(modifié le 20 octobre 2013 à 16:30)

Cracker une clé WEP n'étant qu'un jeu d'enfant, l'expert allemand en sécurité informatique Thomas Roth s'est attaqué au WPA-PSK. Il affirme pouvoir tester plus de 400 000 clés par seconde grâce à la puissance décuplée du cloud.

Roth a mis au point un logiciel capable d'utiliser l'infrastructure Amazon EC2 ou AWS. De cette façon il a pu cracker* une clé WPA-PSK en une vingtaine de minutes et pense pouvoir diviser ce temps par deux prochainement (on ne connait pas la complexité de la clé). Le service offert par Amazon ne coûtant que 28 cents à la minute on comprend tout le potentiel du système et la dangerosité qui va avec.

Nous pouvons maintenant affirmer qu'une protection uniquement basée sur une clé WPA-PSK est une passoire. Chez vous, je vous conseille donc de passer en WPA-AES ou WPA2-AES qui restent aujourd'hui encore inviolables autrement que par dictionnaire (choisissez une clé longue et complexe) et vous évitera que l'Hadopi vous chope à tord si un pirate squatte votre connexion... En entreprise de nombreux systèmes d'authentifications fiables existent également (801.1x, EAP, etc.).

Roth fournira une démonstration lors de la prochaine conférence Black Hat (du 16 au 19 janvier à Washington) pour présenter son logicie et publier le code source. Je vous conseille également de suivre ses recherches dans le crack de fonction de hachage SHA1 en utilisant la puissant GPU (cuda).

Même l'Hadopi vous le dit : sé-cu-ri-sez ! :)

Note : Amazon ne tolère pas une telle utilisation de leurs plateformes s'il mène à une intrusion effective dans un réseau (contraire aux conditions d'utilisation). A des fins de tests c'est en revanche "toléré".

* le terme "cracker" est un abus de langage car l’algorithme n'a pas été vaincu, c'est simplement une recherche de clé avec comparaison (brutforce).

Via

Auteur : Mr Xhark

Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter