Vous êtes sur le site public du Cert-IST
Sécurité des connexions Wifi et Microsoft Windows

Date :31 Janvier 2006

Publication: Article

Depuis le début de l'année, plusieurs articles font état de vulnérabilités dans les implémentations clientes Wifi (notamment au niveau des systèmes Windows 2000, 2003 et XP), et du service de configuration automatique de ce type de connexion ("Wireless Zero Configuration").

 Cet article est destiné à apporter des éclaircissements sur cet engouement autour du couple Windows/Wifi.

 Pour rappel, les infrastructures Wifi supportent deux modes de fonctionnements distincts :

  • Le mode "infrastructure"
  • Le mode "ad-hoc"

 Le mode "infrastructure" est le mode le plus couramment rencontré dans le monde professionnel. Les clients Wifi se connectent à un point d'accès (AP) qui est chargé d'acheminer les données vers le réseau local ou public (Internet).

 Dans le mode "ad-hoc", les clients Wifi se connectent entre eux et forment un réseau maillé ("mutualisé") où chacun est vu (en simplifiant) comme un point d'accès pour son voisin. Cette notion est très proche des réseaux de type "Peer-To-Peer".

 
Microsoft et le Wifi :

Microsoft a intégré dans ses systèmes d'exploitation Windows 2000, 2003 et XP des fonctionnalités de clients Wifi permettant de tirer partie des infrastructures sans-fil avec un minimum de paramétrage à effectuer (service "Wireless Zero Configuration" - WZCSVC).

Ce service permet de configurer rapidement les connexions Wifi, avec la découverte automatique des réseaux sans-fil, et de sauvegarder les configurations utilisées régulièrement dans une liste de "réseaux préférés".

Ainsi, au démarrage du PC, si la carte Wifi est active, le système Windows recherche automatiquement les réseaux sans-fil "préférés" (préalablement configurés) afin de s'y connecter de manière automatique (choix par défaut). Lors de cette phase, on peut également noter que Windows recherche les réseaux "préférés" dans les deux modes ("ad-hoc" et "infrastructure").

Dans cette même phase, si un réseau compris dans la liste des réseaux préférés est de type "ad-hoc" et qu'aucun réseau Wifi n'a été trouvé, le PC se configure comme étant le premier nœud de ce réseau "ad-hoc" et "invite" ainsi d'autres utilisateurs à venir se connecter à son réseau "mutualiste", ceci à l'insu de l'utilisateur (avant le SP2 de Windows XP).

A ce niveau, même l'adressage IP est simplifié. En effet, si aucune adresse IP ne peut être affectée (serveur DHCP ou configuration statique), le système Windows alloue automatiquement une adresse IP de type 169.254.0.0 à travers le protocole APIPA ("Automated Private IP Address"). Cette adresse est aussi connue sous le nom d'adresse "Link-Local" (RFC 3927).

 
Problèmes sous-jacents :

Ce type de comportement des systèmes Microsoft Windows peut amener plusieurs scénarios d'attaques que nous vous proposons de décrire afin de mieux évaluer les risques liés à ce type de connexion dans des milieux "hostiles" (aéroports, gares, conférences/forums, …).

Premier scénario :

La recherche de réseaux préférés ("probe requests") donne au pirate des informations importantes dans la mesure où elle fournit la liste des identifiants SSID préférés. Ces informations, transmises en clair, peuvent être interceptées aisément par une personne malveillante.

Dès lors, sur la base de ces SSID, le pirate peut configurer son PC afin d'imiter un réseau "préféré" de la victime via un point d'accès "sauvage" ("rogue AP"). Aujourd'hui, il existe de nombreux logiciels offrant ce type de fonctionnalités. Il ne reste plus qu'à attendre que la victime vienne inconsciemment dans la "toile d'araignée" tendue par le pirate; ce dernier lui fournissant également une configuration IP (DHCP, DNS, WINS). Suivant le niveau de sécurité associé au réseau sans-fil considéré (authentification, chiffrement), cette opération sera plus ou moins aisée pour le pirate (il devra, suivant les cas, imiter aussi le serveur/portail d'authentification).

Cependant, la victime sera néanmoins avertie de la présence d'un réseau sans-fil similaire à un de ses préférés dans son champ radio ou de sa connexion automatique à ce dernier.

 
Second scénario :

Ce scénario un peu plus complexe s'appuie sur la gestion des réseaux sans-fil de type "ad-hoc".

Comme mentionné plus haut, lorsque le service de connexion Wifi de Windows recherche des réseaux sans-fil, il recherche par défaut des réseaux de type "infrastructure", mais aussi des réseaux de type "ad-hoc".

Ainsi, un pirate peut proposer un réseau "ad-hoc" ayant le même SSID qu'un des "réseaux préférés" de la victime. Ce comportement similaire au scénario précédent s'avère beaucoup plus intéressant par les suites qu’il peut avoir. En effet, si la victime redémarre son PC, le réseau "ad-hoc" précédemment atteint sera automatiquement ajouté par Windows dans la liste des "réseaux préférés" de la victime. Dès lors, si aucun autre "réseau préféré" n'est détecté, le PC de la victime se configurera de manière automatique comme le premier nœud de ce réseau "ad-hoc" (et ceci de manière invisible avant le SP2 de Windows XP). Cette situation permettra à d'autres personnes de venir se connecter (connexion radio) sur le PC de la victime.

Dans ces deux scénarios, on peut considérer que la victime et le pirate se trouvent sur le même réseau local. Il reste néanmoins au pirate à attaquer le PC de la victime pour en prendre le contrôle (mauvaise configuration, faille connue non corrigée, ingénierie sociale). La réussite de ces attaques dépend alors étroitement de la sécurisation classique du PC de l'utilisateur nomade (garde-barrière personnel, anti-virus à jour, correctifs de sécurité à jour, configuration sécurisée du système, …).

Palliatif et solutions :

Microsoft, ne jugeant pas le problème comme critique, a mentionné que cette problématique sera corrigée dans les prochains "Service Packs".

Néanmoins, il est conseillé d'évaluer les recommandations suivantes afin de minimiser l'exposition des PC nomades de l'entreprise.

  • Désactiver la carte Wifi lorsqu'elle n'est pas nécessaire (milieux hostiles).
  • Utiliser le logiciel client livré par le constructeur de la carte Wifi plutôt que celui des systèmes Microsoft.
  • Avec le client Microsoft, configurer la connexion Wifi pour se connecter seulement à des réseaux de type "infrastructure" (et pas aux réseaux "ad-hoc") :
    • "Propriétés de Connexion sans fil" – "Configuration réseaux sans-fil" – "Avancé" (en bas).
  • Utiliser un mécanisme d'authentification mutuelle sûr (WPA/Radius/EAP/HTTPS).
  • Sécuriser les postes nomades :
    • garde-barrière personnel,
    • anti-virus à jour,
    • correctifs de sécurité à jour,
    • configuration sécurisée du système.

Ces recommandations doivent s'adapter aux types de réseaux sans-fil légitimes auxquels on désire se connecter. Notamment au niveau des "HotSpot" publics où la sécurité de l'infrastructure dépend étroitement de l'opérateur proposant le service (par exemple au niveau de la faisabilité de l'authentification mutuelle sûre).

Conclusion :

Le Wifi a permis de s'affranchir des contraintes filaires en donnant librement accès à des réseaux locaux ou publics. L'engouement de ce type de technologie a ouvert la voie à l'apparition de nombreux services permettant à n'importe qui de se connecter depuis n'importe où sur Internet ou sur son réseau d'entreprise.

Cette facilité de communication ne doit pas faire oublier les nouveaux risques introduits par ces techniques. Cet article a montré que, bien que les couches applicatives ou réseau sont aujourd'hui relativement bien maitrisées du point de vue de la sécurité, les risques proviennent dès lors des couches plus basses (radio) qui par défaut (et c'est ce type de configuration que l'on rencontre le plus souvent pour s’affranchir des problèmes de compatibilité !!) proposent des mécanismes de protection encore insuffisants face à la malveillance qui se développe autour de cette technologie.


Pour plus d'information :