Un cryptage faible

Au-delà de l'authentification, le décryptage simple des données transmises peut s'avérer déjà précieux. En effet, il n'est parfois pas utile de s'introduire sur un réseau pour le pirater efficacement. Ainsi, une machine placée en périphérie d'un bâtiment, à la limite de la zone de couverture du réseau sans fil pourra intercepter des données sensibles en toute impunité. On appelle cela une attaque par proximité dont voici un schéma de principe (cf. FIG.

**Figure:** Un exemple d'attaque par proximité
$\includegraphics[width=14cm,angle=0]{img/attaque-par-proximite.eps}$

C'est dans un cas comme celui-ci que le problème de la sécurité d'un réseau sans fil prend toute son ampleur. En effet, empêcher l'intrusion physique dans un bâtiment est relativement facile et légal. Par contre, en dehors de la propriété privée, rien n'empêche l'intrus de se placer où bon lui semble pour capturer des ondes radio "perdues" dans la nature... Le pire, c'est que cet intrus ne tombe même pas dans l'illégalité car il a seulement capturé des ondes dans un lieu public. C'est à l'émetteur des ondes de se protéger.

Pour lui, trois solutions se présentent:

Construire un Bunker pour que ses murs épais arrêtent les ondes,
Acheter un terrain assez grand, pour qu'à la limite duquel, les ondes soient suffisamment affaiblies pour ne pouvoir être captées,
Crypter ses transmissions.

Bien sûr, pour un usage non militaire (mais les militaires ont probablement d'autres moyens que le 802.11), seule la dernière solution reste réaliste.

Ainsi, le bon cryptage des transmission est l'unique rempart qui puisse exister dans 802.11 pour conserver la confidentialité.

C'est justement sur ce point que la norme 802.11 pose un problème. En effet, une équipe de recherche (Fluhrer, Mantin et Shamir [24]) a trouvé des failles dans le WEP :

L'une exploite le fait qu'il existe un ensemble de clés dites "faibles" dont quelques bits suffisent à déterminer de nombreux bits de la table d'états T avec une forte probabilité,
L'autre s'appelle "known IV attack"

La seconde idée s'est révélée la plus efficace et facile à mettre en oeuvre : Elle se base sur le fait sue l'IV circule en clair sur le réseau. Elle nécessite la connaissance du 1er octet de données.

Ce type d'attaque permet de déduire la clé dans certains cas. Elle permet la récupération de la clé avec une efficacité bien meilleure que pour la recherche exhaustive.

Ce type d'attaque a été mis en pratique avec succès par l'équipe de Stubbliefield, Ioannidis et Rubin [20]. Elle a été réalisée en une semaine et a nécessité 2 heures de codage pour un investissement en matériel de 100$.

La principale difficulté était de deviner le premier octet. Or, une nouvelle défaillance est apparue dans le standard 802.11 : malgré les différents types de protocoles utilisés (ARP, IP), 802.11 rajoute une encapsulation sur tous les paquets (le header SNAP du 802.2). Ainsi, TOUS les paquets commencent par l'octet 0xAA (0b10101010) ! Donc, ce qui était la principale difficulté de l'attaque s'est révélée d'une simplicité déconcertante.

En utilisant ce type d'attaque, 256 cas "résolus" suffisent pour retrouver une clé de 128 bits.

Selon une estimation, avec les outils maintenant disponibles, 2 jours doivent suffir à un attaquant inexpérimenté pour obtenir un résultat.

Sous-sections

Bilan

2004-08-25