P'tiote etude (wardriving)

Le
Dominique Blas
Bonsoir à tous,

Voilà je me suis fendu, ce soir, d'une petite analyse d'un parc d'AP
situé en ville.
Jadis (fin des années 90) je réalisais une étude comparative sur les
domaines .fr avec des considérations sécuritaires sur les accès SMTP,
DNS, etc.
J'ai abandonné lorsque la liste des domaines .fr n'a plus été disponible
sur le de l'AFNIC.
Ca me manquait.

Bref, ici c'est sans commune mesure, il s'agit ici de wardriving.
Rien de nouveau me direz-vous.
Effectivement cela se pratique depuis des années mais bon,
personnellement, ma dernière séance de wardriving remonte à avril 2002
et même dans un quartier d'affaire (la Part-Dieu à Lyon pour ceux qui
connaissent) je n'avais recensé, à l'époque, que 2 AP complètement
ouverts. Aucun AP sur la presqu'île à cette même époque.
A l'époque toujours j'avais arpenté les 2 quartiers avec mon portable
d'alors (4 kg à bout de bras tout de même). On ne peut pas dire que
l'efort aie été récompensé.
Depuis je n'ai jamais eu l'occasion de répéter l'expérience car il était
hors de question de recommencer avec un portable-haltère avec l'air de
niais qui sied à l'utilisateur de portable en pleine rue.
Et comme personne n'a eu l'extrême bonté de me prêter un PDA WiFi je
n'ai pas pu renouveler ce genre de balade citadine. ;-)
ET puis, je suis navré de la dire, mais je n'ai jamais trouvé de tels
résultats meêm succincts ici ou là. Donc, comme on n'est jamais mieux
servi que par soi-même

C'est donc à la faveur de l'acquisition d'une clé WiFi (*) comportant un
scanner (la 429UB de Trendnet) que j'ai pu << wardriver >> un p'tit coup
en rentrant hier soir, 3 ans et demi après ma première tentative, donc.

Une première constatation s'impose : les choses ont bien changé !
Heureusement me direz-vous.
Là où j'avais péniblement trouver 0 AP j'en trouve aujourd'hui plus
d'une centaine !
Cette balade est donc l'occasion de voir, sur le terrain, comment les
considérations sécuritaires sont perçus dans le public et chez les
professionnels.

Cette << étude >> est bien entendu à prendre avec toutes les pincettes
qu'il se doit.
En effet, le type de population située derrière ce point d'accès
(particulier ou entreprise) est difficile à établir à la lueur des seuls
éléments que me fournit le scanner à savoir canal, SSID, niveau de
protection (rien, WEP et WPA) et modulation.
Toutefois, à vue de nez (désolé je n'ai que cela pour l'instant), 70%
des AP sont à vocation commerciale (entreprises, artisans ou
commerçants), 20% sont privés et un peu moins de 10% constituent des
hotspots à 30% près.
L'analyse à partir d'un PDA permettrait d'obtenir en sus l'adresse MAC
de l'AP, l'identifiant du serveur DHCP, accessoirement une adresse IP
ainsi que des éléments plus techniques sur le 802.11 (DTIM, etc) voire
sur le réseau lui-même et pourquoi pas le fournisseur d'accès
constituant en cela davantage d'éléments en vue d'une qualification plus
précise.
Mais nous n'en sommes pas là. Cela viendra peut-être auquel cas la
constitution d'une base d'informations deviendra un jeu d'enfant en lui
(au PDA) associant un module GPS.

On pourra dont allégrement critiquer le non-respect de la partition des
populations.
Ce à quoi je retorquerai que lorsque je disposerai de l'équipement
décrit ci-dessus j'irai faire un tour dans les beauc quartiers
résidentiels c'est promis. :-)

J'aurais également aimé élaborer de belles matrices croisant FAI et
niveau de protection, type de population et niveau de protection, etc
mais cela ne serait pas honnête.
Les résultats de cette analyse sont donc à considérer au niveau global
comme un reflet tout relativement correct de la réalité.
Je me contenterai ainsi de fournir des informations simples que je me
garderai de commenter. Ce sont des données brutes.



122 AP ont été recencés (en 2h 1/2) ce soir, mardi 28 septembre 2005,
entre 17h30 et 20h. Ils sont situés entre la place Bellecour côté sud et
la rue Grenette (pour ceux qui connaissent) le long de la rue de la
République et autour de la place des Jacobins (c'est dire qu'il y a e la
marge quant au nombre d'AP réellement actifs dans le secteur) ainsi que
dans le quartier St-Jean.

