3.4. 1. Premier aperçu des failles

Un intrus qui dispose du SSID (identifiant réseau) et qui usurpe une des adresses MAC autorisées, ne pourra pas se connecter au réseau tant qu'il ne disposera pas de la clé WEP. Le pirate pourra la récupérer soit par Ingénierie Sociale (Social-Engineering) soit par cryptanalyse.

L'Ingénierie Sociale consiste a obtenir l'information par un membre quelconque de l'organisation, qui partage le secret. Elle peut également être volée... Nous ne nous étalerons pas davantage sur le sujet. Ce qui nous intéresse dans le cadre de ce travail, ce sont les faiblesses du point de vue cryptographique du protocole WEP.

Il y eut un temps où le protocole WEP fut considéré comme sûr. La diffusion dans le domaine public de l'algorithme RC4 a complètement modifié la donne.

En 1995, Wagner met en évidence les vulnérabilités du protocole RC4 sur le news group sci.crypt. Il fallait alors 10 millions de paquets pour trouver la clé. Cela mettait beaucoup de temps a l'époque. En l'an 2000, plusieurs publications démontrent la faiblesse des clés WEP.

En 2005, une équipe du FBI des États-Unis d'Amérique fit la démonstration qu'il est possible de pénétrer un réseau protégé par du WEP en 3 minutes en utilisant des outils disponibles publiquement.

Depuis le 1^er avril 2007, elles peuvent être retrouvées en une minute. Leur utilisation en entreprise est donc formellement déconseillée.

Le fait que le WLAN ne soit pas borné ``géographiquement'' rend aisé l'intrusion d'une station. On appelle intrusion, l'insertion d'un noeud non autorisé au sein d'un réseau.

Les principales failles du WEP sont essentiellement les suivantes :

Les algorithmes de vérification d'intégrité et d'authentification sont très facilement contournables.

Possibilité de construire des dictionnaires fournissant en fonction d'un IV, le keystream.

L'algorithme de chiffrement RC4 présente des clés faibles et l'espace disponible pour les IV est trop petit.

Une même clé est utilisée pour tout le réseau et les clés de chiffrement sont statiques.

Clés courtes 40 bits (5 caractères !!!) ou 104 bits et/ou trop simples (attaque par dictionnaire)

. 3.4. Les faiblesses du IV

. 3.4.1. Réutilisation du Keystream

En 2001, Borisov, Goldberg et Wagner (Intercepting Mobile Communications : the insecurity of 802.11) montrèrent que les utilisateurs se servent parfois des mêmes keystreams du fait que la clé est statique.

En effet, le IV est sensé fournir une information aléatoire qui rend une clé unique dans le temps. Sa longueur de 24 bits, soit moins de 17 millions de combinaisons est trop courte.

Le paradoxe des anniversaires nous dit qu'il y a une forte probabilité (50% pour 5000 trames, 99% pour 12000 trames) de trouver dans un nombre raisonnable de trames cryptées 2 trames cryptées ayant le même IV. Dans le même ordre d'idées, certaines implémentations initialisent le IV à zéro au redémarrage, ce qui facilite l'attaque sur les trames chiffrées avec le même IV. D'autres utilisent un générateur aléatoire pour constituer le IV.

Dans un réseau d'entreprise, 5 a 8 heures de trafic peuvent suffire à transmettre un tel nombre de trames. En effet pour un AP qui envoie des paquets de 1500 octets à un débit de 11 Mbps, le calcul est simple, il suffit approximativement de : 1500*8/ (11*106)*224 = 18000 secondes soit bien 5 heures en moyenne avant qu'un IV soit rejoué. L'information de chiffrement perd son caractère aléatoire et des cryptogrammes chiffrés avec une même clé circulent à intervalles réguliers. On parle alors de collisions. Les collisions sont facilement détectables, étant donné que l'IV circule en clair.

Le principe employé afin de trouver la clé WEP, est basé sur l'analyse des trames chiffrées. Une écoute passive des communications permet de capturer les trames. On peut utiliser pour cela le logiciel KISMET (on appelle ce type de logiciel : un analyseur de protocoles) ou encore ETHEREAL, WIRESHARK. Lorsqu'on sniffe (écoute) le réseau, on doit mettre la carte Wi-Fi en mode monitor, dans ce mode, la carte ne se comporte plus comme une interface réseau normal mais capture tout le trafic dans le voisinage. La phase d'écoute doit donc nous permettre de récupérer un nombre important de trames cryptées avec la même clé. Lorsqu'une collision survient, on obtient de l'information sur la différence entre les clairs. La connaissance de cette attaque permet des attaques statistiques qui donnent accès au clair.

. 3.4. 2. Attaque par clé apparentée

Imaginons que pour une clé WEP K, nous avons deux messages clairs, M1 et M2, et leurs versions chiffrées C1 et . On a alors les identités suivantes :

M1 xor K= C1'

M2 xor K= '

On en déduit que:

M1 xor M2 = C1 xor

Cette donnée apporte des informations que l'on peut utiliser dans certaines conditions. S'il l'on connaît l'un des deux textes en clair, par exemple, mais pas ce n'est pas là l'unique possibilité. En effet, il faut savoir qu'on connaît souvent le début des trames en clair car elles contiennent des informations redondantes (les adresses des stations qui communiquent notamment) la plupart du temps. On sait par exemple que la majorité du trafic d'un réseau WiFi est constitué de trafic IP et à partir de cela, on en déduit ce que contiennent les headers des trames. On identifie par exemple les paquets ARP par leur taille et leur adresse de destination qui est l'adresse broadcast Ethernet (FF : FF : FF : FF). On connaît ensuite la structure et les valeurs courantes de certains champs des paquets ARP (8 octets d'en-tête LLC/SNAP, 8 octets d'en-tête ARP, 6 octets d'adresse MAC de la source). On parle d'attaque par clé apparentée ou encore d'attaque active des extrémités.

Le fait de disposer de toutes ces informations nous permet de retrouver avec une forte probabilité avec les premiers octets du Key Stream (22 pour un paquet ARP, 8 pour un paquet IP) et progressivement la clé WEP et ainsi de déchiffrer tous les autres messages chiffrés avec cette clé. Notre progression est liée, rappelons-le, au nombre de trames capturées. Si on dispose de n messages chiffrés, on parle de problème de profondeur n.

