Kondah HamzaConsultant et Formateur en Cybersécurité Microsoft MVP en Sécurité des Entreprises

CEO de Nuxia TechnologiesFormateur Alphorm.com

"Si j'avais huit heures pour abattre un arbre, je passerais

six heures à affûter ma hache."

- Abraham Lincoln, 16ème président américain

▪ Près de 120 000 cyberattaques ont lieu chaque jour dans le monde.

▪ (78,9 millions (2018) ; 138 milles (2004) contre 252 en 1990)

▪ Depuis l’évolution du piratage informatique, vers des attaques très structurées, ayant pour finalité un gain financier

▪ 2018 : Pertes liées au piratage informatique estimées à 0,9 % du PIB mondial (entre 400 et 575 milliards de dollars!)

▪ Le cybercrime extrait 15 à 30 % de l’économie mondiale du Net de 3 trillions de dollars

▪ Périphériques de plus en plus connectés

▪ Ouverture complète au net ➔ Aucune notion de sécurité native/by-design ni lois !

▪ Le problème = L’ interconnexion des réseaux …

▪ Le Wardriving consiste à parcourir tous les lieux où la Wifi est déployée, muni d'un ordinateur doté d'une carte Wifi et d'un récepteur GPS (Global Positioning System) afin de découvrir toutes les bornes Wifi existantes (votre " box " Wifi) et de noter l'adresse géographique (longitude - latitude) où elle sont trouvées.

▪ Un test d'exposition consiste à énumérer tous les actifs présents sur le réseau public d'une organisation.

▪ Celui-ci permet d'avoir une vue globale de l'empreinte numérique visible par un attaquant.

▪ La volatilité des infrastructures informatiques et des informations numériques fait qu'il est parfois difficile d'évaluer pleinement la surface d'exposition et d'attaque d'une organisation

Conexus Radio Frequency Telemetry Protocol

▪ Les deux principaux vecteurs d’intrusion sur les systèmes d’information sont les attaques externes (depuis Internet) et internes (par un individu malveillant accédant au réseau interne).

▪ La généralisation des accès sans fil offre toutefois de nouvelles pistes aux attaquants, qui peuvent mener des intrusions internes sans accès physique aux systèmes ciblés.

▪ Le test d’intrusion Wi-Fi est réalisé sur site afin de mesurer le niveau de risque associé à l’infrastructure sans-fil déployée.

▪ Qu’il s’agisse d’un point d’accès unique ou d’une configuration Wi-Fi complexe, l’objectif est d’identifier les faiblesses qui pourraient profiter à un individu malveillant à proximité des locaux du client.

▪ Les tests d'intrusion Red Team ont pour but d'évaluer la sécurité globale d'une entreprise en mettant à l'épreuve ses différents moyens de protection, qu'ils soient physiques, humains, organisationnels et informatiques.

▪ Cette prestation se déroule sur une période large de plusieurs semaines.

▪ Comme une véritable attaque ciblée, celle-ci se déroule en plusieurs phases soigneusement préparées et pouvant atteindre tous les actifs de l'entreprise :

▪ Intrusion physique dans les locaux.

▪ Ingénierie sociale contre les employés.

▪ Intrusion via des vulnérabilités réseau ou système.

▪ Exploitation de failles dans les applications.

▪ Plusieurs intérêts à cette prestation :

▪ Évaluer le niveau de sécurité de votre système d'information de manière générale

▪ Évaluer les actions de votre équipe sécurité (votre blue team), ou de votre SOC, face à la détection d'intrusions, quelle qu'elle soit.

Attaque ciblée

▪Grand impact sur la cible.

▪ Basée sur une stratégie et une cible bien déterminée.

▪Avec de très bonnes compétences techniques.

▪Utilisation de techniques sophistiquées et furtivité.

▪ Le gain financier ou industriel n’est pas immédiat.

▪ Le coût est non-négligeable.

Attaque classique

▪ Impact faible ou moyen.

▪ La cible est découverte d’une façon opportuniste.

▪Variation des compétences (d’un script kiddie au hacker).

▪ Les systèmes ciblés sont souvent non ou partiellement patchés.

▪ Le gain rapide.

▪ Recherche de la reconnaissance.

▪ Périmètre à le porté du hacker

▪ Problématique des réseaux sans fil

▪ Erreurs de configuration récurrentes

▪ Comment contrôler la distance d’émission ?

▪ Accès physique

▪ Non vérification de l’accès physique.

▪ Un employé mal intentionné est plus dangereux qu’un hacker pour une

entreprise.

▪ Supports/Hardware infectés

▪ Attaques réseaux

▪ Découverte de partages réseau.

▪ Man In The Middle (MITM).

▪ Accès persistant au réseau.

▪ Le Social engineering est la pratique d'obtention d'informations critiques en

exploitant la faille humaine

▪ Art Of Deception

▪ Vitale pour les pentesteur dans le sens ou il y a un manque d'information

concernant la cible

▪ L‘être humain = Le maillon faible dans la ligne de défense de l'entreprise/cible

▪ La couche la plus vulnérable dans une infrastructure

▪ En tant qu‘être social, cela nous rend automatiquement vulnérable à des attaques

de social engineering

▪ Plusieurs vecteurs d'attaque

Pre-engagement interactions

Intelligence gathering

Vulnerabilityanalysis

Exploitation

Post exploitation

Reporting

CVE CVSS Mitre

▪ IEEE 802.11 est un ensemble de normes concernant les réseaux sans fil locaux (le Wi-Fi)

▪ Il a été mis au point par le groupe de travail du comité de normalisation LAN/MAN de

l'IEEE (IEEE 802).

▪ Le terme IEEE 802.11 est également utilisé pour désigner la norme d'origine 802.11

▪ Chaque périphérique WiFi représente un transmetteur

▪ C’est-à-dire qu’il peut transmettre TX et recevoir RX des ondes

▪ Chaque périphériques possède ses propres spécifiés

▪ L’utilisation d’applications tierces peuvent entraver le processus

▪ Atheros représente une excellente chipset + quelques produits Realtek & RaLink

▪ L’interfaçage se fait en mode PCI

▪ Cas spécial : les SoC (System On a Chip)

Point-To-Point

Point-To-Muti-Point

Multipoint-To-

Multipoint

Master Managed Monitor

(RFMON)

▪ Le spectre radio est divisé en différent canaux

▪ Au niveau des spectres 2.4 Ghz , il existe 14canaux

▪ Overlapping au niveau des canaux 1,6 et 11 et 14

▪ Les canaux dépendant des régions

▪ Amérique du nord 1 a 11 (légal) & Europe 1-13

▪ Le cas 5ghz

▪ Réseaux sans fils

▪ Complexité

▪ Politique allocation (spectre)

▪ Niveau de puissance

▪ USA ➔ FCC

• Régulation

• Changer ces paramètres ➔ Contre la lois !!

Authentication DeauthenticationAssociation

requestAssociation

responseReassociation

request

Reassociationresponse

Disassociation Beacon Probe requestProbe response

Request to Send (RTS)

Clear to Send (CTS)

Acknowledgement (ACK)

Point d accès Wi-Fi

Victime

Analyseur de paquets

Le dépannage et l'analyse de réseaux

informatiques

Le développement de protocoles

L'éducation et la rétro-ingénierie

Gère plus de 1300 protocoles

Filtres d’affichage

Filtres de captures

Wireshark permet de créer des profils à chaque

scénario spécifique

On peut associer chaque profil peut être associé

:

• Paramètres et réglages

• Des filtres de captures

• Des filtres d’affichage

• Règles de coloration

▪ SSID caché ➔ HSSID

▪ Le but ?

▪ Faux sentiment de sécurité

▪ Beacon frames

▪ Découverte facile

▪ Le plus grand risque : Se faire détecter par la cible

▪ La cible peut vous identifier à chaque moment

▪ Il existe des techniques de camouflage pour éviter

▪ Les recherches initiales doivent se baser principalement sur les personnes et Business

liées à la cible

▪ Base du Pentesteur

▪ Analyser tous les aspects

▪ Plus grande surface d’attaque

«Connaitre son ennemi » Sun Tzu, L’art de la guerre

▪ Filtres MAC

▪ Très ancienne technique basée sur le filtrage des adresses MAC du

client

▪ Code d’identification assigné à l’interface réseau

▪ Le routeur est capable de vérifier cette dernière et la comparer à une

Access List

▪ Bypassable☺

▪ WEP (Wired Equivalent Privacy ou Protection Equivalente au Filare)

▪ Clé d’une longueur de 64 à 256 bits dont 24 ne sont pas utilisés pour le

▪ chiffrement.

▪ Cela fait une clé, si on la compare à un mot, d’une longueur de 5 à 29

▪ caractères.

▪ La majorité des clés sont composées de 13 caractères.

▪ Faille algorithme

▪ Doit être initialisée à chaque échange pour ne pas utiliser deux fois la même clé

▪ une partie de la clé (les 24 bits en question) est utilisée

▪ comme élément d’initialisation (vecteur d’initialisation) et celui-ci n’est pas chiffré.