Sur ces 122 AP 10 sont des hotspots et constituent donc des accès
publics dont le niveau de protection (couche 2) est inexistant ce qui
est classique.

Si nous observons justement ces niveaux de protection de la couche 2
nous obtenons le relevé suivant :
Rien : 35 (dont les 10 hotspots) soit 30% environ,
WEP : 62 soit 50%,
WPA : 25 soit 20%.

On peut partir du fait que bon nombre d'AP a conservé sa configuration
par défaut. Il est donc intéressant (mais pas franchement honnête) de
tenter une petite analyse par marque (plus honnête serait par date de
sortie du modèle, les considérations sécuritaires vont en s'améliorant
mais pour cela il me faudrait l'adresse MAC).
Ainsi, sous toute réserve, les boîtes 9Tel sont fournis sans protection
de niveau 2, les boîtes FreeBox avec du WEP et les boîtes Wanadoo avec
du WEP ou du WPA selon la génération.
Les bornes Airport sont en accès libre de même que les
anciens DLink. Les DLink plus récents sont protégés avec du WEP.
On trouve également pas mal de Linksys (quels modèles ?) ouverts.
Mais bon, qui dit niveau 2 libre ne dit pas réseau ouvert à tous les
vents : on peut sécuriser de différentes façons et surtout aux niveaux
supérieurs. Mais en ce qui concerne les particuliers et les petits
commerçants (hors hotspots) boren en accès libre signifie probablement
réseau en accès libre.
De même ce n'est pas parce qu'il y a un AP qu'il y a un accès Internet
derrière. l'Internet semble en revanche plus que probable si nous avons
affaire à un point d'accès de type boite.

Autre statistique intéressante, la répartition des FAIbox selon les FAI.
Cela vaut ce que ça vaut étant donné que cela est basé sur l'identifiant
et que ce dernier se change aisément. Toutefois il est fort peu probable
qu'une boîte Free possède un identifiant Wanadoo.

Voici les répartitions :
4 boîtes 9Tel,
4 routeurs Orange (des hotspots),
39 boîtes Wanadoo (dont 13 Livebox de génération 1 et 26 Livebox
de génération 2) et
3 boîtes Free.

Le Wardriving est également l'occasion de découvrir des choses amusantes
comme cette << CAMERAIP >> sans protection de niveau 2 ou encore ce
serveur d'impression HP également sans protection au niveau 2.
Il y a quelques années je m'amusais beaucoup à montrer, dans les
formations, les imprimantes accessibles à tous et sans protection depuis
Internet.
Aujourd'hui il semble qu'une nouvelle voie soit tracée : celle des
imprimantes disponibles depuis la rue. Difficile toutefois, comme jadis,
de récupérer le produit de l'impression. :-)

A la prochaine,

db

(*) Mon parc de cartes PCMCIA WiFi n'est constitué que de 802.11b, il
fallait bien que j'y ajoue un petit 802.11g :-)

--

Courriel : usenet blas net


--

Courriel : usenet blas net
  • Partager ce contenu :
Vos réponses Page 1 / 2
Trier par : date / pertinence
Fabien LE LEZ
Le #805150
On 30 Sep 2005 05:07:58 GMT, Dominique Blas
Aujourd'hui il semble qu'une nouvelle voie soit tracée : celle des
imprimantes disponibles depuis la rue. Difficile toutefois, comme jadis,
de récupérer le produit de l'impression. :-)


Un peu de triangulation pour repérer le bon bureau, puis tu vas sonner
à la porte : "Bonjour Monsieur, je viens d'imprimer un document chez
vous, est-ce que je peux le récupérer ?"

Eric Razny
Le #805146
Le Fri, 30 Sep 2005 10:12:03 +0000, Fabien LE LEZ a écrit :

On 30 Sep 2005 05:07:58 GMT, Dominique Blas
Aujourd'hui il semble qu'une nouvelle voie soit tracée : celle des
imprimantes disponibles depuis la rue. Difficile toutefois, comme jadis,
de récupérer le produit de l'impression. :-)


Un peu de triangulation pour repérer le bon bureau, puis tu vas sonner
à la porte : "Bonjour Monsieur, je viens d'imprimer un document chez
vous, est-ce que je peux le récupérer ?"


Plaisanterie mise à part le fait de pouvoir imprimer des documents
"internes" (au sens supposés émis par l'entreprise) ça doit pouvoir
avoir des conséquences désastreuses pour peu qu'on ait des connaissance
sur l'entreprise en question :

======== From: méchant
To: très méchant
<reste de pseudo header>

MEMO CONFIDENTIEL.
L'équipe machin va droit dans le mur avec le développement truc. Je
propose de les laisser se planter...
========
Bref un email confidentiel imprimé par "accident".
Dominique : tu n'as pas trouvé de permanences de partis politiques dans
ta ballade ;)


Sylvain Eche
Le #804904
Rien : 35 (dont les 10 hotspots) soit 30% environ,
WEP : 62 soit 50%,
WPA : 25 soit 20%.


Un article dans misc d'il y a 6 mois donnait à peu près les mêmes valeurs :
20 % sans rien
50 % en WEP
les reste en WPA
sur le secteur de la défense (donc 95 % de professionnels ...)
ce qui fait 70 % des réseaux wifi ouverts sur l'extérieur

Dominique Blas
Le #804900
[...]

Un peu de triangulation pour repérer le bon bureau, puis tu vas sonner
à la porte : "Bonjour Monsieur, je viens d'imprimer un document chez
vous, est-ce que je peux le récupérer ?"



Hum il faudrait pour cela disposer d'un interpréteur de langage
d'imprimante tel que le HPPCL(5 ou 6), le langage EPSON, le postscript,
etc. Pour ce dernier c'est facile mais pour les autres ...
Enfin, les entêtes étant en clair on peut toujours stocker au fil de
l'eau et le balancer sur une imprimante
(une vraie) pour voir mais il faut vraiment que le jeu en vaille la
chandelle.
Même en écoutant la DGA (bonne chance !) je ne suis pas sûr d'y trouver
quelque chose de croustillant sur 10000 pages imprimées. Alors vous
pensez dans une entreprise << classique >>.

J'ai découvert 2 autres << hpsetup >> dans d'autres coins de la ville.
Ca pullule ces trucs là.

[...]

Bref un email confidentiel imprimé par "accident".
Dominique : tu n'as pas trouvé de permanences de partis politiques dans
ta ballade ;)
Non, mais je n'ai pas arpenté toute la ville non plus. Et puis la

politique ça concerne un club fermé. Le peuple n'y est pas convié.

En revanche j'ai découvert un AP << ouvert >> (*) judicieusement nommé
(pas d'ambiguité sur son rôle) près des fenêtres d'un certain bâtiment.
En plus c'était en transport en commun : pas d'effort, sa repose et on
parcourt plus vite la ville.

En autres choses ce bâtiment héberge, hum, ... disons ... des services
fiscaux.
Alors que peut-il y avoir d'intéressant sur un réseau du fisc ? Hummm ?
La déclaration de son voisin, celle du ministre ou de son ex ? ;-)

db


(*) Qui dit AP ouvert ne veut pas dire pour autant réseau accessible.
Toutefois, son objectif semble être de desservir des bureaux internes
(très peu de rayonnement à l'extérieur) et en interne, aux impôts, le
802.1x, bof. Remarquez je peux me tromper lourdement. S'ils ont été bien
conseillé (:-)) y'a pas de lézard.

--

Courriel : usenet blas net


F. Senault
Le #804901

Le Fri, 30 Sep 2005 10:12:03 +0000, Fabien LE LEZ a écrit :

On 30 Sep 2005 05:07:58 GMT, Dominique Blas
Aujourd'hui il semble qu'une nouvelle voie soit tracée : celle des
imprimantes disponibles depuis la rue. Difficile toutefois, comme jadis,
de récupérer le produit de l'impression. :-)


Un peu de triangulation pour repérer le bon bureau, puis tu vas sonner
à la porte : "Bonjour Monsieur, je viens d'imprimer un document chez
vous, est-ce que je peux le récupérer ?"


Plaisanterie mise à part le fait de pouvoir imprimer des documents
"internes" (au sens supposés émis par l'entreprise) ça doit pouvoir
avoir des conséquences désastreuses pour peu qu'on ait des connaissance
sur l'entreprise en question :


/.../

Plus "white hat", comme approche, il y a l'impression en police 80 du
message "votre AP WiFi est ouvert à tous les vents -- un passant".

Et bon, au moins, y'a pas plus anonyme comme disclosure, pour en revenir
aux quelques discussions récurrentes récentes.

Fred
--
Trusted you With my life
Shattered dreams Broken glass
I hope there is a closure Down your path (Kittie,
For I have yet to find The means to forgive Pink Lemonade)



Dominique Blas
Le #804902
[...]
Un peu de triangulation pour repérer le bon bureau, puis tu vas sonner
à la porte : "Bonjour Monsieur, je viens d'imprimer un document chez
vous, est-ce que je peux le récupérer ?"
Merci, au revoir. Un peu comme la pub du CIC ?


