info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Authentification d'un réseau wifi
0 views
Skip to first unread message
Julien Arlandis
Jul 23, 2022, 6:31:17 AM7/23/22
to
Bonjour,
Je viens de remplacer mon routeur wifi google par un autre routeur wifi
google, que j'ai configuré avec le même réseau et le même mot de
passe. Je m'attendais à devoir malgré tout reconfigurer tous les
appareils sans fils pour les authentifier sur le nouveau routeur wifi, au
contraire tous les appareils ont continué de fonctionner sans la moindre
intervention manuelle.
Je suis surpris car cela signifie que n'importe quel pirate pourrait
dupliquer un réseau wifi avec son propre matériel et détourner ainsi la
connexion des équipements. Je pensais à minima que la l'authentification
d'un réseau wifi repose sur un échange de clef publique comme cela se
fait lors d'une première authentification sur un serveur SSH.
Étant donné que le routeur wifi est lié à un compte google, se
pourrait il qu'au moment de la configuration du routeur, google qui aurait
conservé une copie de la clef privée, duplique la clef sur le nouveau
routeur pour assurer la continuité du service ?
Je vous remercie de vos lumières.
Je viens de remplacer mon routeur wifi google par un autre routeur wifi
google, que j'ai configuré avec le même réseau et le même mot de
passe. Je m'attendais à devoir malgré tout reconfigurer tous les
appareils sans fils pour les authentifier sur le nouveau routeur wifi, au
contraire tous les appareils ont continué de fonctionner sans la moindre
intervention manuelle.
Je suis surpris car cela signifie que n'importe quel pirate pourrait
dupliquer un réseau wifi avec son propre matériel et détourner ainsi la
connexion des équipements. Je pensais à minima que la l'authentification
d'un réseau wifi repose sur un échange de clef publique comme cela se
fait lors d'une première authentification sur un serveur SSH.
Étant donné que le routeur wifi est lié à un compte google, se
pourrait il qu'au moment de la configuration du routeur, google qui aurait
conservé une copie de la clef privée, duplique la clef sur le nouveau
routeur pour assurer la continuité du service ?
Je vous remercie de vos lumières.
Olivier Miakinen
Jul 23, 2022, 6:44:18 AM7/23/22
to
Bonjour,
Le 23/07/2022 12:31, Julien Arlandis a écrit :
>
> Je viens de remplacer mon routeur wifi google par un autre routeur wifi
> google, que j'ai configuré avec le même réseau et le même mot de
> passe. Je m'attendais à devoir malgré tout reconfigurer tous les
> appareils sans fils pour les authentifier sur le nouveau routeur wifi, au
> contraire tous les appareils ont continué de fonctionner sans la moindre
> intervention manuelle.
> Je suis surpris car cela signifie que n'importe quel pirate pourrait
> dupliquer un réseau wifi avec son propre matériel et détourner ainsi la
> connexion des équipements. Je pensais à minima que la l'authentification
> d'un réseau wifi repose sur un échange de clef publique comme cela se
> fait lors d'une première authentification sur un serveur SSH.
À partir du moment où ils connaissent et utilisent le même mot de passe,
même s'il y a échange de clé publique, il suffit que les appareils aient
procédé de nouveau à cet échange lorsque tu as remplacé ton routeur, non ?
> Étant donné que le routeur wifi est lié à un compte google, se
> pourrait il qu'au moment de la configuration du routeur, google qui aurait
> conservé une copie de la clef privée, duplique la clef sur le nouveau
> routeur pour assurer la continuité du service ?
Dans un bâtiment assez grand, j'ai utilisé des répéteurs wifi qui sont
autant de routeurs différents (je crois), configurés avec le même nom
de réseau et le même mot de passe. Grâce à cela, les clients wifi peuvent
être déplacés d'un endroit à un autre du bâtiment sans discontinuité du
service et sans devoir accepter à la main une reconfiguration d'un endroit
à l'autre.
--
Olivier Miakinen
Le 23/07/2022 12:31, Julien Arlandis a écrit :
>
> Je viens de remplacer mon routeur wifi google par un autre routeur wifi
> google, que j'ai configuré avec le même réseau et le même mot de
> passe. Je m'attendais à devoir malgré tout reconfigurer tous les
> appareils sans fils pour les authentifier sur le nouveau routeur wifi, au
> contraire tous les appareils ont continué de fonctionner sans la moindre
> intervention manuelle.
