Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug  
     
Les Analyses les plus Populaires



Courrier indésirable et phishing au deuxième trimestre 2014



Opération Epic Turla : résolution de certains des mystères de Snake/Uroburos



Evolution des menaces informatiques au 2e trimestre 2014



IoT : comment j'ai piraté ma maison



10 astuces simples pour renforcer la sécurité de votre Mac
 
 

  Page d'accueil / Analyses

Sécurité des réseaux sans fil et Wardriving à l’InfoSecurity 2006

23.05.2006   |   comment

Alexander Gostev
Expert Antivirus Senior, Kaspersky Lab

Kaspersky Lab, mène depuis plusieurs années différentes études dédiées à la sécurité des réseaux sans fil et au nouveau phénomène du Wardriving à travers le monde. Le laboratoire a élargi ses recherches à l'occasion d’InfoSecurity 2006. Premiers constats : 49% des réseaux londoniens n’utilisent pas de chiffrement des données ! Cet indice est bien inférieur à la moyenne mondiale de 70%, à la moyenne moscovite de 68-69% et à la moyenne pékinoise de 59%.

Comme l’auront certainement remarqué les fidèles lecteurs des articles analytiques publiés sur les sites de Kaspersky Lab dont VirusList, Kaspersky Lab est particulièrement sensible aux problèmes posés par les réseaux sans fil et les protocoles de transfert de données. Le monde qui nous entoure est toujours plus mobile, et équipé d’une pléthore de moyens de communications. Il s’agit là d’un fait relativement récent, digne d’intérêt aussi bien pour les pirates que pour les sociétés de sécurité informatique. La situation se complique : les réseaux sans fil et les protocoles ne se sont pas encore débarrassés de leurs « maladies infantiles » et leur utilisation par des utilisateurs lambda peut se révéler très dangereuse.

Nous effectuons des recherches régulières dans ce domaine afin d’établir un schéma de la situation réelle et, dans la mesure du possible, de mettre le doigt sur les problèmes existants. Les objets principaux de notre recherche sont les points d’accès WiFi et les appareils mobiles avec support du protocole Bluetooth. Dans le cadre de nos recherches, nous avons publié des rapports sur les réseaux sans fil dans les villes chinoises de Pékin et Tientsin, sur les réseaux au CeBIT 2006 (Hanovre, février 2006), un article sur les virus pour téléphones mobiles et les problèmes posés par le protocole Bluetooth.

Cette fois, nos tests se sont portés sur la capitale de la Grande-Bretagne à l’occasion d’InfoSecurity d’avril 2006. Souvenons-nous : lors de l’InfoSecurity Londonien de l’année dernière, un groupe d’escrocs avait installé à divers endroits du salon, de faux points d’accès imitant l’interface d’entrée du réseau public. Les visiteurs, ne se doutant de rien, se connectaient et rentraient leurs mots de passe et autres données confidentielles, qui arrivaient directement sur les machines des hackers.

Hormis le salon InfoSecurity, nous nous sommes lancés dans l’étude des réseaux WiFi dans les quartiers d’affaires de Londres, ainsi que dans les statistiques sur le nombre d’appareils Bluetooth sur le salon, dans le métro londonien et tout simplement dans les rues. Les résultats de cette étude seront publiés très prochainement dans un article analytique consacré à Bluetooth.

L’étude s’est déroulée du 25 au 28 avril 2006 à Victoria Hall (InfoSecurity 2006), le quartier d’affaires de Canary Wharf et différents secteurs de Londres. Au cours de cette étude, des données ont été récoltées sur plus de 600 points d’accès. Cette étude n’a pas fait l’objet de tentatives d’interception et de déchiffrage de trafic dans les réseaux sans fil.

Voici la répartition des points d’accès WiFi détectés :

  • InfoSecurity – plus de 200
  • Canary Wharf – plus de 260
  • Divers secteurs de Londres – environ 150

Vitesse de transfert des données


Vitesse de transfert des données (par secteurs)


Vitesse de transfert des données (répartition totale)

Comme le montrent les graphiques, les données récoltées sur trois lieux différents sont pratiquement identiques. Les réseaux à vitesse de transmission 54 Mo sont très présents et leur pourcentage oscille entre 64% (InfoSec) et 70% (Londres) d’où une moyenne de 67.6%. Au CeBIT, leur part atteignait les 51% et en Chine 36% seulement. Ce qui veut dire qu’en Grande-Bretagne, on utilise beaucoup plus d’équipements avec des versions plus récentes du protocole 802.11.

En seconde position, on trouve les réseaux dont la vitesse de transmission équivaut à 11Mo. Ils occupent entre 23 et 33% de la totalité des réseaux avec une moyenne de 28.6%. En Chine, leur indice était de plus de 58%, pour 47% au CeBIT.

