Kondah Hamza Consultant et Formateur en Cybersécurité ... · La couche la plus vulnérable dans...
Transcript of Kondah Hamza Consultant et Formateur en Cybersécurité ... · La couche la plus vulnérable dans...
Kondah HamzaConsultant et Formateur en Cybersécurité Microsoft MVP en Sécurité des Entreprises
CEO de Nuxia TechnologiesFormateur Alphorm.com
"Si j'avais huit heures pour abattre un arbre, je passerais
six heures à affûter ma hache."
- Abraham Lincoln, 16ème président américain
▪ Près de 120 000 cyberattaques ont lieu chaque jour dans le monde.
▪ (78,9 millions (2018) ; 138 milles (2004) contre 252 en 1990)
▪ Depuis l’évolution du piratage informatique, vers des attaques très structurées, ayant pour finalité un gain financier
▪ 2018 : Pertes liées au piratage informatique estimées à 0,9 % du PIB mondial (entre 400 et 575 milliards de dollars!)
▪ Le cybercrime extrait 15 à 30 % de l’économie mondiale du Net de 3 trillions de dollars
▪ Périphériques de plus en plus connectés
▪ Ouverture complète au net ➔ Aucune notion de sécurité native/by-design ni lois !
▪ Le problème = L’ interconnexion des réseaux …
▪ Le Wardriving consiste à parcourir tous les lieux où la Wifi est déployée, muni d'un ordinateur doté d'une carte Wifi et d'un récepteur GPS (Global Positioning System) afin de découvrir toutes les bornes Wifi existantes (votre " box " Wifi) et de noter l'adresse géographique (longitude - latitude) où elle sont trouvées.
▪ Un test d'exposition consiste à énumérer tous les actifs présents sur le réseau public d'une organisation.
▪ Celui-ci permet d'avoir une vue globale de l'empreinte numérique visible par un attaquant.
▪ La volatilité des infrastructures informatiques et des informations numériques fait qu'il est parfois difficile d'évaluer pleinement la surface d'exposition et d'attaque d'une organisation
Conexus Radio Frequency Telemetry Protocol
▪ Les deux principaux vecteurs d’intrusion sur les systèmes d’information sont les attaques externes (depuis Internet) et internes (par un individu malveillant accédant au réseau interne).
▪ La généralisation des accès sans fil offre toutefois de nouvelles pistes aux attaquants, qui peuvent mener des intrusions internes sans accès physique aux systèmes ciblés.
▪ Le test d’intrusion Wi-Fi est réalisé sur site afin de mesurer le niveau de risque associé à l’infrastructure sans-fil déployée.
▪ Qu’il s’agisse d’un point d’accès unique ou d’une configuration Wi-Fi complexe, l’objectif est d’identifier les faiblesses qui pourraient profiter à un individu malveillant à proximité des locaux du client.
▪ Les tests d'intrusion Red Team ont pour but d'évaluer la sécurité globale d'une entreprise en mettant à l'épreuve ses différents moyens de protection, qu'ils soient physiques, humains, organisationnels et informatiques.
▪ Cette prestation se déroule sur une période large de plusieurs semaines.
▪ Comme une véritable attaque ciblée, celle-ci se déroule en plusieurs phases soigneusement préparées et pouvant atteindre tous les actifs de l'entreprise :
▪ Intrusion physique dans les locaux.
▪ Ingénierie sociale contre les employés.
▪ Intrusion via des vulnérabilités réseau ou système.
▪ Exploitation de failles dans les applications.
▪ Plusieurs intérêts à cette prestation :
▪ Évaluer le niveau de sécurité de votre système d'information de manière générale
▪ Évaluer les actions de votre équipe sécurité (votre blue team), ou de votre SOC, face à la détection d'intrusions, quelle qu'elle soit.
Attaque ciblée
▪Grand impact sur la cible.
▪ Basée sur une stratégie et une cible bien déterminée.
▪Avec de très bonnes compétences techniques.
▪Utilisation de techniques sophistiquées et furtivité.
▪ Le gain financier ou industriel n’est pas immédiat.
▪ Le coût est non-négligeable.
Attaque classique
▪ Impact faible ou moyen.
▪ La cible est découverte d’une façon opportuniste.
▪Variation des compétences (d’un script kiddie au hacker).
▪ Les systèmes ciblés sont souvent non ou partiellement patchés.
▪ Le gain rapide.
▪ Recherche de la reconnaissance.
▪ Périmètre à le porté du hacker
▪ Problématique des réseaux sans fil
▪ Erreurs de configuration récurrentes
▪ Comment contrôler la distance d’émission ?
▪ Accès physique
▪ Non vérification de l’accès physique.
▪ Un employé mal intentionné est plus dangereux qu’un hacker pour une
entreprise.
▪ Supports/Hardware infectés
▪ Attaques réseaux
▪ Découverte de partages réseau.
▪ Man In The Middle (MITM).