> Je suis surpris car cela signifie que n'importe quel pirate pourrait
> dupliquer un réseau wifi avec son propre matériel et détourner ainsi la
> connexion des équipements. Je pensais à minima que la l'authentification
> d'un réseau wifi repose sur un échange de clef publique comme cela se
> fait lors d'une première authentification sur un serveur SSH.
même s'il y a échange de clé publique, il suffit que les appareils aient
procédé de nouveau à cet échange lorsque tu as remplacé ton routeur, non ?
> Étant donné que le routeur wifi est lié à un compte google, se
> pourrait il qu'au moment de la configuration du routeur, google qui aurait
> conservé une copie de la clef privée, duplique la clef sur le nouveau
> routeur pour assurer la continuité du service ?
autant de routeurs différents (je crois), configurés avec le même nom
de réseau et le même mot de passe. Grâce à cela, les clients wifi peuvent
être déplacés d'un endroit à un autre du bâtiment sans discontinuité du
service et sans devoir accepter à la main une reconfiguration d'un endroit
à l'autre.
--
Olivier Miakinen
Marc SCHAEFER
Jul 23, 2022, 6:48:10 AM7/23/22
to
Julien Arlandis <julien....@gmail.com> wrote:
> Je suis surpris car cela signifie que n'importe quel pirate pourrait
> dupliquer un réseau wifi avec son propre matériel et détourner ainsi la
> connexion des équipements.
Oui, c'est pour cela que les entreprises utilisent plutôt des systèmes à
> Je suis surpris car cela signifie que n'importe quel pirate pourrait
> dupliquer un réseau wifi avec son propre matériel et détourner ainsi la
> connexion des équipements.
tunnels d'authentification: EAP TTLS dans le monde standard et d'autres
protocoles similaires dans le monde propriétaire.
Pour que cela fonctionne, les clients doivent pouvoir vérifier le
certificat présenté par le serveur d'authentification, puis établir un
tunnel chiffré garanti sans attaque du relais (MitM). Enfin, les
protocoles d'authentification classiques comme PAP, CHAP, voire MS-CHAP
peuvent être utilisés (eux n'ont pas de protection contre le MitM, mais
c'est le tunnel sécurisé qui l'assure).
Si un faux access-point se présente, alors il n'aura pas le bon
certificat (soit la chaîne de confiance ne sera pas présente, soit, et
c'est plus simple, cela ne correspondra pas au certificat sauvegardé).
Sans utiliser cette technique et avec un simple WEP/WPA/WPA2/WPA3, ou si
le certificat n'est pas vérifié en mode "entreprise", il est possible de
faire des attaques MitM, voire même, par exemple avec un T/TLS + PAP
sans certificat vérifié, d'obtenir le mot de passe en clair.
> Je pensais à minima que la l'authentification
> d'un réseau wifi repose sur un échange de clef publique comme cela se
> fait lors d'une première authentification sur un serveur SSH.
le sauvegarder", ça pourrait être une excellente idée.
Quel est le protocole d'authentification utilisé par ton access point?
> Étant donné que le routeur wifi est lié à un compte google, se
> pourrait il qu'au moment de la configuration du routeur, google qui aurait
> conservé une copie de la clef privée, duplique la clef sur le nouveau
> routeur pour assurer la continuité du service ?
"entreprise".
Julien Arlandis
Jul 23, 2022, 7:18:11 AM7/23/22
to
Le 23/07/2022 à 12:44, Olivier Miakinen a écrit :
> Bonjour,
>
> Le 23/07/2022 12:31, Julien Arlandis a écrit :
>>
>> Je viens de remplacer mon routeur wifi google par un autre routeur wifi
>> google, que j'ai configuré avec le même réseau et le même mot de
>> passe. Je m'attendais à devoir malgré tout reconfigurer tous les
>> appareils sans fils pour les authentifier sur le nouveau routeur wifi, au
>> contraire tous les appareils ont continué de fonctionner sans la moindre
>> intervention manuelle.
>> Je suis surpris car cela signifie que n'importe quel pirate pourrait
>> dupliquer un réseau wifi avec son propre matériel et détourner ainsi la
>> connexion des équipements. Je pensais à minima que la l'authentification
>> d'un réseau wifi repose sur un échange de clef publique comme cela se
>> fait lors d'une première authentification sur un serveur SSH.
>
> À partir du moment où ils connaissent et utilisent le même mot de passe,
> même s'il y a échange de clé publique, il suffit que les appareils aient
> procédé de nouveau à cet échange lorsque tu as remplacé ton routeur, non ?
Normalement le remplacement de la clef publique requiert une approbation
> Bonjour,
>
> Le 23/07/2022 12:31, Julien Arlandis a écrit :
>>
>> Je viens de remplacer mon routeur wifi google par un autre routeur wifi
>> google, que j'ai configuré avec le même réseau et le même mot de
>> passe. Je m'attendais à devoir malgré tout reconfigurer tous les
>> appareils sans fils pour les authentifier sur le nouveau routeur wifi, au
>> contraire tous les appareils ont continué de fonctionner sans la moindre
>> intervention manuelle.
>> Je suis surpris car cela signifie que n'importe quel pirate pourrait
>> dupliquer un réseau wifi avec son propre matériel et détourner ainsi la
>> connexion des équipements. Je pensais à minima que la l'authentification
>> d'un réseau wifi repose sur un échange de clef publique comme cela se
>> fait lors d'une première authentification sur un serveur SSH.
>
> À partir du moment où ils connaissent et utilisent le même mot de passe,
> même s'il y a échange de clé publique, il suffit que les appareils aient
> procédé de nouveau à cet échange lorsque tu as remplacé ton routeur, non ?
manuelle, ceci afin d'éviter que l'équipement soit automatiquement
détourné. En tout cela est le fonctionnement normal d'un client SSH,
lorsque tu réinstalles un nouveau serveur avec une nouvelle clé privée,
même si l'ip, le login et le mot de passe sont identiques. Le client SSH
t'alerte sur une potentielle fraude à l'identité, te demande de
supprimer l'ancienne clé publique et bloque la connexion. Je m'attendais
à un même comportement pour l'accès au nouveau réseau wifi, d'où mon
étonnement.
>> Étant donné que le routeur wifi est lié à un compte google, se
>> pourrait il qu'au moment de la configuration du routeur, google qui aurait
>> conservé une copie de la clef privée, duplique la clef sur le nouveau
>> routeur pour assurer la continuité du service ?
>
> Dans un bâtiment assez grand, j'ai utilisé des répéteurs wifi qui sont
> autant de routeurs différents (je crois), configurés avec le même nom
> de réseau et le même mot de passe. Grâce à cela, les clients wifi peuvent
> être déplacés d'un endroit à un autre du bâtiment sans discontinuité du
> service et sans devoir accepter à la main une reconfiguration d'un endroit
> à l'autre.
imaginer qu'il agit en simple proxy et dans ce cas l'authentification
reste à charge du routeur maître ?
Marc SCHAEFER
Jul 23, 2022, 7:23:36 AM7/23/22
to
Julien Arlandis <julien....@gmail.com> wrote:
> Je ne sais pas comment fonctionne le répétiteur wifi mais on peut
> imaginer qu'il agit en simple proxy et dans ce cas l'authentification
> reste à charge du routeur maître ?
Ici, effectivement, les access points utilisent un serveur RADIUS.
> Je ne sais pas comment fonctionne le répétiteur wifi mais on peut
> imaginer qu'il agit en simple proxy et dans ce cas l'authentification
> reste à charge du routeur maître ?
Mais dans mon cas, à la fois les access points sont du Linux (système
embarqué, carte WiFi, hostapd) et le serveur RADIUS aussi.
J'ai déployé:
- du WPA2 (simple mot de passe global)
- du WPA2 Entreprise (certificat préinstallé sur les clients,
ensuite login & mot de passe spécifique à chaque utilisateur,
via EAP TTLS PAP)
L'utilisation de PAP dans le tunnel chiffré me permet d'avoir le mot de
passe haché côté serveur (CHAP ne le permettrait pas; l'extension
MS-CHAP le permet car en fait pour ce protocole le mot de passe haché
est en fait le mot de passe).
Marc SCHAEFER
Jul 23, 2022, 7:24:07 AM7/23/22
to
Julien Arlandis <julien....@gmail.com> wrote:
> Je ne sais pas comment fonctionne le répétiteur wifi mais on peut
> imaginer qu'il agit en simple proxy et dans ce cas l'authentification
> reste à charge du routeur maître ?
> Je ne sais pas comment fonctionne le répétiteur wifi mais on peut
> imaginer qu'il agit en simple proxy et dans ce cas l'authentification
> reste à charge du routeur maître ?
Ici, effectivement, les access points utilisent un serveur RADIUS.
Mais dans mon cas, à la fois les access points sont du Linux (système
embarqué, carte WiFi, hostapd) et le serveur RADIUS aussi.
J'ai déployé:
- du WPA2 (simple mot de passe global) -- dans ce cas, MitM possible
Mais dans mon cas, à la fois les access points sont du Linux (système
embarqué, carte WiFi, hostapd) et le serveur RADIUS aussi.
J'ai déployé:
- du WPA2 Entreprise (certificat préinstallé sur les clients,
ensuite login & mot de passe spécifique à chaque utilisateur,
Olivier Miakinen
Jul 23, 2022, 7:24:16 AM7/23/22
to
Le 23/07/2022 13:18, Julien Arlandis m'a répondu :
que ma réponse reflétait juste ma croyance dans la façon dont ça fonctionne.
La réponse de Marc me semble bien plus informée que la mienne.
>> Dans un bâtiment assez grand, j'ai utilisé des répéteurs wifi qui sont
>> autant de routeurs différents (je crois), configurés avec le même nom
>> de réseau et le même mot de passe. Grâce à cela, les clients wifi peuvent
>> être déplacés d'un endroit à un autre du bâtiment sans discontinuité du
>> service et sans devoir accepter à la main une reconfiguration d'un endroit
>> à l'autre.
>
> Je ne sais pas comment fonctionne le répétiteur wifi mais on peut
> imaginer qu'il agit en simple proxy et dans ce cas l'authentification
> reste à charge du routeur maître ?
Je n'y avais pas pensé, mais oui, c'est possible.
--
Olivier Miakinen
>>
>> À partir du moment où ils connaissent et utilisent le même mot de passe,
>> même s'il y a échange de clé publique, il suffit que les appareils aient
>> procédé de nouveau à cet échange lorsque tu as remplacé ton routeur, non ?
>
> Normalement le remplacement de la clef publique requiert une approbation
> manuelle, ceci afin d'éviter que l'équipement soit automatiquement
> détourné. En tout cela est le fonctionnement normal d'un client SSH,
> lorsque tu réinstalles un nouveau serveur avec une nouvelle clé privée,
> même si l'ip, le login et le mot de passe sont identiques. Le client SSH
> t'alerte sur une potentielle fraude à l'identité, te demande de
> supprimer l'ancienne clé publique et bloque la connexion. Je m'attendais
> à un même comportement pour l'accès au nouveau réseau wifi, d'où mon
> étonnement.
Ok. J'aurais dû préciser que je ne suis absolument pas un spécialiste et
>> À partir du moment où ils connaissent et utilisent le même mot de passe,
>> même s'il y a échange de clé publique, il suffit que les appareils aient
>> procédé de nouveau à cet échange lorsque tu as remplacé ton routeur, non ?
>
> Normalement le remplacement de la clef publique requiert une approbation
> manuelle, ceci afin d'éviter que l'équipement soit automatiquement
> détourné. En tout cela est le fonctionnement normal d'un client SSH,
> lorsque tu réinstalles un nouveau serveur avec une nouvelle clé privée,
> même si l'ip, le login et le mot de passe sont identiques. Le client SSH
> t'alerte sur une potentielle fraude à l'identité, te demande de
> supprimer l'ancienne clé publique et bloque la connexion. Je m'attendais
> à un même comportement pour l'accès au nouveau réseau wifi, d'où mon
> étonnement.
que ma réponse reflétait juste ma croyance dans la façon dont ça fonctionne.
La réponse de Marc me semble bien plus informée que la mienne.
>> Dans un bâtiment assez grand, j'ai utilisé des répéteurs wifi qui sont
>> autant de routeurs différents (je crois), configurés avec le même nom
>> de réseau et le même mot de passe. Grâce à cela, les clients wifi peuvent
>> être déplacés d'un endroit à un autre du bâtiment sans discontinuité du
>> service et sans devoir accepter à la main une reconfiguration d'un endroit
>> à l'autre.
>
> Je ne sais pas comment fonctionne le répétiteur wifi mais on peut
> imaginer qu'il agit en simple proxy et dans ce cas l'authentification
> reste à charge du routeur maître ?
--
Olivier Miakinen
Marc SCHAEFER
Jul 23, 2022, 7:26:01 AM7/23/22
to
Julien Arlandis <julien....@gmail.com> wrote:
> Je ne sais pas comment fonctionne le répétiteur wifi mais on peut
> imaginer qu'il agit en simple proxy et dans ce cas l'authentification
> reste à charge du routeur maître ?
> Je ne sais pas comment fonctionne le répétiteur wifi mais on peut
> imaginer qu'il agit en simple proxy et dans ce cas l'authentification
> reste à charge du routeur maître ?
Ici, effectivement, les access points utilisent un serveur RADIUS.
Mais dans mon cas, à la fois les access points sont du Linux (système
embarqué, carte WiFi, hostapd) et le serveur RADIUS aussi.
J'ai déployé: (deux ESS == noms de réseau différents, pour les
Mais dans mon cas, à la fois les access points sont du Linux (système
embarqué, carte WiFi, hostapd) et le serveur RADIUS aussi.
différents cas qui peuvent se présenter, le 2e étant préféré; ces deux
réseaux sont aussi VLANisés différemment).
Julien Arlandis
Jul 23, 2022, 7:55:34 AM7/23/22
to
Le 23/07/2022 à 12:48, Marc SCHAEFER a écrit :
> Julien Arlandis <julien....@gmail.com> wrote:
>> Je suis surpris car cela signifie que n'importe quel pirate pourrait
>> dupliquer un réseau wifi avec son propre matériel et détourner ainsi la
>> connexion des équipements.
>
> Oui, c'est pour cela que les entreprises utilisent plutôt des systèmes à
> tunnels d'authentification: EAP TTLS dans le monde standard et d'autres
> protocoles similaires dans le monde propriétaire.
>
> Pour que cela fonctionne, les clients doivent pouvoir vérifier le
> certificat présenté par le serveur d'authentification, puis établir un
> tunnel chiffré garanti sans attaque du relais (MitM). Enfin, les
> protocoles d'authentification classiques comme PAP, CHAP, voire MS-CHAP
> peuvent être utilisés (eux n'ont pas de protection contre le MitM, mais
> c'est le tunnel sécurisé qui l'assure).
>
> Si un faux access-point se présente, alors il n'aura pas le bon
> certificat (soit la chaîne de confiance ne sera pas présente, soit, et
> c'est plus simple, cela ne correspondra pas au certificat sauvegardé).
>
> Sans utiliser cette technique et avec un simple WEP/WPA/WPA2/WPA3, ou si
> le certificat n'est pas vérifié en mode "entreprise", il est possible de
> faire des attaques MitM, voire même, par exemple avec un T/TLS + PAP
> sans certificat vérifié, d'obtenir le mot de passe en clair.
Merci pour les explications.
> Julien Arlandis <julien....@gmail.com> wrote:
>> Je suis surpris car cela signifie que n'importe quel pirate pourrait
>> dupliquer un réseau wifi avec son propre matériel et détourner ainsi la
>> connexion des équipements.
>
> Oui, c'est pour cela que les entreprises utilisent plutôt des systèmes à
> tunnels d'authentification: EAP TTLS dans le monde standard et d'autres
> protocoles similaires dans le monde propriétaire.
>
> Pour que cela fonctionne, les clients doivent pouvoir vérifier le
> certificat présenté par le serveur d'authentification, puis établir un
> tunnel chiffré garanti sans attaque du relais (MitM). Enfin, les
> protocoles d'authentification classiques comme PAP, CHAP, voire MS-CHAP
> peuvent être utilisés (eux n'ont pas de protection contre le MitM, mais
> c'est le tunnel sécurisé qui l'assure).