Il est important d'obtenir est l'adresse IP de destination. L'attaquant va alors pouvoir modifier les bits appropriés pour changer l'adresse de destination et envoyer le paquet vers un hôte (une station) sous son contrôle. Si l'installation dispose d'une connexion Internet, l'AP va déchiffrer le contenu des paquets pour les envoyer à la passerelle reliée à Internet, qui à son tour les renverra vers l'attaquant. Cela s'appelle l'IP Redirection (ou IP Forwarding).En modifiant le message, on change également le contrôle d'intégrité (contrôle de conformité). Pour que la trame forgée soit valide, on peut utiliser les propriétés du CRC (détaillées plus loin), des attaques statistiques ou alors compenser la modification du champ de l'adresse de destination (par exemple avec l'IP source) de manière à ce que le CRC reste identique.

Il existe une autre méthode appelée attaque avec test de validité (Reaction Attack ou attaque par réaction) qui utilise l'AP pour déchiffrer la trame. Contrairement a l'IP Redirection, elle fonctionne même si le réseau n'est pas relié à Internet. En revanche, elle ne déchiffre que le trafic TCP/IP. Elle consiste à forger des messages et à tester les réactions du destinataire selon qu'il l'accepte en renvoyant un accusé de réception (ACK pour acknowledgement) ou non, en la rejetant. Le destinataire est qualifié d'oracle. Selon la réaction (qui dépend de la validité du TCP Checksum), on peut déduire des octets du plaintext.

~ . . . Attaques FMS

En 2001, une attaque passive sur les IVs est publié par Scott FLURHER, Itsik MANTIN, Adi Shamir (le S de RSA). Son nom correspond d'ailleurs à leurs initiales : FMS. Cette attaque exploite le fait que l'algorithme RC4 présente des IVs dits faibles (ou encore favorables) qui permettent de prédire avec une probabilité raisonnable de nombreux bits dans la table d'état S. Cette attaque est connue sous le nom de «invariance weakness». Il faut donc identifier les circonstances dans lesquelles des IVs faibles peuvent apparaître et éviter de les utiliser.

La deuxième attaque de Fluhrer, Mantin et Shamir est la «known IV attack ». Elle nécessite la connaissance de l'IV ce qui est le cas puisqu'il circule en clair sur le réseau, et la connaissance du premier octet de M (à deviner). Dans un certain nombre de cas (« les cas résolus », suivant l'expression de Fluhrer, Mantin et Shamir ) , la connaissance de ces 2 éléments permet de déduire des informations sur la clé K. Pour cela, on travaille avec un IV faible. Chaque IV faible fournit une information sur le premier octet. Il faut correctement deviner chaque octet avant de pouvoir déterminer le suivant. Cela est dû à la nature des deux modules de RC4 : KSA et PRGA. La détermination de chaque octet à partir d'un seul IV favorable est statistique et donne une probabilité de succès de 5%. En cas de succès, on parle de cas résolu. C'est pourquoi l'on cherche a capturer un maximum de trame avec des IVs faibles.

Toutefois cette attaque théorique n'avait pas été testée par ses auteurs. La validité de cette attaque a été montrée par un étudiant américain, Adam Stubblefield, associé à deux spécialistes de la sécurité des laboratoires d'AT&T, John Ionnadis et Aviel Rubin. Leur principale difficulté a été de deviner le premier octet des données brutes. Malgré les différents types de protocoles utilisés (notamment ARP et IP), il s'est avéré que 802.11 rajoute une couche supplémentaire en encapsulant tous ses paquets (header SNAP). Ainsi, tous les paquets capturés commençaient par le même octet 0xAA. Selon les auteurs, 256 cas «résolus» suffisent pour retrouver l'intégralité de la clé de 128 bits.

Peu de temps après, des développeurs ont mis à disposition sur Internet les logiciels WEPCRACK et AIRSNORT capables de casser une clé WEP selon la technique FMS.

~ . . . Optimisation de FMS

Récupérer l'échantillon représentatif peut prendre un "certain temps", qui dépend principalement du trafic généré sur le réseau. La technique étant passive, si le réseau est peu utilisé (cas par exemple d'un réseau sans fil personnel, qui ne sert qu'à partager une connexion Internet pour deux ou trois clients), l'opération peut durer plusieurs semaines. L'expérience a montré que cette seule attaque nécessite la capture d'entre 5 et 6 millions de trames pour retrouver la clé. En 2002, ce nombre fut réduit à 1 million par David Hulton

(h1kari) qui ne prit pas en considération uniquement le 1er octet du keystream mais aussi les suivants.

Afin d'accélérer la recherche, des outils apparaissent, permettant la réinjection des paquets capturés, pour augmenter artificiellement le trafic et ainsi diminuer le temps pour casser la clé WEP. L'attaque devient alors active puisqu'on modifie le trafic sur le WLAN. Elle devient donc aussi plus facilement repérable pour l'administrateur.

Les constructeurs ont alors pensé à intégrer directement sur leurs nouveaux firmwares des mécanismes pour détecter les clés faibles et ne pas les utiliser. Airsnort devint dès lors inutilisable.

Le 8 août 2004, Korek, un hacker, diffuse sur le forum de Netstumbler l'outil CHOPPER (celui-ci n'est plus disponible) qui permet de casser la clé WEP, en capturant un nombre réduit d'IVs, faibles ou non. Il suffit d'environ 150000 trames pour retrouver une clé de 64 bits et de 500000 pour une clé de 128 bits. Il s'agit d'une attaque par cryptanalyse statistique des données chiffrées.

Des développeurs entreprirent de continuer le travail de Korek. Rapidement, la suite AIRCRACK (développé par le Français Christophe Devine) apparaît, combinant l'attaque FMS et celle de Korek. Il est le premier d'une longue série de logiciels (on peut citer WepLab, Aircrack-ng) démontrant les failles dues aux collisions des IVs. Une dizaine de minutes suffisent alors pour retrouver une clé WEP par ces moyens.

La suite d'outils Aircrack est constituée de 3 outils principaux : Airodump (équivalent de Kismet) qui collecte les trames sur le WLAN.

Aircrack qui casse les clés WEP.

Aireplay qui génère du trafic artificiel afin de diminuer le temps de collecte des trames chiffrées avec un même IV.

Aireplay exécute une attaque par rejeu, il essaie d'identifier les requêtes ARP (Adress Resolution Protocol) et les renvoie tels quels sur le réseau. Les autres clients répondront, générant ainsi du trafic.

Une fois que les trames sont collectées, la clé WEP est déterminée en quelques secondes. Le seul paramètre sur lequel il est nécessaire de travailler est le fudge factor qui détermine l'espace de recherche des clés.

Aircrack permet un autre type d'attaque. Autre création de Korek, elle s'appelle CHOPCHOP. Elle permet de décrypter un paquet chiffré avec le protocole WEP sans avoir connaissance de la clé. Le contrôle d'intégrité implémenté dans le protocole WEP permet à un attaquant de modifier à la fois le contenu chiffré du paquet et le CRC correspondant. On le verra plus en détail, plus loin. De plus, l'utilisation de l'opérateur XOR au sein du protocole WEP implique qu'un octet dans le message chiffré dépend toujours du même octet du texte en clair. En coupant le message chiffré de son dernier octet, le message devient corrompu mais il est possible de faire un choix sur la valeur de l'octet correspondant du texte en clair et de corriger le texte chiffré. On construit donc 256 trames modifiées, une pour chaque valeur possible de l'octet, et on les soumet à l'AP pour voir s'il les relaie ou non. Si c'est le cas, on a la bonne valeur, sinon la trame sera supprimée. On transforme donc l'AP en oracle. En répétant l'attaque sur tous les octets du message chiffré, il est possible de décrypter l'intégralité du paquet et de retrouver le keystream. Il est important de noter que l'incrémentation de l'IV n'est pas obligatoire dans le protocole WEP, il est donc possible de réutiliser le keystream pour forger d'autres paquets (en réutilisant le même IV).

. 3.4.5. Attaque par fragmentation

En 2004, encore, dans un contexte où le WEP prédomine toujours (et ce malgré sa vulnérabilité), Andrea BITTAU, Mark HANDLEY du collège of London et Joshua LACKEY de chez Microsoft publièrent un article (The Final Nail in WEP's Coffin - Le clou final au cercueil du WEP) sur une nouvelle attaque : l'attaque par fragmentation qui se base sur la réutilisation des keystreams. L'attaque a été implémentée sur le logiciel Wesside disponible a l'origine uniquement sur l'OS FreeBSD. On a vu que l'on pouvait par attaque à clés apparentées récupérer des keystreams de 8 ou 22 octets. Cela permet de chiffrer des messages très courts. En soit ce n'est pas très intéressant, il nous faudrait des keystreams ayant la taille maximum d'une trame (MTU ou maximum transmission unit). Le standard 802.11 prévoit un mécanisme qui permet de fragmenter une trame en 16 fragments au plus, chiffrés

indépendamment les uns des autres (chacune a donc un CRC distinct). On peut dès lors augmenter la portée du keystream. Prenons un keystream de 22 octets. On chiffre 16 fragments avec ces 22 octets. A chaque fois, 4 octets sont réservés pour le CRC32, on chiffre donc de manière effective (22-4)*16=288 octets de données avec seulement 22 octets de keystream. Mieux encore, lorsqu'un AP reçoit une trame 802.11 fragmentée qu'il doit relayer, il la défragmente (il déchiffre chaque fragment et rassemble tout en une trame). On se retrouve alors en situation de clair connu et on peut de cette manière récupérer un keystream plus long. En itérant ce processus, on récupère un keystream qui permet de chiffrer n'importe quelle trame (et de déchiffrer toutes celles associés au IV). On appelle cette phase : « le bootstrap », elle dure environ 30 secondes. De manière générale, si on dispose d'un keystream de N octets de X fragments, on obtient un keystream de longueur L=(N-4)*X+4.

Dans le schéma qui suit, on a pris un exemple simplifié où à partir de 8 octets de keystream et 4 fragments, on récupère un keystream de 20 octets.

Augmentation du keystream par fragmentation :

Il existe plusieurs façons d'exploiter cette attaque :

On peut dans un premier temps faire du mapping (dresser une carte du plan d'adressage et l'adresse de passerelle) du réseau. Pour cela, il nous suffit d'émettre des requêtes ARP, cela prend environ 5 minutes. On

pourra alors émettre des requêtes vers Internet et faire de l'IP Forwarding (vu précédemment).

On peut générer du trafic avec n'importe quel paquet IP (contrairement à Aireplay qui nécessite des paquets ARP) et le fournir à Aircrack. Cette méthode est implémentée dans Aircrack-ng.

On peut constituer une table IV/Keystream (la clé étant statique) qui permettra de chiffrer de déchiffrer n'importe quel message. La taille de cette table de keystream devrait être de 25 Gigaoctets . Cela prend 17 heures alors qu'Aircrack permet de casser la clé WEP en quelques minutes. L'attaque par fragmentation n'est donc pas une révolution mais une nouvelle faiblesse WEP.

Une autre méthode pour l'attaquant de constituer une table de décryptage est d'envoyer un message de type « ping ~ en clair, l'attaquant peut voir comment celui est chiffré. En confrontant les 2 versions, il obtient le keystream. Il suffit alors d'associer chaque keystream avec chaque IV.

. 3. 8.WEP et authentification

Le WEP intervient dans deux solutions d'authentification offertes par la norme 802.11.

La première s'appelle Open System Authentification. Elle est utilisée par défaut et se déroule en deux étapes. Un des parties envoie une trame dite de gestion, de sous-type authentification précisant le n° d'algorithme souhaité (ici ce sera 0). En retour, il lui est fourni une réponse positive ou négative dans une trame de même type. Cette méthode ne nécessite aucun pré-requis et peut être considérée comme une authentification nulle. Elle est utilisée pour mettre en place des points d'accès publics.

Si le WEP est utilisé, le corps de la trame est chiffré. Il est alors nécessaire que la clé utilisée par le AP et le client soit la même.

. 3.9. Conclusion

Le WEP avait à sa création pour but avoué (prétention) de proposer une solution de confidentialité équivalente au réseau filaire en s'appuyant uniquement sur un algorithme réputé sûr: RC4. A partir de cette certitude infondée, la simplicité d'utilisation a alors été privilégiée pour promouvoir le développement de ce protocole. Cette « négligence » de la sécurité n'a pas été sans conséquence.

Le développement exponentiel de l'Internet a chamboulé les donnes du point de vue de la sécurité des réseaux. La découverte constante, au cours de ces dernières années, de ces nombreuses failles devrait mettre un terme à l'utilisation du protocole WEP qui est tout bonnement à proscrire en entreprise

et à utiliser avec parcimonie en environnement domestique. C'est pour cela qu'il est progressivement remplacé par des solutions plus performantes telles que WPA et WPA2.

