Cet article fait partie de How Hacking Works, Guide de la carte mère pour démystifier la sécurité de l’information.

Dans les médias populaires, les pirates informatiques sont souvent présentés comme une cabale d’élite d’amateurs de masques de ski et d’experts en informatique qui peuvent se frayer un chemin au clavier dans n’importe quel appareil numérique. Mais que se passe-t-il si je vous disais que vous pouvez également pwn presque tous les appareils connectés à Internet autour de vous, même si vous ne pouvez pas dire un SSL à partir d’un SSID?

Oui, mon ami, l’appareil que vous recherchez est un ananas Wi-Fi, qui peut transformer n’importe qui de hack en hacker pour le prix bas et bas de 99 $. Comme il est si bon marché et facile à utiliser, il est important de comprendre comment fonctionne l’ananas afin de vous protéger contre ses attaques.

L’ananas est un petit appareil astucieux sorti pour la première fois en 2008 par Hak5, une société qui développe des outils pour les testeurs de pénétration, ou « pentesters. »Les pentesters sont généralement embauchés par les organisations pour attaquer leurs propres réseaux afin d’exposer les vulnérabilités avant qu’elles ne soient découvertes par certains mauvais acteurs. Le Pineapple permet aux pentesters d’exécuter facilement des attaques sophistiquées sur des réseaux Wi-Fi publics pour voir comment les attaques fonctionnent et comment protéger le réseau contre ces attaques.

Les ananas ne sont pas très différents des points d’accès Wi-Fi normaux que vous utilisez pour obtenir Internet à la maison ou au bureau, juste plus puissants. Ils utilisent plusieurs radios plutôt qu’une seule radio trouvée dans la plupart des routeurs. Cela signifie qu’un ananas est capable de s’interfacer avec des centaines d’appareils à la fois, plutôt que quelques dizaines. De plus, l’interface Web de l’Ananas est optimisée pour exécuter des attaques réseau compliquées.

En savoir plus: Le Glossaire électronique de la carte mère des Termes Cyber et du Jargon du piratage

« Lorsque j’ai inventé le Wi-Fi Pineapple, j’ai vu que le Wi-Fi avait des défauts inhérents qui le rendaient vulnérable aux attaques par usurpation d’identité”, m’a déclaré Darren Kitchen, le fondateur de Hak5, dans un e-mail. Une attaque d’usurpation d’identité est lorsqu’un pirate se fait passer pour un service ou un appareil afin d’accéder aux données d’une victime.

« Beaucoup de types infâmes avaient déjà profité de ces faiblesses, mais la majorité des gens n’étaient pas conscients du problème”, a ajouté Kitchen. « Je me suis dit que si les gens de la sécurité de l’information avaient accès à un appareil qui pourrait facilement exploiter ces failles, cela sensibiliserait et arrangerait les choses. »

Bien que l’Ananas ait toujours eu un culte dans les cercles de hackers, il a récemment pris de l’importance après avoir été présenté comme un point d’intrigue majeur dans les spectacles Silicon Valley et Mr. Robot.

Dans ces spectacles, l’appareil a été utilisé pour usurper un site Web et pour exécuter une attaque d’homme du milieu pour pirater le FBI, respectivement. Selon Kitchen, qui a servi de conseiller technique sur l’épisode de la Silicon Valley, la représentation fictive de l’Ananas dans ces émissions n’est pas si éloignée de la vérité.

L’ananas est un outil inestimable pour les pentesters, mais sa popularité est également due au fait qu’il peut être utilisé à des fins plus néfastes. Les pirates informatiques peuvent facilement utiliser l’appareil pour collecter des informations personnelles sensibles auprès d’utilisateurs sans méfiance sur des réseaux Wi-Fi publics.

Il est important de garder à l’esprit que ce n’est pas parce que vous pouvez pwn toutes les choses avec un Ananas que c’est légal ou que vous devriez le faire. Posséder un ananas est légal, mais retirer de l’argent du compte bancaire de quelqu’un en volant son mot de passe non crypté ne l’est pas. L’ananas facilite simplement la saisie des mots de passe non cryptés envoyés via Wi-Fi. Je ne suis pas un avocat, mais en général, si vous n’avez pas la permission explicite d’utiliser l’Ananas sur un réseau que vous possédez ainsi que de quiconque pourrait raisonnablement se connecter à ce réseau, vous marchez en territoire dangereux.

Encore une fois: Exécuter les exploits d’un Ananas sur un réseau que vous ne possédez pas si vous n’êtes pas un pentester travaillant dans un cadre professionnel peut rapidement vous mettre en territoire illégal. Même si vous ne vous faites pas prendre, vous êtes toujours un connard pour le faire, alors just ne le faites pas.

