[Résolu] Un pirate sur mon WiFi, spoofing d'adresse mac

brankop · Le 10/02/2008, à 15:58

Bonjour,

je cherche des outils /documentations / tutoriels permettant de suivre et tracer ce qui se passe sur mon réseau WiFi.

Voilà mon problème. J'ai une neufBox4 sur laquelle j'ai activé les fonctionnalités hotspot Neuf et FON afin de pouvoir faire profiter à d'autres d'un peu de ma bande passante et réciproquement pouvoir facilement me connecter en WiFi depuis ailleurs quand je voyage.
Tout à l'heure, en cliquant par curiosité sur l'onglet "hotspot" de ma neufbox, j'ai vu qu'il y avait 2 utilisateurs logués (2 adresses mac dans les postes connectés).
- celle de mon portable connecté en WiFi sur le hotspot de ma box (normal)
- un autre poste connecté, MAIS AVEC L'ADRESSE MAC D'UNE DE MES CARTES PCMCIA WIFI. IL SE TROUVE QUE JE N'AVAIS PAS UTILISE CETTE CARTE DEPUIS PLUSIEURS JOURS, ET QU'ELLE EST ACTUELLEMENT SUR MA TABLE, DANS SON EMBALLAGE !!!!

J'ai fait une réactualisation de la page courante, pour le cas ou l'adresse serait restée dans le cache, mais même status. Il s'agit visiblement d'un spoofing de mon adresse mac par un pirate voisin (j'ai mis un filtrage mac sur ma box et seules les adresses mac autorisées peuvent se connecter à ma box). Mais il est facile de récupérer les adresses mac même avec du cryptage WPA, et ensuite, quand on voit que cette adresse mac ne trafique plus, l'utiliser sans qu'il y ait de problème de collision.

Comme je ne souhaite pas qu'un pirate aille fouiner sur mon réseau, j'ai coupé le WiFi et reste maintenant en filaire.

Si quelqu'un de feru sur le sujet pouvait me dire ou trouver des outils /documentations / tutoriels permettant de suivre et tracer ce qui se passe sur mon réseau WiFi, je lui en serai reconnaissant. Je pourrai, si besoin, laisser un de mes portables connecté en WiFi dédié à engranger les trames qui circulent sur mon réseau WiFi pour les analyser ensuite.
J'ai des cartes PCMCIA WiFi TP-Link TL-WN610G qui permettent la capture des trames WiFi et même, si besoin, l'injection de trames.

Merci d'avance.

Dernière modification par brankop (Le 22/05/2008, à 22:17)

willy78 · Le 10/02/2008, à 16:16

Si tu as aussi des reservation d'adresse ip par adresse mac c'est normal que ta carte soit toujours visible, le baux dhcp n'expire jamais!
Le WPA n'est pas simple a craquer, j'ai un doute!

brankop · Le 10/02/2008, à 16:57

Bonjour et merci pour ta réponse rapide.

mon bail dhcp est réglé sur 86400 secondes (=24h), or ça fait au moins 3 jours que je n'avais plus branché cette carte.
De plus, la page visionnée dans ma box était celle du hotspot wifi public, qui donne en temps réel les postes connectés. Quand je déconnecte un poste, il disparait immédiatement de cette page.

Ce qui m'étonne dans ce que j'ai vu est que cette adresse mac (qui appartient à l'une de mes cartes) était connecté sur le hotspot "public", non crypté, de ma box, et pas sur mon réseau privé.
En effet, quand sur la box on active le hotspot, on voit 2 réseaux
- le réseau privé (crypté en WPA-PSK chez moi) sur lequel je me connecte normalement
- le réseau public, non crypté, accessible aux autres abonnés neuf, aux téléphones WiFi neuf et aux membres du réseau FON

Il n'y a aucune raison pour que quelqu'un dans la rue qui souhaite utiliser la partie publique de mon hotspot se retrouve connecté avec l'adresse mac d'une de mes propres cartes WiFi.

Ce que je suppute (je me fais peut-être du cinéma, mais je ne vois pas d'autre solution) est un scénario de ce genre :
- un voisin un peu bidouilleur s'amuse à essayer d'entrer sur mon réseau (la partie privée, cryptée en WPA-PSK)
- en sniffant les trames, même cryptées en WPA, il peut récupérer les adresses mac des postes qui trafiquent sur le réseau WiFi
- il a ainsi détecté les mac de mes différentes cartes WiFi
- il a vu que celle ci-dessus était dormante depuis quelques jours et l'a spoofée pour générer du trafic et espérer récupérer suffisamment de trames pour casser ma clé WPA (mais il peut se brosser : elle est alphanumérique aléatoire de taille 20 octets)
- entretemps il a aussi vu le hotspot public Neuf et FON que je venais d'activer et s'y est connecté, pour voir ce que c'était. Sa carte WiFi a bien sur gardé la même adresse mac, que j'ai vu.