▪ Accès persistant au réseau.
▪ Le Social engineering est la pratique d'obtention d'informations critiques en
exploitant la faille humaine
▪ Art Of Deception
▪ Vitale pour les pentesteur dans le sens ou il y a un manque d'information
concernant la cible
▪ L‘être humain = Le maillon faible dans la ligne de défense de l'entreprise/cible
▪ La couche la plus vulnérable dans une infrastructure
▪ En tant qu‘être social, cela nous rend automatiquement vulnérable à des attaques
de social engineering
▪ Plusieurs vecteurs d'attaque
Pre-engagement interactions
Intelligence gathering
Vulnerabilityanalysis
Exploitation
Post exploitation
Reporting
CVE CVSS Mitre
▪ IEEE 802.11 est un ensemble de normes concernant les réseaux sans fil locaux (le Wi-Fi)
▪ Il a été mis au point par le groupe de travail du comité de normalisation LAN/MAN de
l'IEEE (IEEE 802).
▪ Le terme IEEE 802.11 est également utilisé pour désigner la norme d'origine 802.11
▪ Chaque périphérique WiFi représente un transmetteur
▪ C’est-à-dire qu’il peut transmettre TX et recevoir RX des ondes
▪ Chaque périphériques possède ses propres spécifiés
▪ L’utilisation d’applications tierces peuvent entraver le processus
▪ Atheros représente une excellente chipset + quelques produits Realtek & RaLink
▪ L’interfaçage se fait en mode PCI
▪ Cas spécial : les SoC (System On a Chip)
Point-To-Point
Point-To-Muti-Point
Multipoint-To-
Multipoint
Master Managed Monitor
(RFMON)
▪ Le spectre radio est divisé en différent canaux
▪ Au niveau des spectres 2.4 Ghz , il existe 14canaux
▪ Overlapping au niveau des canaux 1,6 et 11 et 14
▪ Les canaux dépendant des régions
▪ Amérique du nord 1 a 11 (légal) & Europe 1-13
▪ Le cas 5ghz
▪ Réseaux sans fils
▪ Complexité
▪ Politique allocation (spectre)
▪ Niveau de puissance
▪ USA ➔ FCC
• Régulation
• Changer ces paramètres ➔ Contre la lois !!
Authentication DeauthenticationAssociation
requestAssociation
responseReassociation
request
Reassociationresponse
Disassociation Beacon Probe requestProbe response
Request to Send (RTS)
Clear to Send (CTS)
Acknowledgement (ACK)
Point d accès Wi-Fi
Victime
Analyseur de paquets
Le dépannage et l'analyse de réseaux
informatiques
Le développement de protocoles
L'éducation et la rétro-ingénierie
Gère plus de 1300 protocoles
Filtres d’affichage
Filtres de captures
Wireshark permet de créer des profils à chaque
scénario spécifique
On peut associer chaque profil peut être associé
:
• Paramètres et réglages
• Des filtres de captures
• Des filtres d’affichage
• Règles de coloration
▪ SSID caché ➔ HSSID
▪ Le but ?
▪ Faux sentiment de sécurité
▪ Beacon frames
▪ Découverte facile
▪ Le plus grand risque : Se faire détecter par la cible
▪ La cible peut vous identifier à chaque moment
▪ Il existe des techniques de camouflage pour éviter
▪ Les recherches initiales doivent se baser principalement sur les personnes et Business
liées à la cible
▪ Base du Pentesteur
▪ Analyser tous les aspects
▪ Plus grande surface d’attaque
«Connaitre son ennemi » Sun Tzu, L’art de la guerre
▪ Filtres MAC
▪ Très ancienne technique basée sur le filtrage des adresses MAC du
client
▪ Code d’identification assigné à l’interface réseau
▪ Le routeur est capable de vérifier cette dernière et la comparer à une
Access List
▪ Bypassable☺
▪ WEP (Wired Equivalent Privacy ou Protection Equivalente au Filare)
▪ Clé d’une longueur de 64 à 256 bits dont 24 ne sont pas utilisés pour le
▪ chiffrement.
▪ Cela fait une clé, si on la compare à un mot, d’une longueur de 5 à 29
▪ caractères.
▪ La majorité des clés sont composées de 13 caractères.
▪ Faille algorithme
▪ Doit être initialisée à chaque échange pour ne pas utiliser deux fois la même clé
▪ une partie de la clé (les 24 bits en question) est utilisée
▪ comme élément d’initialisation (vecteur d’initialisation) et celui-ci n’est pas chiffré.