~ . LE 802.11i et LE WPA

L'évolution du chiffrement dans les réseaux sans fil est apparue avec le standard WPA (Wi-Fi Protected Access). Cette norme était initialement une norme intermédiaire en attendant la finition et la ratification de la norme IEEE 802.11i, devant apporter un niveau de sécurité satisfaisant pour l'ensemble des exigences en matière de chiffrement, authentification et intégrité.¹⁶

Le WPA introduit le protocole TKIP (Temporal Key Integrity Protocol), qui sera repris par la norme IEEE 802.11i. Ce protocole permet de remédier aux faiblesses du chiffrement WEP en introduisant un chiffrement par paquet ainsi qu'un changement automatique des clefs de chiffrement. L'algorithme de chiffrement sous-jacent est toujours le RC4 utilisé avec des clefs de 128 bits, mais contrairement au WEP, il est utilisé plus correctement. Des méthodes d'attaques ont cependant été publiées en novembre 2008 ; elles permettent sous certaines conditions de déchiffrer quelques trames arbitraires émises par le point d'accès vers une station et d'injecter de nouvelles trames (empoisonnement de table ARP par exemple).

Le standard WPA définit deux modes distincts :

Le mode WPA-PSK est vulnérable à des attaques par dictionnaire. Il est donc très important de choisir un secret (passphrase) fort afin de limiter ces risques.

Cependant, en ce qui concerne le chiffrement dans les réseaux sans fil, le WPA apporte un niveau de sécurité supérieur à celui fourni par le WEP. Il permet aujourd'hui de se prémunir contre la plupart des attaques cryptographiques connues contre le protocole de chiffrement WEP.

La dernière évolution en date de juin 2004, est la ratification de la norme IEEE 802.11i, aussi appelé WPA2 dans la documentation grand public. Ce standard reprend la grande majorité des principes et protocoles apportés par

¹⁶ http://www.wifinetnews.com/archives/002452.html - WPA PSK weakness (Moskowitz)

WPA, avec une différence notoire dans le cas du chiffrement : l'intégration de l'algorithme AES (Advanced Encryption Standard - FIPS-197). Les protocoles de chiffrement WEP et TKIP sont toujours présents. Deux autres méthodes de chiffrement sont aussi incluses dans IEEE 802.11i en plus des chiffrements WEP et TKIP :

WRAP (Wireless Robust Authenticated Protocol) : s'appuyant sur le mode opératoire OCB (Offset Codebook) de AES ;

CCMP (Counter Mode with CBC MAC Protocol) : s'appuyant sur le mode opératoire CCM (Counter with CBC-MAC) de AES ;

Le chiffrement CCMP est le chiffrement recommandé dans le cadre de la norme IEEE 802.11i. Ce chiffrement, s'appuyant sur AES, utilise des clefs de 128 bits avec un vecteur d'initialisation de 48 bits.

Ces mécanismes cryptographiques sont assez récents et peu de produits disponibles sont certifiés WPA2. Le recul est donc faible quant aux vulnérabilités potentielles de cette norme. Même si ce recul existe pour l'algorithme AES, le niveau de sécurité dépend fortement de l'utilisation et de la mise en oeuvre de AES.

De plus, WPA2 pose aujourd'hui des problèmes de compatibilité pour les clients d'un réseau sans-fil. En plus du matériel non encore répandu, tous les systèmes d'exploitation n'intègrent pas la norme WPA2 ou IEEE 802.11i.

A ce jour, compte tenu de la disponibilité du matériel, des problèmes de compatibilité et en l'absence de recul suffisant, la solution la plus sûre d'un point de vue cryptographique reste l'utilisation simultanée d'IPSEC. Contrairement au standard IEEE 802.11i, IPSEC bénéficie d'un recul certain quant à la qualité de la sécurité offerte. Le coût de mise en oeuvre est sans doute plus élevé. Néanmoins l'absence de recul concernant la norme IEEE 802.11i oblige à être prudent lorsque l'on désire un chiffrement d'un niveau éprouvé.

. . LE RADIUS

. . . Généralités sur le protocole RADIUS

L'authentification est l'opération par laquelle le destinataire et/ou l'émetteur d'un message s'assure de l'identité de son interlocuteur. L'authentification est une phase cruciale pour la sécurisation de la communication. Les utilisateurs doivent pouvoir prouver leur identité à leurs partenaires de communication et doivent également pouvoir vérifier l'identité des autres utilisateurs. L'authentification de l'identité sur un réseau est une opération complexe, car les parties qui communiquent ne se rencontrent pas

physiquement lors de la communication. Un utilisateur malveillant peut ainsi intercepter des messages ou emprunter l'identité d'une autre personne ou entité. ¹⁷

Le protocole RADIUS (Remote Authentication Dial-In User Service) en français « service d'authentification distante des utilisateurs d'accès à distance », mis au point initialement par la société Livingston, est un protocole d'authentification standard, défini par les RFC 2865 (pour l'authentification) et 2866 (pour la comptabilité).

. . . Fonctionnement de RADIUS

Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les accès d'utilisateurs distants à un réseau en utilisant le protocole UDP et les ports 1812 et 1813. Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une base d'identification (base de données, Active Directory, annuaire LDAP, etc.) et un client RADIUS, appelé NAS (Network Access Server), faisant office d'intermédiaire entre l'utilisateur final et le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à un secret partagé.

Le scénario du principe de fonctionnement est le suivant :

Un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance ;

Le NAS achemine la demande au serveur RADIUS ;

Le serveur RADIUS consulte la base de données d'identification afin de connaître le type de scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient, soit une autre méthode d'identification est demandée à l'utilisateur. Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :

ACCEPT : l'identification a réussi ;

REJECT : l'identification a échoué ;

CHALLENGE : le serveur RADIUS souhaite des informations supplémentaires de la part de l'utilisateur et propose un « défi » (en anglais « challenge ») ;

CHANGE PASSWORD : le serveur RADIUS demande à l'utilisateur un nouveau mot de passe.

¹⁷ Serge Bordères, Authentification réseau avec Radius 802.1x - EAP - Free Radius, Édition : Eyrolles, Collection : Blanche.

Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-àdire transmettre les requêtes du client à d'autres serveurs RADIUS. L'en-tête du paquet RADIUS comporte 5 champs:

Code : Définit le type de trame (acceptation, rejet, challenges, requête) Identifier : Associe les réponses reçues aux requêtes envoyées.

