* Wi-Fi Protected Setup PIN brute force vulnerability

– Date : 04 Janvier 2012

– Plateforme : Routeur/Switch/Firewall/WiFi

– Gravité : Elevée

– Exploitation : Distante

– Dommages :

Vol d’informations

Contournement de sécurité

– Description :

Stefan Viehbock, un chercheur néerlandais en sécurité informatique, a publié à la fin du mois de décembre le fruit de ses recherches sur la fonction des routeurs WiFi baptisée WPS (Wi-Fi Protected Setup). Celle-ci avait déjà été étudiée par d’autres chercheurs tels que Craig Heffner et son équipe. Ces derniers avaient d’ailleurs utilisé leurs découvertes pour développer et commercialiser Reaver, un logiciel propriétaire permettant de contourner la fonctionnalité vulnérable...

Suite à la publication d’informations détaillées concernant certaines faiblesses dans l’implémentation de WPS, Craig Heffner, puis Stefan Viehbock, ont réagi de la même façon en publiant le code source de leurs logiciels leur permettant de contourner WPS.

Pour rappel, WPS permet à un utilisateur ayant accès physiquement au routeur ou au point d’accès WiFi de connecter son appareil mobile au réseau de façon simple, à partir du moment où il est en mesure de manipuler le point d’accès. En effet, WPS offre plusieurs méthodes permettant à un utilisateur de se connecter : l’appui sur un bouton, ou encore l’utilisation d’un mot de passe spécifique. Dans les deux cas, l’utilisateur est censé avoir accès au boitier sur lequel se trouvent les informations.

Grâce à l’une de ces options, un utilisateur est ainsi en mesure de simplifier la connexion de son appareil mobile au réseau WiFi. En effet, dès lors que l’une de ces deux options sera validée, le routeur ou le point d’accès enverra de lui-même les informations de connexion à l’appareil identifié afin que celui-ci soit en mesure de se connecter au réseau. Ces informations incluent bien évidemment la clef de chiffrement utilisée pour protéger l’accès au réseau, telle que celle utilisée avec les protocoles WPA ou WPA2, qui sont, pour rappel, toujours considérés comme sûrs. L’utilisation de l’une de ces deux options permet donc à l’utilisateur de s’affranchir de rentrer un mot de passe complexe comme peut l’être une clef WPA ou WPA2, utilisée habituellement lorsqu’un utilisateur n’a pas accès physiquement au point d’accès.

Malheureusement, pour les possesseurs de point d’accès WiFi, WPS a été pensé et implémenté de manière incorrecte, introduisant à cette occasion deux failles majeures dans le processus de connexion.

La première est la possibilité d’établir la connexion via l’utilisation d’un mot de passe unique indiqué en dur dans le micrologiciel du boitier WiFi, et bien entendu, aussi inscrit sur le boitier lui-même. En menant une simple attaque de force brute sur ce mot de passe, il est possible pour un attaquant de récupérer l’ensemble des informations de connexions.

La seconde vulnérabilité provient du design du protocole de communication mis en place au sein de WPS. En effet, il est possible pour un attaquant de valider la première partie du mot de passe (le PIN) dont la longueur est toujours de 8 chiffres, puis la seconde partie, en étudiant les retours du point d’accès à certains moments bien identifiés d’un échange. Un attaquant est ainsi en mesure de mener une première attaque de force brute sur les 4 premiers chiffres du code PIN, puis une fois que celui-ci est découvert, de mener une seconde attaque de force brute sur les 4 derniers.

En étudiant encore un peu plus WPS, le chercheur s’est même rendu compte que le dernier chiffre du code PIN correspondait à une somme de contrôle (checksum). Cette dernière information simplifie encore l’attaque de force brute en réduisant la complexité théorique d’une attaque de 10^8 (=100.000.000) essais, à 10^4 + 10^4 (=20.000), et enfin à 10^4 + 10^3 (=11.000) essais. Résultat, en maximum 11 000 tentatives, un pirate est en mesure d’obtenir l’ensemble des informations nécessaires pour se connecter au réseau WiFi !

D’après le chercheur, il suffirait d’environ deux heures en moyenne pour accéder à un réseau WiFi censé être protégé par WPS.

– Exploit :

Un code d’exploitation est disponible sur notre extranet

– Référence :

http://sviehb.wordpress.com/2011/12/27/wi-fi-protected-setup-pin-brute-force-vulnerability/

http://sviehb.files.wordpress.com/2011/12/viehboeck_wps.pdf

http://www.devttys0.com/2012/01/reaver-now-goes-to-11/

http://dl.dropbox.com/u/22108808/wpscrack.zip

http://code.google.com/p/reaver-wps/

http://www.silicon.fr/le-protocole-wps-des-bornes-wifi-nest-pas-sur-69820.html

http://www.silicon.fr/un-outil-permet-dexploiter-la-faille-wps-des-bornes-dacces-wifi-70060.html

http://www.kb.cert.org/vuls/id/723755

– Correction :

Aucun correctif n’est actuellement disponible de la part des éditeurs de point d’accès WiFi. Le CERT-XMCO recommande la désactivation de la fonction WPS.

– Lien extranet XMCO :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0006