Les réseaux à vitesse de transmission 22-48 Mo n’a pas dépassé les 4% sur l’ensemble des points étudiés ce qui correspond aux données récoltées en Chine et en Allemagne.

On peut donc en conclure que les réseaux sans fil de Londres sont beaucoup plus développés.

Fabricants d’équipements

Les statistiques montrent de fortes disparités selon les lieux de l’étude. Aussi, nous étudierons les trois emplacements séparément.

En tout, 33 appellations différentes de fabricants ont été recensées.

A InfoSecurity, 18 marques ont été identifiées. L’équipement de quatre fabricants était utilisé dans plus de 25% des réseaux du salon.

Fabricants Pourcentage
Aruba 16,18%
Intel 5,39%
NetGear 1,96%
Cisco 1,96%

L’équipement des 14 autres fabricants était utilisé dans moins de 10% des cas. Comme on le voit, plus de 64% des fabricants n’ont pu être identifiés - Unknown, Fake, ou User Defined (Inconnu, Faux, ou Défini par l'Utilisateur), ce qui concorde avec les données collectées au CeBIT (66%) et diffère par contre des résultats chinois (39%).

Dans le quartier de Canary Wharf, 16 fabricants ont été détectés dont 5 étaient utilisés dans 24% des réseaux.

Fabricants Pourcentage
Cisco 11,07%
CyberTAN 4,20%
2Wire 3,05%
NetGear 3,05%
Symbol 2,67%

L’équipement des 11 autres fabricants était utilisé dans moins de 10% des réseaux. 66% n’ont pu être identifiés Unknown, Fake, ou User Defined (Inconnu, Faux, ou Défini par l'Utilisateur) ce qui correspond aux données collectées à InfoSecurity.

Les données récoltées dans des secteurs aléatoires de Londres montrent une grande diversité d’équipements employés par rapport à un nombre réduit de points d’accès WiFi. En tout, 21 fabricants dont 3 sortent du lot – plus de 30% des réseaux fonctionnent avec leurs produits.

Fabricants Pourcentage
CyberTAN 18,38%
Cisco 7,35%
2Wire 4,41%

L’équipement des 18 autres fabricants était utilisé dans 22% des réseaux. Ici on remarque le plus faible pourcentage de fabricants non identifiés – moins de 48%.

Les leaders au niveau de l’équipement diffèrent fortement selon le lieu de l’étude. Aruba vient en tête à InfoSec, alors que CyberTAN est très présent partout ailleurs. Ces résultats sont très différents des résultats obtenus en Chine et en Allemagne où ces éditeurs étaient absents des statistiques.

Au total, voici la moyenne des 5 fabricants leaders recensés sur les 3 lieux étudiés de notre enquête :

Fabricants Pourcentage
Cisco 7,14%
CyberTAN 5,98%
Aruba 5,48%
Netgear 2,49%
2Wire 2,33%

Quant à la moyenne des fabricants non identifiés, elle s’élève à 61,46%.

Chiffrement du trafic

L’élément certainement le plus intéressant et le plus important des réseaux sans fil est le rapport entre les points d’accès protégés et non protégés. Selon les données obtenues sur le thème du wardriving dans différentes villes du monde, le nombre de réseaux sans fil ne présentant aucune méthode de chiffrement du trafic s’élève à 70%. Pékin faisait état de 60% et CeBIT – 55%. Les tests effectués à Londres devaient permettre d’apporter une réponse concernant une moyenne mondiale de 70%, et sur le fait que dans le cadre d’importants salons informatiques, le rapport des réseaux protégés et non protégés est partout le même.

Voyons les données collectées sur les réseaux d’InfoSecurity, de Canary Wharf et de Londres en général.


Chiffrement du trafic (par secteurs)

62% de points d’accès non protégés pour InfoSec est un chiffre inadmissible. Tous ces points d’accès reliaient directement à l’équipement et aux ordinateurs des sociétés participantes au salon, autrement dit, une cible de choix pour les pirates. Cet indice est encore plus élevé que celui de CeBIT, alors qu’InfoSecurity est un salon plus spécialisé sur lequel sont représentées les entreprises de sécurité informatique. On s’attendrait de leur part à plus de rigueur vis-à-vis de leurs propres points d’accès.

Il faut reconnaître qu’après de tels chiffres obtenus sur le salon, c’est avec un grand intérêt que nous sommes allés au quartier d’affaires de Londres – Canary Wharf. Situé au nord de l’Isle of Dogs, à l’est du centre et au nord de Greenwich, il se présente comme un agglomérat de nombreuses tours avec à sa tête le plus haut bâtiment de Grande Bretagne – Canada House et ses 238 mètres. Ce quartier renferme les bureaux de nombreuses banques internationales - HSBC, Citibank et autres, des compagnies d’assurance, des agences de presse etc. Ces organisations sont la cible prisée des hackers et peuvent devenir les victimes de vol de données confidentielles. La présence de points pour l’accès sans fil est évidente, la question est de savoir à quel point ils sont protégés.

Les résultats de Canary Wharf sont relativement satisfaisants. 40% seulement des points d’accès n’utilisent pas de chiffrement des données. Il s’agit du plus faible indice de toutes nos enquêtes. Si l’on tient compte du fait que sur ces 40%, une partie est représentée par des points d’accès publics dans les centres commerciaux situés à Canary Wharf, alors le niveau général de protection dans ce quartier peut être qualifié de supérieur. Il est évident que les sociétés ici présentes sont préoccupées par la sécurité et connaissent les problèmes posés par l’utilisation du WiFi dans leur réseau. Il faut ajouter que pratiquement chaque coin de rue se trouve sous le contrôle vigilant de caméras de vidéosurveillance. Les actes malveillants d’un wardriver attireront immédiatement l’attention des services de sécurité.

Toutefois, on trouve des réseaux non protégés. Ainsi à 20 mètres d’une banque importante et très connue, on obtenait un signal très fort en provenance d’un point d’accès WiFi non protégé.

Malheureusement, nous n’avons pas eu le temps de mener une enquête similaire dans le vieux quartier d’affaires de Londres – la City. Il aurait été intéressant d’établir si Canary Wharf possède le meilleur niveau de sécurité, ou si c’est une pratique courante pour tous les milieux d’affaires.

Le niveau d’utilisation de WEP\WPA à Canary Wharf ne constitue pas l’unique surprise londonienne. 62% de réseaux non protégés au salon, 40% seulement dans le quartier d’affaires – quel est donc le pourcentage dans les quartiers ordinaires de Londres ? Les résultats ne sont pas moins intéressants.

49% seulement des réseaux londoniens n’utilisent pas de chiffrement des données ! Cet indice est bien inférieur à la moyenne mondiale de 70%, à la moyenne moscovite de 68-69% et à la moyenne pékinoise de 59%. Cela s’explique certainement du fait du niveau plus développé des réseaux sans fil de Londres, ce que l’on remarque aussi avec les nouveaux protocoles et la rapidité du transfert des données. Il ne fait aucun doute que les internautes britanniques se distinguent par un haut niveau de connaissances informatiques et des problèmes de protection des réseaux WiFi.

Moins satisfaisant par contre est le fait que, comme au CeBIT 2006, les points d’accès les moins protégés sont les points fonctionnant dans le cadre du salon. Il est vrai que de tels points s’installent d’ordinaire en mode protection minimale et pour une période de courte durée, néanmoins elles présentent un réel intérêt pour les hackers arpentant ce type de salons dans le but de voler de l’information.


Chiffrement du trafic (total)

Les données effrayantes d’InfoSecurity London n’ont toutefois pas réussies à faire basculer l’indice total des réseaux utilisant WEP\WPA, ce dernier dépassant les 50%.

Ainsi Londres décroche la première palme officieuse en tant que ville possédant les réseaux WiFi les mieux protégés, surpassant Moscou, Pékin et plaçant la barre de la qualité à un haut niveau.

Les types de réseaux d’accès

Les réseaux sans fil peuvent être organisés sous forme de points d’accès ESS/AP ou sous forme de connexion du type « ordinateur-ordinateur » Peer/AdHoc.

Il est bien connu que près de 90% des réseaux WiFi dans le monde sont des ESS/AP. Pour la Chine le rapport ESS/Peer était de 89 pour 11, au CeBIT 2006, de 58 pour 42. La grande quantité des réseaux Peer (42%) s’expliquent du fait qu’ils fonctionnent dans le cadre du salon (donc temporairement) et exige de nombreuses connexions de différents ordinateurs sans les connecter via des câbles réseaux.


Rapport entre les deux types de réseaux d’accès

Ces données montrent qu’effectivement pour les salons CeBIT/InfoSecurity le pourcentage AP / Peer est équivalent et ces réseaux sont utilisés uniquement pour la connexion entre les appareils. Les chiffres de Canary Wharf présentent également un rapport de 90 pour 10, quant à Londres en général, 95 pour 5.