>
> Si un faux access-point se présente, alors il n'aura pas le bon
> certificat (soit la chaîne de confiance ne sera pas présente, soit, et
> c'est plus simple, cela ne correspondra pas au certificat sauvegardé).
>
> Sans utiliser cette technique et avec un simple WEP/WPA/WPA2/WPA3, ou si
> le certificat n'est pas vérifié en mode "entreprise", il est possible de
> faire des attaques MitM, voire même, par exemple avec un T/TLS + PAP
> sans certificat vérifié, d'obtenir le mot de passe en clair.
>> Je pensais à minima que la l'authentification
>> d'un réseau wifi repose sur un échange de clef publique comme cela se
>> fait lors d'une première authentification sur un serveur SSH.
>
> Je n'ai jamais vu d'option, sur les clients "accepter ce certificat et
> le sauvegarder", ça pourrait être une excellente idée.
>
> Quel est le protocole d'authentification utilisé par ton access point?
Marc SCHAEFER
Jul 23, 2022, 7:57:39 AM7/23/22
to
Julien Arlandis <julien....@gmail.com> wrote:
> WPA2 PSK, je n'ai rien configuré ce sont les paramètres par défaut.
Pre-shared key, donc un seul mot de passe pour tout le monde.
> WPA2 PSK, je n'ai rien configuré ce sont les paramètres par défaut.
On pourrait dire que l'identifiant de ton réseau est son nom d'ESS ainsi
que ce mot de passe. Dès que ces deux informations sont copiées sur le
nouvel access point, l'accès est possible sans autre forme de procès.
Marc SCHAEFER
Jul 23, 2022, 7:59:07 AM7/23/22
to
Julien Arlandis <julien....@gmail.com> wrote:
> WPA2 PSK, je n'ai rien configuré ce sont les paramètres par défaut.
> WPA2 PSK, je n'ai rien configuré ce sont les paramètres par défaut.
Pre-shared key, donc un seul mot de passe pour tout le monde.
On pourrait dire que l'identifiant de ton réseau est son nom d'ESS ainsi
que ce mot de passe. Dès que ces deux informations sont copiées sur le
nouvel access point, l'accès est possible sans autre forme de procès.
Dans ce mode, aucune notion de certificat ni de chiffrement asymétrique
On pourrait dire que l'identifiant de ton réseau est son nom d'ESS ainsi
que ce mot de passe. Dès que ces deux informations sont copiées sur le
nouvel access point, l'accès est possible sans autre forme de procès.
n'existe.
Julien Arlandis
Jul 23, 2022, 8:56:40 AM7/23/22
to
Est ce qu'il existe un mode qui permettrait de révoquer facilement un
clone illégitime. Par exemple j'aimerais que si mon routeur tombe en
panne et qu'un petit malin vienne cloner le nom du réseau avec le même
mot de passe, les équipements refusent de se connecter sur son routeur.
Marc SCHAEFER
Jul 23, 2022, 9:34:42 AM7/23/22
to
Julien Arlandis <julien....@gmail.com> wrote:
> Est ce qu'il existe un mode qui permettrait de révoquer facilement un
> clone illégitime. Par exemple j'aimerais que si mon routeur tombe en
> panne et qu'un petit malin vienne cloner le nom du réseau avec le même
> mot de passe, les équipements refusent de se connecter sur son routeur.
Avec WPA Entreprise et EAP-TTLS, tu peux faire signer ton certificat serveur par une
> Est ce qu'il existe un mode qui permettrait de révoquer facilement un
> clone illégitime. Par exemple j'aimerais que si mon routeur tombe en
> panne et qu'un petit malin vienne cloner le nom du réseau avec le même
> mot de passe, les équipements refusent de se connecter sur son routeur.
autorite de certification. Et tu peux soit utiliser une vraie, ou une
locale preinstallee sur les clients.
A partir de la, tu peux ensuite revoquer ce certificat via un service
OCSP, ou mettre un delai court et changer souvent le certificat.
Alternative: mettre le certificat et la cle correspondante sur un
serveur RADIUS mieux securise que ton AP et l'AP ne fait que relayer
l'authentification de maniere centrale.
Par exemple ici, le vol d'un AP (qui en fait sont des machines Linux
embarquees mais cela ne change rien) n'a pas de consequence sur la
securite du reseau.
0 new messages