Les chercheurs en cybersécurité ont publié un nouvel outil appelé « Snappy » qui peut aider à détecter les points d’accès Wi-Fi faux ou malveillants qui tentent de voler des données à des personnes sans méfiance.
Les attaquants peuvent créer de faux points d’accès dans les supermarchés, les cafés et les centres commerciaux qui se font passer pour de vrais déjà établis sur place. Ceci est fait pour inciter les utilisateurs à se connecter aux points d’accès non autorisés et à relayer les données sensibles via les appareils des attaquants.
Lorsque les acteurs de la menace contrôlent le routeur, ils peuvent capturer et analyser les données transférées en effectuant des attaques de type « man-in-the-middle ».
Tom Neaves, chercheur en sécurité chez Trustwave et passionné de technologie sans fil/RF, explique que l’usurpation d’adresses MAC et de SSID de points d’accès légitimes sur des réseaux ouverts est insignifiante pour des attaquants déterminés.
Les appareils de ceux qui revisitent les emplacements des réseaux sans fil ouverts auxquels ils se sont précédemment connectés tenteront automatiquement de se reconnecter à un point d’accès enregistré, et leurs propriétaires seront inconscients du fait qu’ils se connectent à un appareil malveillant.
Snappy à la rescousse
Neaves a développé un outil qui traite ce risque courant, aidant les gens à détecter si le point d’accès qu’ils utilisent est le même que celui qu’ils ont utilisé la dernière fois (et à chaque fois) ou s’il peut s’agir d’un appareil factice ou malveillant.
En analysant les trames de gestion des balises, il a trouvé certains éléments statiques tels que le fournisseur, le BSSID, les débits pris en charge, le canal, le pays, la puissance de transmission maximale et d’autres qui varient entre différents points d’accès sans fil 802.11 mais sont cohérents pour un point d’accès spécifique au fil du temps.
Le chercheur a pensé qu’il pouvait concaténer ces éléments et les hacher avec SHA256 pour créer une signature unique pour chaque point d’accès, qui pourrait être utilisée par un outil de numérisation pour générer des correspondances et des discordances.
Les correspondances signifient que le point d’accès est le même, donc digne de confiance, tandis que les incohérences sur la signature signifieraient que quelque chose a changé et que le point d’accès pourrait être malveillant.
Cette fonctionnalité a été intégrée dans un script Python appelé Snappy qui a été publié sur le référentiel GitHub de Trustwave et mis à disposition gratuitement.
Outre le mécanisme de génération de hachages SHA256 des points d’accès sans fil, Snappy peut également détecter les points d’accès créés par Airbase-ng, un outil utilisé par les attaquants pour créer de faux points d’accès afin de capturer les paquets des utilisateurs connectés ou même d’injecter des données dans leur trafic réseau.
L’exécution de scripts Python sur des ordinateurs portables devrait être simple tant que Python est installé, mais les utilisateurs d’appareils mobiles devront faire un effort supplémentaire pour trouver des interpréteurs et des émulateurs spécifiques.
Les propriétaires d’appareils Android peuvent utiliser Pydroid, QPython ou Termux pour exécuter des scripts Python sur leurs téléphones, tandis que les utilisateurs iOS peuvent choisir entre Pythonista, Carnets et Juno.
Espérons que Trustwave envisagera bientôt de publier l’outil sous une forme plus utilisable pour un public plus large.