Paramétrages par défaut

Les réseaux paramétrés par défaut s’avèrent être de premier choix pour les hackers nomades. Le default SSID, en règle générale, signifie que l’administrateur des points d’accès n’a pas changé le nom du routeur. Doit-on y voir le signe que le mot de passe du compte de l’administrateur est celui présent par défaut ? Internet foisonne d’informations sur les mots de passe par défaut utilisés dans tel ou tel équipement réseau. Or, en possession des données sur le fabricant (voir plus haut), le pirate peut s’emparer du contrôle total du réseau donné. A Pékin, cet indice était de 8% - ce qui est beaucoup. CeBIT 2006 présentait une amélioration – deux points seulement sur les 300 étaient paramétrés par défaut SSID.

Une des méthodes les plus efficaces de protection contre le wardriving est la désactivation du Broadcast SSID. Voyons les réseaux détectés selon ces deux indices.

InfoSecurity London n’a pas fait beaucoup mieux que les autres salons. On n’y a détecté trois points d’accès en Default SSID seulement, ce qui correspond à moins de 1.5% du chiffre total. Le SSID Broadcast était déconnecté dans près de 13% des réseaux ce qui est mieux que les 8% du CeBIT 2006.


InfoSecurity 2006

Il est intéressant de noter que dans la partie protégée de Canary Wharf, on trouvait aussi des réseaux dont le paramétrage était par défaut. Pas autant qu’à Pékin, mais plus que sur Infosécurity avec plus de 3%. Pour ce qui est de la désactivation de la diffusion de l’identificateur réseau, à Canary Wharf elle est plus active que nulle part ailleurs – cette méthode était déployée sur plus de 30% des réseaux ce qui est un record en soi.


Canary Wharf

Si l’on tient compte du fait que nous connaissons déjà le niveau élevé de développement des réseaux sans fil de Londres, les indices des quartiers tiers ne sont pas surprenants. Malgré le fait que le default SSID soit présent à hauteur de 3.68%, ce qui est évidemment supérieur à l’indice de Canary Wharf, il est bien en dessous des 8% chinois. Quant à la déconnection du SSID Broadcast il équivaut à plus de 32% des réseaux ce qui correspond bien à l’idée que nous nous faisons du WiFi londonien.


Quartiers aléatoires de Londres

Composition des réseaux

A ce jour, nous n’avons pas publié de données de ce genre. Nous allons élucider combien de points d’accès rentre dans la composition des réseaux détectés. Il est évident qu’un réseau peut comporter de un à plusieurs points de connexion. Quels réseaux sont les plus répandus ?

Ainsi, durant InfoSecurity, 84 différents réseaux étaient en activité, se composant de plus de 200 points.


InfoSecurity

On voit bien qu’une grande partie des réseaux (plus de 70%) présente un point d’accès unique. Il est étrange qu’il y ait moins de réseaux à 4 points d’accès qu’à 2-3 voire 7. D’un autre côté, deux réseaux monstres ont été identifiés composés de 13 et 14 points. Par ailleurs, les réseaux de 9-12 points étaient absents. Il faut noter qu’un grand nombre de points d’accès ne sont pas dans les statistiques du fait que le Broadcast SSID était désactivé dans les réseaux auxquels ils étaient rattachés.

A Canary Wharf, les réseaux à un point d’accès se sont avérés bien plus nombreux – plus de 82%. Les réseaux à 2-3 points sont aussi nombreux qu’à Infosecurity. Plus surprenant est la quatrième place occupée par les réseaux à 9 points. Pour ce qui est des records, deux réseaux composés de 18 et 22 points ont été identifiés. En tout 104 réseaux ont été détectés.


Canary Wharf

Pour ce qui est des divers quartiers de Londres, le nombre de réseaux à un point d’accès est très proche des données du salon. Les réseaux à deux points sont bien moins nombreux, à trois points inexistants au profit des quatre points. Ici pas de réseaux avec des résultats records. Le nombre maximum de points d’accès s’arrête à six. 67 réseaux ont été identifiés (sans compter les points pour lesquels le réseau SSID n’a pas été identifié).


Quartiers aléatoires de Londres

Voici les conclusions que l’on peut tirer de notre étude sur le wardriving à Londres :

  • supériorité des réseaux dont la vitesse de transfert des données est de 54Mo
  • les réseaux mis en place lors de salons présentent un faible niveau de sécurité et une utilisation égale de réseaux AP et Peer.
  • niveau plus élevé d’utilisation de cryptage dans les réseaux urbains en comparaison avec les autres villes du monde.

« L’accès à Internet doit être gratuit pour tous et partout ? » Il est possible que de nombreux administrateurs système continuent à adhérer à cette devise généreuse. Or il semble que, lorsque des visiteurs et des employés de sociétés participantes à InfoSecurity London, pendant trois jours de salon, « observent » avec grand intérêt le fonctionnement de points d’accès paramétrés par défaut – on est confronté aux faibles connaissances concernant la sécurité de la part des propriétaires des points d’accès WiFi en question.

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com