Une authentification imparfaite

L'algorithme de cryptage utilisé par le WEP s'occupe, comme nous l'avons vu précédemment, de l'authentification mutuelle des équipements désirant communiquer dans IEEE802.11.

L'authentification se fait en testant si l'autre équipement saura crypter correctement (en un texte C) un texte en clair D que l'on a appelé challenge.

Une faille dans l'authenfification a été découverte par une équipe de l'université du Maryland [22].

Si l'on capture les messages 2 et 3 de la séquence d'authentification on obtient : (cf. FIG.).

**Figure:** Échanges pour l'authentification dans WEP
$\includegraphics[width=8cm,angle=0]{img/echange-auth-wep.eps}$

Le texte clair du challenge D
Le texte crypté du challenge C
On connaît IV qui est diffusé en clair

Or, on avait la formule :

$\begin{displaymath}C = (D \vert\vert c(D)) XOR RC4 (IV \vert\vert K) \end{displaymath}$

Ainsi que la propriété de xor :

$\begin{displaymath}Si\ (A\,xor\,B\ =\ C)\ alors\ (B\ =\ A\,xor\,C)\ et\ (A\ =\ B\,xor\,A) \end{displaymath}$

On en déduit donc :

$\begin{displaymath}RC4 (IV \vert\vert K) = C\ XOR\ (D \vert\vert c(D)) \end{displaymath}$

Ainsi, puisque les IV ne sont pas infinis, l'attaquant pourra s'authentifier, le moment venu, auprès d'un AP en utilisant RC4 (IV || K) puis demander l'authentification avec éventuellement le même texte clair, bien que l'attaquant puisse avoir pour politique d'accepter n'importe quelle authentification.

Des logiciels pour découvrir les clés privées en exploitant cette faille existent :

Airsnort(cf. FIG.).
Air/Wlan Jack

**Figure:** Capture d'écran du logiciel (Win)airsnort
$\includegraphics[width=14cm,angle=0]{img/Capt-Winairsnort.eps}$

Ainsi, si la clé WEP ne change pas entre temps, un intrus pourra s'authentifier sans problème s'il surveille le trafic assez longtemps.

2004-08-25