Length : Champ longueur.

Authentificator : Champ d'authentification comprenant les éléments nécessaires.

Attributes : Ensemble de couples (attribut, valeur).

CHAPITRE : ETUDE DE MISE EN SECURITE AU POINT D'ACCES
DANS UN SERVEUR RADIUS AU RESEAU WIFI

. Le Méthode d'authentification

Le RFC prévoit deux méthodes d'authentification des utilisateurs nommées PAP (Password Authentication Protocol) et CHAP (Challenge-Handshake Authentication Protocol). Ces méthodes ne sont pas les seules, d'autres peuvent être employées : c'est notamment le cas d'EAP (voir le point 3.3 à ce sujet)¹⁸.

. . . PAP

L'utilisation de PAP est suggérée au serveur RADIUS lorsque l'attribut User-Password est trouvé dans un paquet Access-Request. Dans ce cas, le mot de passe est alors transmis en clair du client au NAS (en principe sur une liaison point à point). Le NAS transmet ce mot de passe au serveur RADIUS par l'intermédiaire de l'attribut User-Password après l'avoir dûment chiffré (voir les points 3.2.4 et 3.4.2 à ce sujet).

~ .2. CHAP

L'utilisation de CHAP est suggérée au serveur RADIUS lorsque l'attribut CHAP-Password est trouvé dans un paquet Access-Request. CHAP est basé sur l'idée de transmettre une preuve de la connaissance du mot de passe mais pas ce dernier à proprement parler.

Le NAS génère un flux de bytes aléatoire de 16 octets et le transmet au client. Le client utilise ce nombre dans une fonction de hachage MD5 avec son mot de passe comme clé. Le client retourne le login, le haché (CHAP Response) et un identifiant de transaction (CHAP ID) au NAS. Ce dernier transfère alors :

le login via l'attribut User-Name,

le CHAP ID suivit de CHAP Response via l'attribut CHAP-Password et

le challenge original (l'aléatoire de 16 octets) via l'attribut CHAP-Challenge.

Le serveur effectue la même opération que le client et compare le résultat obtenu à CHAP Réponse.

Si CHAP a l'avantage de ne pas faire transiter le mot de passe sur le réseau, il implique la lecture de celui-ci côté serveur, ce qui n'est pas toujours une situation enviable.

18 Jonathan Hassell, RADIUS - Securing Public Access to Private Ressources

. . . Attributs, valeurs et dictionnaires

Les attributs sont l'essence même du protocole. C'est eux qui véhiculent les informations nécessaires aux NAS pour qu'ils puissent assurer les connexions. Le RFC 2138 définit pas moins de 41 attributs utilisés pour les opérations d'authentifications et d'autorisations. Les 15 attributs nécessaires a la comptabilisation sont eux définis dans le RFC 2139.

Les attributs ne peuvent être employés de manière anarchique. Le standard interdit l'emploi de certains attributs dans des types de paquets bien définis. Un exemple trivial est celui de l'attribut User-Password qui ne peut-être employé que dans un paquet de type Access-Request.

Un attribut est caractérisé par 3 champs représentés graphiquement sur ce schéma :

Le numéro (1 octet) : compris entre 1 et 255, le numéro identifie l'information qui caractérise l'attribut. Par exemple : 1 = User-Name.

La taille (1 octet) : la taille est calculée en fonction du contenu de l'attribut et doit être supérieure à 3.

La valeur (taille variable) : c'est dans ce champ qu'est contenu l'information véhiculée par l'attribut.

La littérature définit le terme de AVP (Attribute Value Pair). En français cette abréviation est parfois traduite en paire A/V (pour paire d'attribut et de valeur). En effet, un attribut est similaire à une variable informatique. Une variable étant caractérisée par son nom, son type et sa valeur, il en va de même pour un attribut.

Les types d'attributs sont bien entendu standardisés et peuvent être :

L'attribut numéro 26 est très particulier. Baptisé Vendor-Specific, il permet aux équipementiers de définir leurs propres paires A/V. Chaque vendeur s'est vu attribuer un identifiant spécifique (sur 1 octets). Les paires A/V spécifiques au vendeur sont encapsulées dans l'attribut 26 comme représenté dans le schéma ci-dessous :

La plupart des implémentations RADIUS utilisent un dictionnaire pour stocker leurs informations. Un dictionnaire peut par exemple être concrétisé dans un simple fichier. L'annexe 3 montre un exemple de ce a quoi peut ressembler un dictionnaire. L'emploi d'un dictionnaire est surtout très avantageux pour définir ses propres attributs (dans le cas de l'utilisation d'attribut Vendor-Specific évidemment).

Une liste exhaustive des paires A/V et de leur utilisation n'a pas sa place dans ce travail, les attributs étant clairement définis dans les documents de standardisation.

. . . EAP

Défini par le RFC 2284, EAP est l'abréviation de Extensible Authentication Protocol. Ce protocole n'est pas un composant requis dans un serveur RADIUS mais est inclus dans de nombreuses implémentations. EAP est une extension du protocole PP. L'abréviation EAP seule est communément admise, bien que les RFC parlent logiquement de PPP-EAP.

PPP est utilisé afin d'établir une communication point a point. Il prévoit trois phases consécutives. Tout d'abord, l'établissement d'un lien entre les deux intervenants a l'aide du protocole LCP (Link Control Protocol). Ensuite, ce lien étant établi, une phase optionnelle d'identification peut avoir lieu. Pour finir, ce sont les protocoles NCP (Network Control Protocols) qui sont utilisés pour configurer le protocole réseau employé durant toute la durée de la communication.

C'est au niveau de la deuxième phase de PPP que EAP entre en jeu. Au lieu d'imposer une phase d'identification, ce protocole entame d'abord une négociation sur la méthode d'authentification qui va ensuite être employée. Après que la négociation a abouti, la méthode retenue est appliquée. L'intérêt de cette façon de travailler réside dans le fait de supporter virtuellement n'importe quelles méthodes d'authentifications (d'oü l'emploi du terme extensible). Ces dernières peuvent alors être vues comme de simples plugins (ou librairies). Ces librairies seront installées aussi bien sur le client PPP que sur le serveur PPP.

Les NAS et les serveurs RADIUS modernes supportent cette extension. Pour ce qui est du NAS, lors d'une communication EAP, il agit comme une passerelle entre le client et le serveur RADIUS (voir le schéma ci-après). Ces deux dernières entités doivent donc avoir au moins une méthode d'authentification en commun.

