Les "hotspots", cibles de plus en plus privilégiés des pirates
Date : 16 Juin 2005
Le phénomène Wifi prenant de plus en plus d'ampleur dans la vie professionnelle, les structures d'accueil telles que les gares, aéroports, hôtels, … proposent des services permettant aux personnes de se connecter sur Internet via des bornes d'accès sans fil appelées aussi "Hotspots".
L'engouement et le succès de ce type de service ont alors inévitablement intéressé le monde des hackers.
Connue depuis plusieurs mois et relayée notamment en début d'année par des experts britanniques en sécurité sans-fil, la technique, dite "Evil twin" (appelée aussi "AP Phishing"), permet d'usurper la fonctionnalité de "point d'accès" d'une infrastructure sans-fil (équipement présentant le même SSID et le même canal radio) présente sur des lieux publics.
Ce type d'attaque nécessite peu d'investissement, par exemple un équipement sans-fil avec des logiciels ad hoc (PC portable et logiciels de type "APSoft" - Point d'Accès logiciel) est parfois suffisant. Le principe du détournement se base essentiellement sur le fait de pouvoir diffuser un signal radio plus fort que les bornes d'accès légitimes (voire de pouvoir désactiver la borne légitime). La victime se connectera alors à son insu au point d'accès du pirate.
Une variante de cette technique se décline par la présence d'un serveur web imitant les portails d'accès des réseaux sans-fil sur le point d'accès du pirate. La victime se verra alors demander le couple classique, identifiant/mot de passe, au travers d'un portail semblant "légitime" afin de lui permettre de naviguer par la suite sur Internet.
Ainsi les buts des pirates peuvent être multiples :
· collecter simplement les couples de connexions aux "hotspots" légitimes,
· infecter le PC de la victime avec des vers, virus et autres chevaux de Troie,
· proposer de faux sites web en fonction des requêtes des utilisateurs,
· ou d'aller plus loin en interceptant (si le point d'accès frauduleux dispose d'une connexion vers Internet) tout le trafic "en clair" afin de dérober des identifiants et autres données sensibles.
Le fait que les cibles choisies par les hackers soient généralement des "hotspots" peut s'expliquer au travers des besoins de compatibilité avec les équipements clients et des besoins d'utilisation simplifiée qui entraînent inévitablement une sécurité (méthode d'authentification, chiffrement, …) très amoindrie; cet état facilitant grandement la tâche des pirates.
En effet, ce type d'attaque était déjà répertorié dans le monde du GSM sous le nom de "false BTS" et a connu apparemment une exploitation beaucoup plus limitée.
Ce scénario d'attaque fictif est aujourd'hui devenu une réalité. La société AirDefense, lors du dernier salon "Interop 2005", a mené une analyse sur le trafic Wifi engendré lors de cet évènement (dans la salle de repas et à l'étage des présentations). Les résultats montrent une activité malveillante assez éloquente :
· 1 318 stations ont sondé des réseaux qui n'étaient pas présents sur l'infrastructure du salon.
· 320 cas d'usurpation d'adresses MAC ont été constatés.
· 172 équipements dédiés aux scans ont été détectés.
· 63 attaques de type "déni de service" ont été détectées.
· 44 erreurs d'authentification ont été détectées.
· 37 attaques de type "brute force" ont été détectées.
· 25 attaques de type "Evil Twin" ont été détectées.
· 16 tentatives d'attaque de type "AP phishing" ont été détectées.
Mais le fait le plus marquant lors de ce salon a été la présence d'un point d'accès imitant un point d'accès légitime fourni par un sponsor du salon. Cette borne pirate proposait, une fois que la connexion était établie, une fausse page web qui contrôlait l'activité de la souris de la victime. Ainsi, lorsque l’utilisateur cliquait sur la souris, une multitude d'attaques visant à télécharger des chevaux de Troie et des virus était lancée sur le poste de la victime.
Devant ce phénomène de plus en plus envahissant, des recommandations sur l'utilisation des "hotspots" en environnements hostiles ont été promulguées :
· Privilégier des "hotspots" proposant des méthodes d'authentification forte.
· Privilégier des "hotspots" proposant une authentification web (identifiant/mot de passe) via le protocole SSL (permet de vérifier l'authenticité du portail web).
· Utiliser un "hotspot" pour une navigation web où aucune information sensible ne doit être envoyée.
· Ne pas utiliser des outils de messagerie (et messagerie instantanée) au travers d'un "hotspot".
· Désactiver la carte sans-fil du PC si aucune connexion sans-fil ne doit être utilisée.
· Appliquer tous les correctifs et mises à jour relatives aux outils de sécurité du système (anti-virus, garde-barrière) ainsi qu'au système lui-même.
Pour plus d'information :
- Article de ComputerWorld : http://computerworld.com/mobiletopics/mobile/story/0,10801,101635,00.html
- Article de AirDefense : http://www.airdefense.net/newsandpress/05_10_05.shtm
- Article de CNN : http://www.cnn.com/2005/TECH/internet/01/20/evil.twins/
- Document d'ISS : http://www.iss.net/wireless/WLAN_FAQ.php