Est-ce aberrant comme raisonnement, ou réaliste ?

C'est pour ça que je souhaites tracer mon réseau WiFI pour voir ce qui s'y passe.
En particulier détecter s'il y a injection massive de trames (erronées) indice d'une tentative d'attaque en recherche de clé.

Pour commencer, un simple démon donnant les statistiques de trames par période de temps (un peu comme l'historique de l'alimentation sur batterie) serait suffisant.
Quitte à logger plus finement si un trafic bizarre était avéré.

Merci d'avance.

Dernière modification par brankop (Le 10/02/2008, à 17:25)

lex_ · Le 10/02/2008, à 17:34

Salut,

J'ai eu un "coup de chaud" moi aussi ce matin avec l' @Mac de mon Twintact connecté à tort sur l'AP FON. Il est vrai que je l'avais un peu cherché : j'étais en pleine bidouille sur la box. Un reboot plus tard et tout est rentré dans l'ordre.

Sinon le raisonnement tient debout, tu peux essayer ettercap dispo dans les dépots. mais je suis assez d'accord avec willy78 : le wpa c'est long et velu...

Tiens nous au courant...
+

Edit : fautes

Dernière modification par lex_ (Le 10/02/2008, à 17:36)

brankop · Le 10/02/2008, à 17:58

Merci, je vais essayer cet ettercap.

Je ne me fais pas trop de souci en soi sur le cassage de ma clé WPA.
Elle est alphanumérique, longue et générée aléatoire.
Pour WPA, pas d'autres méthodes connues à ce jour que la brute force.
Et pas de faille connue comme pour WEP permettant de rapidement la casser.
Et avec une clé aléatoire, pas de cassage par dictionnaire possible.
=> va falloir beaucoup de temps pour la casser (et beaucoup est un euphémisme).

Mais je n'aime pas quand quelqu'un essaye de fouiller dans mes affaires, même si c'est pour s'y casser le nez. C'est pour ça que je souhaite en avoir le coeur net.

brankop · Le 10/02/2008, à 18:33

Je reviens vers Lex_

ettercap parait un outil puissant, qui pourrait être utile dans un second temps, si la tentative de piratage est avérée et que je souhaite avoir des infos plus détaillées.
De plus le filtrage puis analyse des protocoles et trames utiles risquent de prendre beaucoup de temps, peut-être pour rien.

Ce dont j'aurai plutôt besoin dans un premier temps est un un outil plus fruste donnant simplement (sous forme graphique ?) des statistiques de trafic WiFi pour détecter d'éventuelles aberrations.
Soyons fous, en existerait-il un déjà dispo dans un dépôt APT ?

(Ce qui n'empêchera pas en parallèle de voir comment engranger via ettercap des trames sur disque à partir d'une machine dédiée, okazou j'aurai besoin plus tard de retrouver des traces).

Merci.

brankop · Le 10/02/2008, à 18:51

Pour ceux qui ont les mêmes soucis que moi.
Le lien ettercap (http://ettercap.sourceforge.net/) donné par lex_ est intéressant pour les FAQ et le forum.
Pour installer ettercap sous Ubuntu, il n'est pas utile de le recompiler à partir des sources disponibles sur ettercap.sourceforge.net.
Il est déjà tout prêt dans les dépà´t (faire recherche ettercap dans la fenêtre "rechercher" de l'interface APT (Applications > Ajouter/Supprimer)

lex_ · Le 10/02/2008, à 22:43

Alors là bonne question, sur l'AP peut être? (certains routeurs proposent une fonction similaire qui permet de journaliser le trafic de façon plus au moins détaillée.. mais sur la NB4 je sais pas jusqu'oà¹ on peut aller).
Sinon deuxième solution, tu peux sacrifier un CD pour une BT2, tu attends qu'il se connecte chez toi et utiliser ses méthodes... Mais là ça peut devenir dangereux suivant les compétences du gus.

Je suis pas vraiment de bon conseil, désolé, peut être si un pro de la sécu réseau passait par là ?