Les méthodes pouvant intervenir lors d'une authentification utilisant EAP sont diverses. Citons en quelques-unes :

· EAP-MD5 est similaire à CHAP.

· EAP-GTC (GTC : Generic Token Card) : cette méthode utilise une carte
sur laquelle est noté un simple texte représentant un jeton (token).

· EAP-OTP (OTP : One Time Password) : cette méthode est basée sur l'emploi de fonctions de hachage de manière a ce que un hash (sur base d'un mot de passe, par exemple) ne soit utilisé que lors d'une et d'une seule transaction.

· EAP-TLS (Transport Layer Security) : cette méthode emploie une infrastructure à clés publiques pour authentifier les différentes parties.

Afin de supporter EAP, RADIUS définit deux nouveaux attributs EAPMessage et Message-Authenticator. La séquence classique d'authentification du client se passe comme suit :

Le client contacte le NAS et demande une identification de type EAP.

Le NAS envoie alors un paquet de type EAP-Request/Identity au client.

Le client répond par paquet de type EAP-Response/Identity.

Le NAS (qui pour rappel est un client RADIUS), contacte maintenant le serveur RADIUS et lui envoie un paquet de type Access-Request en encapsulant la demande du client dans l'attribut EAP-Message.

Le serveur RADIUS qui est compatible EAP, renvoie un paquet de type Access-Challenge contenant aussi un attribut EAPMessage.

Le NAS décapsule alors l'attribut et le transfert au client.

Le protocole d'authentification continue alors avec le nombre d'itérations nécessaires aboutissant en fin de parcours soit a un Access-Accept ou à un Access-Reject de la part du serveur RADIUS.

111.2. Gestion des types d'authentification

La plupart des serveurs permettent d'activer/désactiver les différentes

méthodes d'authentification qu'ils supportent. Un petit rappel des protocoles disponibles et leurs propriétés :

PAP : Password Authentication Protocol. C'est la méthode la plus simple. Le mot de passe voyage en clair entre la client et le NAS (cet

38

échange étant encapsulé par PPP par exemple). Il est ensuite chiffré par le secret partagé entre le NAS et le serveur radius. Une fois le mot de passe reçu, il est déchiffré et comparé à celui stocké dans la base de données.

CHAP : Challenge-Handshake Authentication Protocol. Ici, le mot de passe n'est pas envoyé sur le réseau mais on envoie une preuve de la connaissance de celui-ci au travers du succès d'un challenge (un défi), ce qui peut sembler plus intéressant qu'un mot de passe circulant en clair. Malheureusement, l'inconvénient de cette technique est qu'elle nécessite d'avoir accès au véritable mot de passe, et non a un hachage a sens unique de celui ci. En effet, les règles de bonne pratique en ce qui concerne le stockage des mots de passe recommandent vivement de ne pas enregistrer ce dernier en clair

(afin de réduire notamment la possibilité d'usurpation d'identité). C'est ce que font d'ailleurs par défaut la majorité des systèmes d'exploitations.

MS-CHAP: Microsoft Challenge-Handshake Authentication Protocol. Cette technique mise au point par la firme de Redmond est une modification de CHAP afin de pallier le problème d'accès au mot de passe. Elle permet en effet d'effectuer une authentification par challenge sans que le serveur n'ait a connaître réellement le mot de passe (le serveur ne connaissant

ème

que le hash de celui-ci). Deux versions co-existent, la 2 étant plus sûre car

ère

créée pour pallier le manque de la 1 .

EAP : Extensible Authentication Protocol qui n'est pas un protocole d'authentification a proprement parler. Il s'agit en fait d'un protocole d'accès, tout comme PPP, qui permet (a l'instar de ce dernier) une plus grande souplesse dans la négociation de la méthode d'authentification. C'est donc au

ème

niveau de la 2 couche du modèle OSI (802.1x) qu'il intervient. Pour l'utiliser, il

faut bien entendu disposer de NAS (points d'accès sans fil ou switchs) compatibles avec ce protocole. Ces derniers étant configurés pour transférer les requêtes AAA vers un serveur radius par exemple. FreeRADIUS supporte diverses méthodes d'identifications EAP que sont EAP-MD5, LEAP, EAP-GTC, EAP-SIM, EAP-TLS, EAP-TTLS, EAP-PEAP.

NB: le protocole digest (issu de l'authentification http) est également disponible mais assez peu employé. L'idée est la même que pour MS-CHAP lors de l'entrée en session, les preuves d'identités qui continuent a circuler durant la session étant dérivée de divers paramètres aléatoires passés lors de l'initiation du protocole et modifiés au cours des échanges. Ce dernier est utilisé notamment par certains serveurs SIP.

Afin d'activer PAP, CHAP et MS-CHAP dans FreeRADIUS, il suffit que ces lignes soient présentes dans le fichier radiusd.conf :

pap {encryption_scheme = md5}

chap {authtype = CHAP}

mschap {authtype = MS-CHAP}

Le paramètre utilisé pour PAP est la méthode de hashing utilisée pour stocker le mot de passe de l'utilisateur (clear, crypt, md5 ou sha1). La méthode proposée par Microsoft peut prendre d'autres paramètres particuliers a certaines implémentations. Mais pour une utilisation générique, ils peuvent être ignorés.

Pour EAP : se rendre dans le fichier eap.conf (inclus par défaut dans le fichier de configuration principal). La variable default_eap_type permet de choisir un type d'authentification par défaut. Le reste de la configuration dépendra des méthodes EAP que l'on souhaite utiliser.

. 3. Problèmes de sécurité, attaques et contre-mesure 111.3.1. Les paquets de type Access-Request

Le problème de sécurité réside dans le fait que le standard ne prévoit aucune vérification pour ce type de message. Bien entendu, le serveur RADIUS vérifie qu'un paquet Access-Request est bien transmis par un de ses clients, mais les techniques de subtilisation d'adresses IP (IP spoofing) sont aujourd'hui une réalité. Si un opposant est capable de se faire passer pour un NAS, il peut alors effectuer une série d'attaques afin de déterminer, par exemple, le mot de passe d'un utilisateur.

La contre mesure proposée est de rendre l'utilisation de l'attribut Message-Authenticator obligatoire dans tous les paquets de type Access-Request. Si cet attribut n'est pas présent, le serveur ignore le message. L'attribut Message-Authenticator est le résultat d'une fonction de hachage utilisant le secret partagé comme clé.