▪ KRACK Attack qui repose sur une faille d’implémentation

▪ PMKID ☺

▪ Les attaques utilisant WPS (https://en.wikipedia.org/wiki/Wi-Fi_Protected_Setup),

consistant à deviner un PIN ou utiliser un PIN par défaut afin de récupérer la clé PSK (le mot

de passe du point d’accès) et de s’y connecter

▪ Les attaques basées sur l’interception de trafic sans-fils et permettant d’injecter des

paquets de manière arbitraire

▪ L’attaque la plus commune ➔ applicable à tous les réseaux WPA/WPA2 : la capture d’un

challenge, permettant de recouvrer le mot de passe à partir d’une liste type dictionnaire ou

brute-force

▪ l’attaque consiste à capturer un échange complet EAPOL (composé de 4 échanges),

contenant de quoi recomposer un élément appelé PTK (Pairwise-Transient-Key), qui peut

enfin être utilisé comme élément de comparaison à partir d’une liste de mot de passe.

https://www.ssl247.fr/entreprise/blog/nouvelle-

attaque-wpa-wpa2

▪ l’attaque consiste à capturer un échange complet EAPOL (composé de 4 échanges),

contenant de quoi recomposer un élément appelé PTK (Pairwise-Transient-Key), qui peut

enfin être utilisé comme élément de comparaison à partir d’une liste de mot de passe.

https://www.ssl247.fr/entreprise/blog/nouvelle-

attaque-wpa-wpa2

https://www.ssl247.fr/entreprise/blog/nouvelle-

attaque-wpa-wpa2

https://www.ssl247.fr/entreprise/blog/nouvelle-

attaque-wpa-wpa2

Capturer ce fameux PMKID

Utiliser les éléments d’un dictionnaire pour calculer, tour à tour :

Un PMK correspondant à chaque mot de passe

Un PMKID correspondant à chaque PMK calculé

Pour chaque PMKID calculé, celui-ci sera comparé au PMKID capturé, jusqu’à ce que nous ayons un

« match »

Le standard 802.1X a été mis au point par l’IEEE en juin 2001

Il a pour but d’authentifier un client (en filaire ou en WiFi) afin de

lui autoriser l’accès à un réseau

On utilise le protocole EAP (Extensible Authentication Protocol) et

un serveur d’authentification qui est généralement un serveur

RADIUS

Le serveur RADIUS va authentifier chaque client qui se connecte

au réseau sur un port

Client

Port non contrôlé

Port contrôlé

Serveur radius

Réseau

Client RADIUS

Client

Port non contrôlé

Port contrôlé

Serveur radius

Réseau

Client RADIUS

Le protocole Extended Authentication Protocol sert pour le

transport des données nécessaires à l’authentification

Ce protocole est extensible, car on peut définir de nouvelles

méthodes d’authentification, car il est indépendant de la méthode

utilisée

EAP-MD5 : Authentification avec un mot de passe

EAP-TLS : Authentification avec un certificat électronique

EAP-TTLS : Authentification avec n’importe quelle méthode

d’authentification, au sein d’un tunnel TLS

EAP-PEAP : Authentification avec n’importe quelle méthode

d’authentification EAP, au sein d’un tunnel TLS

TYPE D'EAP Méthode d'authentification Caractèristique

Facile à implémenter

Supporté par la plupart des serveurs

Attaquable par dictionnaire hors-ligne

Pas d'authentification mutuelle

Utilisation de certificats par le client et le serveur , de ce fait création d'un tunnel sur

Authentification mutuelle entre le client et serveur

Création d'un tunnel TLS

Moins lourd que EAP-TLS , car pas de certificat du côté client

Moins sur que EAP-TLS , car pas de certificat du côté client

EAP-PEAP EAP-TTLS login / password et certificat

EAP-MDS login / password

certificat EAP-TLS

Lourd à mettre en place à cause des certificats coté client

Le protocole

Ce protocole se situe au-dessus de la couche de transport UDP, sur les ports 1812 et 1813

Pour l’authentification il y a quatre types de paquets :

• Envoyé par le contrôleur d’accès, contenant les informations sur le client (login/mot de

passe,...)Access-Request

• Envoyé par le serveur dans le cas où l’authentification est un succèsAccess-Accept

• Envoyé par le serveur dans le cas où l’authentification est un échec, ou si il souhaite fermer la

connexionAccess-Reject

• Envoyé par le serveur pour demander des informations complémentaires, et donc la

réémission d’un paquet Access-RequestAccess-Challenge

Les types de paquets de base :

EAP Request : Envoyé par le contrôleur d’accès au client

EAP Response : Réponse du client au contrôleur d’accès

EAP Success : Paquet envoyé au client en fin d’authentification si elle est

réussie

EAP Failure : Paquet envoyé au client en fin d’authentification si elle est ratée

• Hostapd-wpe /etc/hostapd-wpe/hostapd-wpe.conf• asleap -C 'd6:ff:33:73:aa:35:3f:3b' -R

'4e:45:c7:ba:b0:93:d7:01:1e:9b:3a:5d:f7:d9:fa:88:21:2b:ea:c5:ac:9c:8c:47' -W ~/Downloads/rockyou.txt

• Avec hashcat➔ username::::response:challenge

• ./hashcat -m 5500 -a 0 a.1 ~/Downloads/rockyou.txt