Sécurité des infrastructures sans-fil (Wi-Fi)
Date : 20 Juin 2005
Une vulnérabilité de type "Déni de Service" a été identifiée dans l'implémentation, plus précisément dans la fonction de contrôle d'accès au média (MAC "Médium Access Control"), du protocole de réseau sans fil 802.11.
Cette vulnérabilité pourrait permettre de rendre inopérant ce type de réseau sans fil.
Contexte :
IEEE 802.11 ou "Wi-Fi" :
Les réseaux sans fil de type 802.11 sont, par abus de langage, plus communément identifiés par l'appellation de "réseaux Wi-Fi" (pour "Wireless-Fidelity"), nom de la certification délivrée par la "Wi-Fi Alliance" pour s'assurer que les équipements des différents constructeurs respectent la norme 802.11 et soient ainsi interopérables entre eux.
Les réseaux Wi-Fi sont classifiés dans la catégorie des réseaux locaux sans fil (ou WLAN pour "Wireless Local Area Network"). Ces réseaux permettent donc de faire communiquer entre eux par liaisons radioélectriques des terminaux mobiles (PC portables et PDA principalement), soit par interconnexion directe (mode point-à-point ou mode "Ad Hoc"), soit par l'intermédiaire de points d'accès (mode distribué ou mode "Infrastructure").
L'IEEE a implémenté 3 normes 802.11 proposant des débits théoriques différents et/ou des fréquences différentes, pour une portée théorique d'environ 100 mètres :
- 802.11b : débit théorique maximal = 11 Mbits/s; fréquence = 2.4 GHz.
- 802.11g : débit théorique maximal = 54 Mbits/s; fréquence = 2.4 GHz.
- 802.11a : débit théorique maximal = 54 Mbits/s; fréquence = 5 GHz.
Fonction de contrôle d'accès au média MAC du protocole 802.11 :
Dans les réseaux filaires Ethernet classiques, la méthode d'accès au média (niveau 2 – couche "Liaison de données") est le CSMA/CD ("Carrier Sense Multiple Access with Collision Detection"). Elle permet à chaque machine de communiquer à n'importe quel moment. Une machine voulant envoyer un message vérifie d'abord qu'aucun autre message n'a été envoyé en même temps par une autre machine sur le média. C'est ce que l'on appelle la détection de porteuse. Ce mécanisme permet de détecter les collisions, c'est à dire de détecter si des machines veulent émettre au même moment. Si c'est le cas, la (ou les) machine(s) voulant émettre patientera(ront) pendant un temps aléatoire avant de tenter une nouvelle émission.
Les équipements Wi-Fi, à l'instar des réseaux Ethernet classiques, exécutent l'accès au média par détection de porteuse grâce à leur fonctionnalité CCA (Clear Channel Assessment).Cependant, dans un environnement sans fil ce procédé n'est pas possible dans la mesure où deux stations communiquant avec un récepteur ne s'entendent pas forcément mutuellement en raison de leur rayon de portée. Ainsi la norme 802.11 propose un protocole analogue au CSMA/CD appelé CSMA/CA ("CSMA with Collision Avoidance"). Celui-ci utilise un mécanisme d'esquive de collision basé sur un principe d'accusés de réception réciproques entre l'émetteur et le récepteur :
- La station voulant émettre écoute le réseau. Si elle détecte une transmission, elle diffère la sienne (détection dans son champ d'écoute).
- Dans le cas contraire, si le média est libre pendant un temps donné (appelé "DIFS" pour "Distributed Inter Frame Space"), alors la station peut émettre.
- La station transmet alors un message appelé "Request To Send" (noté "RTS" signifiant Demande à émettre) contenant des informations sur le volume des données qu'elle souhaite émettre et sa vitesse de transmission.
- Le récepteur (généralement un point d'accès) répond par un "Clear To Send" ("CTS", signifiant Le champ est libre pour émettre) si le canal est libre, puis la station émettrice commence l'émission des données.
- Si le récepteur ne répond pas, cela signifie que le canal est occupé et la station émettrice recommence sa procédure de demande d'allocation du média.
- A réception de toutes les données émises par la station, le récepteur envoie un accusé de réception ("ACK").
Toutes les stations avoisinantes patientent alors pendant un temps qu'elles considèrent être celui nécessaire à la transmission du volume d'information à émettre à la vitesse annoncée. Une fois ce délai écoulé, ces dernières tentent d'émettre à leur tour des informations.
Analyse de la vulnérabilité :
La vulnérabilité annoncée exploite de façon malicieuse la fonctionnalité de "réservation de bande" "CCA", afin de saturer le média. Ainsi, tous les équipements Wi-Fi environnants (terminaux mobiles et points d'accès) réagissent comme si le média était occupé et diffèrent leur transmission de données indéfiniment. Aucun trafic n'est alors possible sur le réseau Wi-Fi cible de cette attaque.
Cependant, cette attaque n'est pas persistante. En effet, une fois celle-ci terminée, les transmissions de données peuvent reprendre normalement.
De plus, la portée de cette attaque est restreinte par la puissance du signal du dispositif d'attaque qui est en général relativement faible, mais chaque dispositif dans la portée du pirate peut être touché.
Néanmoins étant donné que cette attaque touche la couche physique du réseau, il n'est pas nécessaire d'être authentifié sur le réseau pour la lancer. Il suffit donc de posséder un PDA ou un ordinateur portable équipé d'une carte Wi-Fi spécifiquement configurée pour la réaliser.
Une mise à jour des "firmware" des équipements Wi-Fi pourrait pallier à cette vulnérabilité, mais aucun constructeur n'a encore publié de correctifs. De plus, ce disfonctionnement est inhérent à l'implémentation du protocole 802.11 ce qui le rend particulièrement à délicat à corriger.
Les équipements vulnérables :
Les équipements Wi-Fi vulnérables sont ceux dont la couche physique 802.11 utilise la technique de signalisation en séquence directe DSSS ("Direct Sequence Spread Spectrum"). Celle-ci divise la bande des 2,4 GHz en 14 canaux de 22 MHz. Les canaux adjacents se recouvrent partiellement, seuls trois canaux sur les 14 étant entièrement isolés. Les données sont transmises intégralement sur l'un de ces canaux de 22 MHz, sans saut.
Les équipements vulnérables sont donc les équipements 802.11, 802.11b et 802.11g (fonctionnant à un débit < 20Mbits/s).
Les équipements 802.11g (fonctionnant à un débit > 20 Mbits/s) ainsi que les équipements 802.11a se basent sur une couche physique utilisant la méthode de multiplexage par modulation OFDM ("Orthogonal Frequency Division Multiplexing"). Ces derniers ne sont donc pas vulnérables.
Pour plus d'information :
- Avis de sécurité de l'AUSCERT : http://www.auscert.org.au/render.html?it=4091
- Spécification de l'IEEE de la a couche d'accès au média (MAC) des réseaux sans-fil : http://standards.ieee.org/getieee802/download/802.11-1999.pdf