111.3.2. Attribut User-Password

L'attribut User-Password est protégé par une méthode qui n'est pas considérée comme crypto graphiquement sûre. Elle est basée sur un chiffrement en chaîne (similaire au chiffrement de Vernam).

La clé employée pour ce chiffrement est le résultat d'un hachage MD5 du secret partagé concaténé au Request-Authenticator. La taille du message à chiffrer est fixée à 16 octets. Si le mot de passe est composé d'au moins de 16 caractères, il est complété par des caractères de valeur null. Les deux valeurs sont ensuite XORées et placées dans le paquet envoyé sur le réseau.

L'attaque est basée sur l'idée que, sur un système chargé, le champ Request-Authenticator fini tôt ou tard par utiliser une ancienne valeur. Si l'opposant est capable de sniffer le trafic entre un NAS et un serveur RADIUS et de se constituer une base de données de Request-Authenticator, il finira par posséder deux messages chiffrés par la même clé. Le résultat d'une opération XOR sur ces deux messages sera deux password (ou partie de password) XORé, ce qui permettra plus que probablement de déduire le mot de passe.

~ . . Secret partagé

Une grande critique faite a RADIUS est qu'il autorise l'emploi du même secret partagé pour plusieurs clients (ce qui facilite grandement les attaques). De plus, ce secret n'a pas de longueur minimum et certaine implémentation du serveur (ou certain NAS) le limite parfois à 16 caractères. Enfin, le secret est souvent entré a l'aide d'un clavier n'autorisant pas l'emploi des 256 valeurs possibles pour chaque caractère.

Une attaque peut être tentée pour déterminer le secret partagé. Celleci suppose que l'opposant peut soumettre une requête à un NAS et sniffer en même temps le trafic entre ce NAS et le serveur RADIUS. L'opposant soumet un mot de passe de son choix (et de moins de 16 caractères) au NAS et intercepte le paquet Access-Request. Vu qu' il connaît le mot de passe, un simple XOR lui renvoie le MD5 (voir ci-avant). Ce hash contient le secret partagé et un Request Authenticator connu. L'opposant peut maintenant déterminer (hors connexion), le secret partagé en utilisant une attaque de type brute force.

~ . . Quelques mots sur Diameter

RADIUS a été la première véritable implémentation d'un protocole AAA. Il est connu et utilisé par la majorité des équipementiers en télécommunication ce qui lui assure encore une belle carrière. Néanmoins, les manquements inhérents à sa conception ont encouragé de nouvelles initiatives. Diameter est l'une d'entre elles et commence déjà a faire parler d'elle. Sa

18

standardisation est toujours en cours , les documents déjà disponibles a l'IETF en sont encore au stade de brouillon (Internet-Draft)¹⁹.

Diameter peut se définir comme une amélioration de RADIUS (ce qui n'est pas étonnant étant donné que les notions de bases sont édictées par l'architecture AAA). En quelque sorte, Diameter corrige les défauts de son prédécesseur. Les avantages de Diamater sur RADIUS sont les suivants :

Amélioration du transport :

Augmentation conséquente de la taille des paquets (16 Mo au lieu de 4 Ko).

19 http://docs.hp.com/en/T1428-90011/index.html

deux protocoles sont adaptés aux problématiques de congestion réseau.

Les paquets perdus sont retransmis par le plus proche voisin. Avec RADIUS, lorsqu'une requête est perdue, c'est le NAS a l'origine de cette requête qui, puisqu'il ne recevra pas de réponse, décidera de réémettre une nouvelle demande.

Une connexion persistante est utilisée entre chaque partie de façon à détecter une panne éventuelle.

Amélioration du proxying :

Le maillage entre les intervenants combiné à la détection des
pertes provoquent la retransmission du paquet au bon endroit.
Un intervenant ne pouvant joindre son voisin par défaut

transférera le paquet en utilisant un autre chemin (si celui-ci

permet d'aboutir a destination).

· Un intervenant a la possibilité de mettre des requêtes en attente. Grâce à cela, si un lien est interrompu momentanément (et qu'il est la seule voie d'accès), les paquets seront envoyés dès le rétablissement de celui-ci.

Amélioration du contrôle des sessions :

La gestion des sessions est indépendante de l'accounting. Un type de paquet spécifique est destiné à la gestion des sessions. Le serveur peut demander la clôture d'une session ou demander une ré-authentification.

Amélioration de la sécurité :

La sécurité de proche en proche est assurée via IPSEC ou TLS. Diameter propose une sécurité de bout en bout en utilisant le chiffrement et les procédures de signature digitale.

Plus besoin de secret partagé.

. . Périphérie du serveur RADIUS

Comme stipulé précédemment, il existe diverses bases de données utilisateurs dont la plus importante (celle des utilisateurs internes) est stockée dans Active Directory. Dans ce cas, la plupart des administrateurs systèmes décideraient de consolider cette base et y centraliseraient le maximum d'informations. La démarche a été tout autre.

solution étant intimement liée à AD, faire marche arrière était impossible.

Un choix de raison a donc été fait : celui d'avoir, non pas une, mais deux bases de données d'utilisateurs. Les membres du personnel restant gérés par l'infrastructure Windows déjà en place et tous les autres étant regroupés dans une base de données MySQL.

Le dernier problème à résoudre est de déterminer le chemin par lequel Free RADIUS va accéder à la DB utilisateur de AD. Trois choix possibles :

Utiliser NTLM et une simple authentification basée sur MS-CHAP. (Cette technique est abordée au point 5.4.4.4)

Utiliser le connecteur LDAP d'Active Directory. Qui permet a la fois l'authentification et l'autorisation, mais oblige l'utilisation du protocole PAP (voir le point 5.4.4.3)

Installer IAS et utiliser FreeRADIUS comme proxy.

ème

C'est la 2 solution qui a été retenue assumant le fait que l'on ne

souhaitait pas utiliser IAS et que l'utilisation de LDAP n'imposait aucune modification sur les serveurs Microsoft. La contrainte de l'utilisation de PAP ne posait pas de problèmes, les paquets étant restreints au VLAN de management car les applications employées par ces utilisateurs sont de type WEB.

Le schéma ci-après clôture cette partie. Il est organisé autour du serveur radius, on y retrouve tous les intervenants et les protocoles utilisés. Les traits de couleurs caractérisent les protocoles : en rouge le type d'authentification entre le client final et le NAS, en vert les paquets radius, en jaune les échanges de certificats et en bleu l'accès vers les bases de données.