Oui, enfin, au départ, l'idée n'était pas forcément de se foutre de la
tronche des handicapés de la sécurité. Il s'agissait juste d'établir une
statistique pouvant être suivie dans le temps afin de jauger l'évolution
des mentalités ; enfin, plutôt, des matos.

En effet, évaluer les mentalités en terme de sécurité serait émminement
biaisé tout simplement par les configurations par défaut.
Je suppose que les nouvelles Livebox doivent être configurées par défaut
en WPA puisque je les vois toutes ainsi tandis que les Livebox de
première génération devaient l'être en WEP car je les vois toutes ainsi.

Ce que je veux dire c'est que ce n'est pas parce qu'il y a du WPA qu'il
y a un pro de la sécu derrière. C'est tout simplement que c'était comme
ça lors du déballage.

En fait, il y avait un autre intérêt à ma démarche et c'est en fait cela
qui a lancé ma balade.
Il y a 2 ans, en tant que responsable chez un FAI sans fil, on
envisageait sérieusement d'équiper les clients d'une boîboite développée
ne interne qui aurait permis de constituer un réseau sur le réseau et
ainsi d'obtenir ce qu'on appellait de l'Internet ambiant.
Bon ...
D'autres l'ont fait comme Ozone à Paris.

A l'époque ben, il n'y avait pas bézef d'AP et faute d'Internet ambiant
on avait plutôt de l'Internet rarement.
Or, aujourd'hui, c'est tout à fait possible. En effet, j'ai
potentiellement un réseau sans couture sur la presqu'île !
On imagine les services qui pourraient émerger de ce type d'infra :
géolocalisation, marketing localisé, etc.


db

--

Courriel : usenet blas net

Fabien LE LEZ
Le #804899
On 30 Sep 2005 20:28:04 GMT, Dominique Blas
Un peu de triangulation pour repérer le bon bureau, puis tu vas sonner
à la porte : "Bonjour Monsieur, je viens d'imprimer un document chez
vous, est-ce que je peux le récupérer ?"



Hum il faudrait pour cela disposer d'un interpréteur de langage
d'imprimante tel que le HPPCL(5 ou 6), le langage EPSON, le postscript,
etc.


Nan, je voyais plutôt l'inverse : tu es dans la rue, tu tapes un
courrier, puis tu l'imprimes sur une imprimante ouverte à tous les
vents, et tu frappes chez le propriétaire de l'imprimante pour lui
demander le courrier que tu viens d'imprimer.
C'est AMHA une alternative intéressante aux imprimantes portables,
onéreuses et pas forcément pratiques.



Dominique Blas
Le #804896

[...]

Nan, je voyais plutôt l'inverse : tu es dans la rue, tu tapes un
courrier, puis tu l'imprimes sur une imprimante ouverte à tous les
vents, et tu frappes chez le propriétaire de l'imprimante pour lui
demander le courrier que tu viens d'imprimer.
C'est AMHA une alternative intéressante aux imprimantes portables,
onéreuses et pas forcément pratiques.


En fait, Ja merdé, je répondais à Eric et donc à ceci :

Plaisanterie mise à part le fait de pouvoir imprimer des documents
"internes" (au sens supposés émis par l'entreprise) ça doit pouvoir
avoir des conséquences désastreuses pour peu qu'on ait des connaissance
sur l'entreprise en question :


db
--

Courriel : usenet blas net

Dominique Blas
Le #804897

[...]

Plus "white hat", comme approche, il y a l'impression en police 80 du
message "votre AP WiFi est ouvert à tous les vents -- un passant".


Oui, ça peut être rigolo, afin ed faire des paris genre << tu vas voir,
dans moins de 10 secondes, des têtes vont apparaître aux fenêtres >>.
Mais cela reste plutôt le côté bon-voisin-qui-passe-donner-le-bonjour :
<< au fait t'as laissé ta porte ouverte ! >>.

Le White Hat donnera tout de même la description de la configuration à
réaliser tandis que le grey hat demandera quelques espèces sonnantes et
trébuchantes sous peine de griller le toner à force d'imprimer des pages
noires.
Enfin le black hat grillera le réseau.

Et s'il s'agissait tout simplement de profiter de la liaison Internet
gratuitement pour relever ses courriels, causer dans le téléphone IP
(envoyer des alertes de manière anonyme [en synthèse vocale bien
entendu]), regarder la télé à la terrasse d'un café, etc ? Bref,
uniquement un côté pratique !
Mon principal souci est là ! Ensuite j'envisage bien quelques
applications commerciales ne nécessitant pas forcément un accès Internet
derrière.