▪ KRACK Attack qui repose sur une faille d’implémentation
▪ PMKID ☺
▪ Les attaques utilisant WPS (https://en.wikipedia.org/wiki/Wi-Fi_Protected_Setup),
consistant à deviner un PIN ou utiliser un PIN par défaut afin de récupérer la clé PSK (le mot
de passe du point d’accès) et de s’y connecter
▪ Les attaques basées sur l’interception de trafic sans-fils et permettant d’injecter des
paquets de manière arbitraire
▪ L’attaque la plus commune ➔ applicable à tous les réseaux WPA/WPA2 : la capture d’un
challenge, permettant de recouvrer le mot de passe à partir d’une liste type dictionnaire ou
brute-force
▪ l’attaque consiste à capturer un échange complet EAPOL (composé de 4 échanges),
contenant de quoi recomposer un élément appelé PTK (Pairwise-Transient-Key), qui peut
enfin être utilisé comme élément de comparaison à partir d’une liste de mot de passe.
https://www.ssl247.fr/entreprise/blog/nouvelle-
attaque-wpa-wpa2
▪ l’attaque consiste à capturer un échange complet EAPOL (composé de 4 échanges),
contenant de quoi recomposer un élément appelé PTK (Pairwise-Transient-Key), qui peut
enfin être utilisé comme élément de comparaison à partir d’une liste de mot de passe.
https://www.ssl247.fr/entreprise/blog/nouvelle-
attaque-wpa-wpa2
https://www.ssl247.fr/entreprise/blog/nouvelle-
attaque-wpa-wpa2
https://www.ssl247.fr/entreprise/blog/nouvelle-
attaque-wpa-wpa2
Capturer ce fameux PMKID
Utiliser les éléments d’un dictionnaire pour calculer, tour à tour :
Un PMK correspondant à chaque mot de passe
Un PMKID correspondant à chaque PMK calculé
Pour chaque PMKID calculé, celui-ci sera comparé au PMKID capturé, jusqu’à ce que nous ayons un
« match »
Le standard 802.1X a été mis au point par l’IEEE en juin 2001
Il a pour but d’authentifier un client (en filaire ou en WiFi) afin de
lui autoriser l’accès à un réseau
On utilise le protocole EAP (Extensible Authentication Protocol) et
un serveur d’authentification qui est généralement un serveur
RADIUS
Le serveur RADIUS va authentifier chaque client qui se connecte
au réseau sur un port
Client
Port non contrôlé
Port contrôlé
Serveur radius
Réseau
Client RADIUS
Client
Port non contrôlé
Port contrôlé
Serveur radius
Réseau
Client RADIUS
Le protocole Extended Authentication Protocol sert pour le
transport des données nécessaires à l’authentification
Ce protocole est extensible, car on peut définir de nouvelles
méthodes d’authentification, car il est indépendant de la méthode
utilisée
EAP-MD5 : Authentification avec un mot de passe
EAP-TLS : Authentification avec un certificat électronique
EAP-TTLS : Authentification avec n’importe quelle méthode
d’authentification, au sein d’un tunnel TLS
EAP-PEAP : Authentification avec n’importe quelle méthode
d’authentification EAP, au sein d’un tunnel TLS
TYPE D'EAP Méthode d'authentification Caractèristique
Facile à implémenter
Supporté par la plupart des serveurs
Attaquable par dictionnaire hors-ligne
Pas d'authentification mutuelle
Utilisation de certificats par le client et le serveur , de ce fait création d'un tunnel sur
Authentification mutuelle entre le client et serveur
Création d'un tunnel TLS
Moins lourd que EAP-TLS , car pas de certificat du côté client
Moins sur que EAP-TLS , car pas de certificat du côté client
EAP-PEAP EAP-TTLS login / password et certificat
EAP-MDS login / password
certificat EAP-TLS
Lourd à mettre en place à cause des certificats coté client
Le protocole
Ce protocole se situe au-dessus de la couche de transport UDP, sur les ports 1812 et 1813
Pour l’authentification il y a quatre types de paquets :
• Envoyé par le contrôleur d’accès, contenant les informations sur le client (login/mot de
passe,...)Access-Request
• Envoyé par le serveur dans le cas où l’authentification est un succèsAccess-Accept
• Envoyé par le serveur dans le cas où l’authentification est un échec, ou si il souhaite fermer la
connexionAccess-Reject
• Envoyé par le serveur pour demander des informations complémentaires, et donc la
réémission d’un paquet Access-RequestAccess-Challenge
Les types de paquets de base :
EAP Request : Envoyé par le contrôleur d’accès au client
EAP Response : Réponse du client au contrôleur d’accès
EAP Success : Paquet envoyé au client en fin d’authentification si elle est
réussie
EAP Failure : Paquet envoyé au client en fin d’authentification si elle est ratée
• Hostapd-wpe /etc/hostapd-wpe/hostapd-wpe.conf• asleap -C 'd6:ff:33:73:aa:35:3f:3b' -R
'4e:45:c7:ba:b0:93:d7:01:1e:9b:3a:5d:f7:d9:fa:88:21:2b:ea:c5:ac:9c:8c:47' -W ~/Downloads/rockyou.txt
• Avec hashcat➔ username::::response:challenge
• ./hashcat -m 5500 -a 0 a.1 ~/Downloads/rockyou.txt