. 5. Point d'accès sans fil

111.5.1. Installation de la PKI

Avant de pouvoir implémenter cette partie, il a fallut déployer une

61

infrastructure PKI mettant en oeuvre une CA . La choix d'utiliser la PKI de Microsoft (et d'ainsi créer notre propre CA) a été fait pour diverses raisons dont les principales sont :

L'intégration et l'installation rapide de cette PKI sur le domaine existant (qui est l'argument massue, souvent avancé en faveur de Microsoft).

La création assistée des certificats par le biais d'une interface WEB (nécessitant une identification préalable).

62

Les postes clients étant intégrés au domaine, l'utilisation des GPO permet d'installer les certificats sans qu'une intervention de l'utilisateur ne soit requise.

Pas de frais de licence supplémentaires.

celui de la CA validé par elle-même.

Les certificats clients sont crées via l'interface WEB proposée par Microsoft. Celle-ci est restreinte à une utilisation en interne pour des raisons évidentes de sécurité. Cette interface installe un ActiveX qui se charge de générer la clé secrète, la clé publique et la demande de certificat. Cette demande est alors transférée à la CA qui appose sa signature et renvoie le certificat validé (au passage, elle prend soin de stocker ce certificat dans l'annuaire Active Directory). Ce processus est totalement transparent pour l'utilisateur. Ce dernier ne fait que cliquer sur deux liens : « Request a certificate » et « user certificate ».

Bien que cette méthode puisse faire horreur à un expert en sécurité averti, le choix de l'emploi de cette interface WEB est un gain de temps précieux pour l'administrateur système.

Il faut maintenant générer un certificat pour le serveur RADIUS. Comme notre serveur ne possède pas d'interface graphique, nous sommes contraints de passer par la génération manuelle de la clé secrète et de la demande de certificat. Pour générer ces deux éléments, l'outil OpenSSL s'avère être une aide précieuse. Deux commandes suffisent à créer les fichiers :

openssl genrsa 1024 : va générer une clé privée non chiffrée. openssl req -new -key <chemin vers la clé privée> : va produire une demande de certificat. Après avoir répondu à plusieurs questions (paramétrées par le fichier openssl.cnf), on obtient la précieuse demande.

Le service web de la CA contient une page dédiée a l'envoi de Certificate Request. Après avoir sélectionné un canevas (dans le cas qui nous occupe il s'agit d'un canevas serveur), on peut poster le fichier généré par OpenSSL. Et obtient en retour un certificat dûment validé par la CA. Finalement, les trois éléments nécessaires à la bonne configuration de notre serveur radius sont réunis :

La clé privée du serveur (ci-après : privkey.pem),

Le certificat du serveur (ci-après : radius.crt),

Le certificat de la CA (ci-après : ca.crt).

. 5.2. Configuration des Access Point

Les NAS employés sont des Cisco Aironet 1200. La configuration a été effectuée par le biais de l'interface WEB. Les opérations a effectuer sont les suivantes :

Définir le serveur RADIUS (adresse IP, ports et secret partagé) Créer un SSID qui requiert une authentification de type EAP et pour lequel la gestion des clés de chiffrement est assurée par le protocole WPA.

Activer la gestion du chiffrement via TKIP (et éventuellement AES CCMP si les périphériques supportent la norme WPA2).

. 5. 3. Critiques de l'authentification WEB sur RADIUS

L'emploi de RADIUS comme méthode d'authentification WEB est tout a fait fonctionnel s'il se limite a ce seul aspect. En effet, la gestion des droits d'une application en mode WEB est totalement impossible avec RADIUS. Et ce n'est pas étonnant vu que l'on sort largement du cadre des opérations orientées réseau.

En ce qui concerne l'accouting, même s'il est exploitable via PHP, son exploitation ne paraît pas souhaitable. La nature de HTTP ne permet pas réellement de maintenir l'état d'une session (même si ce processus est simulable). L'idée est qu'il paraît difficile de savoir avec certitude quand un client ferme son navigateur, quitte le site ou interrompt sa connexion. Ce problème rend donc peu probable l'envoi des paquets Accounting-Stop nécessaires a la bonne interprétation des données d'accounting. De plus, les types de données que permet de stocker l'accounting sont limités et il est peu probable qu'elles rencontrent les besoins d'une application WEB.

CONCLUSION GENERALE

Nous voici au terme de notre travail portant sur l'étude de mise en sécurité sur le point d'accès dans un réseau.

Notre motivation consiste à savoir comment peut-on sécurisé le réseau wifi en passant par un point d'accès. Malgré des problèmes de sécurité intrinsèques, les réseaux sans fil continuent et continueront probablement à se développer. Il est donc important de bien connaître les problèmes liés à la mise en place de ce type de réseaux afin d'en limiter les effets néfastes. Il est également important de déterminer le niveau de sécurité souhaité afin de mettre en place une solution en adéquation avec ce choix.

Malgré le peu de recul sur la norme IEEE 802.11i, celle-ci est vouée à s'imposer comme la norme unificatrice en matière de sécurité. A ce jour, avec le peu de recul sur la norme IEEE 802.11i, l'utilisation d'IPSEC reste la manière la plus sûre de sécuriser son réseau sans fil, ce qui n'interdit pas de mettre en place le chiffrement disponible sur le lien radio.

Pour un réseau fiable, il vaut mieux donc opter pour une sécurité WPA, même si celui-ci nécessite un réseau en mode infrastructure. Par soucis de confidentialité, il est préférable d'avoir un réseau sécurisé. Dès lors que le cryptage WPA/WPA2 sera décryptable par n'importe qui, d'autres méthodes de chiffrement vont faire leurs apparitions, et ainsi de suite. C'est pour cela qu'aucune sécurité n'est infaillible.

BIBLIOGRAPHIE

I. OUVRAGE

> DI GALLO Fréderic, l'essentiel du réseau wifi,

> Jonathan Hassell, RADIUS - Securing Public Access to Private Ressources,

> Alexandre CHAUVIN-HAMEAU, Wi-Fi Maîtriser le réseau sansfil,

> Philippe ATELIN, Wi-Fi Réseaux sans fils 802.11,

?

II. Sites

> http://www.commentcamarche.net/wifi/wifi-wep.php3 > http://fr.wikipedia.org/wiki/Wep

? www. Mémoire online Technologie sur le réseau wifi.com

? www. Mémoire online mise en place d'un reseau wifi.com