Mais que je suis naïf ! :-)

Et bon, au moins, y'a pas plus anonyme comme disclosure, pour en revenir
aux quelques discussions récurrentes récentes.


En effet, pour en revenir à la sécurité des SI, car c'est tout de même
l'objet du forum, et en étant moins naïf, ce genre de réseau ouvert par
négligence laisse pas mal d'applications envisageables aux << apprentis
sorciers internationaux >>. Et j'imagine bien que d'autres ont mis en
pratique cela depuis fort longtemps.
En fait, c'est que cette analyse rapide m'a appris et dont je ne
soupçonnais pas les proportions (*).

La localisation est certes plus précise que le GSM, notamment selon
l'axe Z, mais l'identification reste impossible (**) au sein d'une foule
pour peu que l'adresse MAC change régulièrement.

C'est qu'à mon avis il faudra à nouveau un coup très dur pour que les
autorités, dans un grand mouvement de moulin à vent désordonné, se
rendent compte que 20% des accès WiFi permettent de commettre des actes
terroristes en toute impunité.
Il y a 10 ans les français << découvraient (***)>> qu'ils pouvaient être
localisés à tout instant via leur téléphone mobile. Depuis 2003 ils
tiennent enfin leur << revanche >> :-)

db

(*) Hier je suis passé en coup de vent à Paris et, en attendant le TGV
du retour, je suis allé faire un tour autour de la gare de Lyon.
En dehors des 8 AP présents au sein et autour de la gare disposant au
maximum d'une protection de niveau 2 WEP, ceux étant ouverts sont de
Telecom Developpement on peut donc clairement supposer une
identification/authentification au niveau 3.
En dehors de ces 8 donc, j'en ai trouvé 18 autres, rien qu'en faisant un
petit tour d'un pâté de maisons. Même une pharmacie dispose d'un AP <<
ouvert >> ! Qu'est ce qu'une pharmacie peut bien faire d'un AP qui plus
est ouvert et qui porte son nom de surcroît (ce n'est pas un AP de
fournisseur de hostpots) ?

(**) J'exclus le cas du niais avec son portable à bout de bras qui
regarde ostensiblement sa cible : visible comme le nez au milieu du
visage dans une foule.
Un PDA avec synthèse vocale est bien plus discret, peut rester dans la
poche et l'individu afficher un comportement anodin pendant que son
message est distillé.

(***) Doux euphémisme.

--

Courriel : usenet blas net

Dominique Blas
Le #804898
Rien : 35 (dont les 10 hotspots) soit 30% environ,
WEP : 62 soit 50%,
WPA : 25 soit 20%.



Un article dans misc d'il y a 6 mois donnait à peu près les mêmes valeurs :
Tiens je l'avais oublié celui-là. En effet. Bon, c'était il y a 6 mois.

CA a peut-être évolué depuis (davantage de WPA apporté par les nouveaux
dispositifs installés depuis).

Ce qui serait intéressant et que j'ai suggéré dans mon post initial ce
serait :
d'une part d'approfondir la question des accès << ouverts >> en
verifiant s'ils sont vraiment ouverts ou s'il existe un contrôle
d'accès au niveau IP, ça ce serait une étude bien plus honnête ;

d'autre part de repéter régulièrement la manoeuvre à périmètre
équivalent afin de jauger l'évolution des choses (plus des
matériels que des mentalités hélas).

Mais pour cela il faut un automate portatif que je ne possède pas pour
l'instant.

20 % sans rien
50 % en WEP
les reste en WPA
sur le secteur de la défense (donc 95 % de professionnels ...)
Il y a bien des résidents mais ils sont en hauteur.:-)


ce qui fait 70 % des réseaux wifi ouverts sur l'extérieur
Attention, AP ouvert ne veut pas dire absence

d'identification/authentification. Elles ont lieu au niveau 3 (IP)
simplement.

Toutefois, sur le secteur de la Défense ce qui est intéressant c'est
effectivement
la présence écrasante de professionnels (et encore on ne <<
renifle >> que ceux situés dans les premiers niveaux des tours
en comptabilisant tous les autres on doit bien atteindre les
98%)
tout en sachant que tous ne peuvent pas être des hotspots ou des
AP destinés aux nomades dédiés à la société propriétaire de
l'AP !

Ca laisse songeur tout cela ...

db

--

Courriel : usenet blas net


Poster une réponse
Anonyme