Je fouille ...
+

willy78 · Le 10/02/2008, à 23:26

tiens un liens pour sniffer ton reseau
http://www.tuto-fr.com/tutoriaux/tutori … rcrack.php
installes ça aussi

sudo apt-get install aircrack-ng

Pas besoin d'utiliser BT2

Dernière modification par willy78 (Le 10/02/2008, à 23:27)

dodphanne · Le 11/02/2008, à 21:34

http://www.korben.info/samuser-avec-les-voisins-qui-piratent-votre-wifi.html

brankop · Le 11/02/2008, à 22:33

Merci pour vos infos.

Pour dodphanne, le lien est amusant. Mais dans mon cas je n'ai pas la main sur le routeur.
Il s'agit d'une NeufBox4, dont le parametrage, via son interface web, est rudimentaire.
Il est peut-être possible de la bidouiller par ailleurs (j'ai entendu dire que la NeufBox était basée sur une distrib Linux, mais je ne sais pas s'il est possible d'y accéder (pas de possibilité d'y interfacer un écran/clavier).

Pour Willy78, dans le tuto l'outil qui semble le plus adapté est ethereal.
De ce que j'en vois dans les copie d'écrans, il permet un filtrage des trames et des statistiques.
Je vais y dédier un poste pour le tester.

Aircrack-ng sert à cracker les clés WEP ou WPA, mais je n'en ai pas besoin (je connais mes clés !)

Dernière modification par brankop (Le 11/02/2008, à 22:51)

SylvainNeuf · Le 22/04/2008, à 22:51

Arrêtez la parano les gars, c'est juste la box qui garde durablement les informations de connexion

brankop · Le 24/05/2008, à 13:35

> SylvainNeuf
Je pense que tu as raison : après 3 mois de scan, plus aucun "pirate" ne s'est approché de mon WiFi.

Tu sembles t'y connaitre sur la Neuf Box.
Saurais-tu combien de temps elle conserve ces infos de connexion.
Car quand j'ai posté mon premier message, j'avais la carte WiFi incriminée sur ma table, remise dans son emballage, et la dernière fois que je l'avais utilisé c'était au mieux la veille, si ce n'est plusieurs jours auparavant. Ça voudrait dire que la Neuf Box conserve ces infos de connexion au moins un jour, si ce n'est plus ? En sais tu plus ?

D'un coté, ce n'est pas plus mal, ça permet en interrogeant la box d'avoir une meilleure visibilité sur ses connexions. Surtout que j'ai ma box en page d'accueil de mon navigateur (ce qui me permet en cas de problème de savoir immédiatement s'il est local ou de connexion).

Dernière modification par brankop (Le 21/02/2009, à 12:51)

figaro · Le 24/05/2008, à 13:51

Généralement les routeurs gardent en mémoire les connexions dhcp intervenues depuis leur dernier boot.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 10/02/2008, à 15:58

[Résolu] Un pirate sur mon WiFi, spoofing d'adresse mac

#2 Le 10/02/2008, à 16:16

Re : [Résolu] Un pirate sur mon WiFi, spoofing d'adresse mac

#3 Le 10/02/2008, à 16:57

Re : [Résolu] Un pirate sur mon WiFi, spoofing d'adresse mac

#4 Le 10/02/2008, à 17:34

Re : [Résolu] Un pirate sur mon WiFi, spoofing d'adresse mac

#5 Le 10/02/2008, à 17:58

Re : [Résolu] Un pirate sur mon WiFi, spoofing d'adresse mac

#6 Le 10/02/2008, à 18:33

Re : [Résolu] Un pirate sur mon WiFi, spoofing d'adresse mac

#7 Le 10/02/2008, à 18:51

Re : [Résolu] Un pirate sur mon WiFi, spoofing d'adresse mac

#8 Le 10/02/2008, à 22:43

Re : [Résolu] Un pirate sur mon WiFi, spoofing d'adresse mac

#9 Le 10/02/2008, à 23:26

Re : [Résolu] Un pirate sur mon WiFi, spoofing d'adresse mac

#10 Le 11/02/2008, à 21:34

Re : [Résolu] Un pirate sur mon WiFi, spoofing d'adresse mac

#11 Le 11/02/2008, à 22:33

Re : [Résolu] Un pirate sur mon WiFi, spoofing d'adresse mac

#12 Le 22/04/2008, à 22:51

Re : [Résolu] Un pirate sur mon WiFi, spoofing d'adresse mac

#13 Le 24/05/2008, à 13:35

Re : [Résolu] Un pirate sur mon WiFi, spoofing d'adresse mac

#14 Le 24/05/2008, à 13:51

Re : [Résolu] Un pirate sur mon WiFi, spoofing d'adresse mac

Pied de page des forums