En savoir plus: Le Guide de la carte mère pour ne pas se faire pirater

Ce guide est destiné à être un aperçu informatif du monde du pentesting réseau, ainsi qu’un rappel de l’importance de la sécurité des informations personnelles. Après vous avoir montré quelques-unes des façons dont un ananas peut être utilisé pour vous piéger, je vous guiderai également à travers quelques étapes simples que vous pouvez suivre pour vous assurer que vous n’êtes jamais au mauvais bout d’une attaque malveillante d’ananas.

Hak5 fait quelques versions différentes de l’Ananas, mais lors de la rédaction de cet article, j’ai utilisé son modèle le moins cher, que j’ai acheté lors de la conférence DEF CON hacking pour les besoins de cet article: l’Ananas Nano. Je l’ai configuré sur un ordinateur Windows, bien qu’il soit également compatible avec les systèmes iOS et Linux.

La configuration initiale est un jeu d’enfant. Tout ce que vous avez à faire est de le brancher sur le port USB de votre ordinateur, accédez à l’adresse IP de l’Ananas et il s’occupera du reste. Après avoir mis à jour vos informations de connexion pour the Pineapple, vous êtes prêt à essayer quelques exploits.

EXPLOIT #1: WALL OF SHEEP

Chaque année lors de la DEF CON, l’une des plus grandes conférences de piratage au monde, le Packet Hacking Village accueille le Wall of Sheep. Il s’agit essentiellement d’une liste en cours d’exécution d’appareils qui se sont connectés à un réseau non sécurisé à DEF CON.La liste est généralement affichée sur un grand écran de projecteur au village de piratage de paquets, où tout le monde peut voir non seulement l’identifiant de l’appareil, mais aussi les sites Web auxquels il essayait d’accéder et toutes les informations d’identification pertinentes.

C’est une façon légère de faire honte aux gens pour une meilleure sécurité de l’information, et vous pouvez facilement créer votre propre Mur de moutons à l’aide d’un ananas.

En savoir plus: 72 Heures de Pwnage: Un Paranoid N00b Va à DEF CON

Tous les exploits de l’Ananas sont disponibles gratuitement sous forme de modules téléchargeables sur le tableau de bord de l’Ananas et ne prennent généralement qu’un seul clic pour télécharger et installer sur l’appareil. Une fois que le module Wall of Sheep (appelé « DWall ») est installé sur un Ananas, tout appareil qui s’y connecte diffusera essentiellement son trafic de navigation au propriétaire de l’Ananas.

L’exception à cela, bien sûr, est si la victime potentielle utilise un Réseau Privé virtuel (VPN) pour crypter son trafic Web ou ne visite que des pages sécurisées par le protocole HTTPS (Secure Hypertext Transfer Protocol). Ce protocole crypte les données acheminées entre le serveur du site Web et votre appareil et empêche efficacement les écoutes de voir les sites Web que vous visitez. HTTPS aide également à protéger vos habitudes Web de votre fournisseur de services Internet, qui ne peut voir que les habitudes de domaine de premier niveau de ses utilisateurs (par exemple, que vous avez visité la carte mère, mais pas que vous avez cliqué sur cet article).

Bien que plus de la moitié du Web soit passé à HTTPS par rapport à son prédécesseur non sécurisé, HTTP, un audit Google de 2017 a révélé que près de 80% des 100 meilleurs sites Web ne déploient pas HTTPS par défaut. Cela signifie que quiconque se connecte par inadvertance à un Ananas puis navigue vers une version HTTP du site expose essentiellement toute son activité sur ce site, des pages visitées aux termes de recherche, à la personne brandissant un Ananas.

De nombreux sites Web ont à la fois une version HTTP et une version HTTPS, ce qui, comme nous le verrons dans l’exploit, est une vulnérabilité de sécurité qui peut être exploitée par un Ananas.

EXPLOIT #2: Les attaques de l’homme-AU-MILIEU + PORTAIL DU MAL

Les attaques de l’homme-au-milieu (MITM) d’ananas sont vraiment la principale raison pour laquelle les pentesters obtiennent cet appareil.

Les attaques MITM sont un moyen d’espionner un utilisateur en insérant un Ananas entre l’appareil de l’utilisateur et les points d’accès Wi-Fi légitimes (en termes de routage des données via le réseau, pas nécessairement littéralement entre eux dans meatspace). L’ananas prétend alors être le point d’accès Wi-Fi légitime afin qu’il puisse fouiner toutes les informations lorsqu’il transmet les données de l’appareil au point d’accès.

Une autre façon de penser aux attaques MITM est qu’elles sont un peu comme si quelqu’un déposait une lettre dans sa boîte aux lettres et qu’un étranger ouvrait sa boîte aux lettres, lisait la lettre et la remettait ensuite dans la boîte aux lettres pour être envoyée.

En savoir plus: Désactiver le Wi-Fi et le Bluetooth dans iOS 11 Ne désactive pas Réellement le Wi-Fi ou le Bluetooth

Alors, comment un Ananas fait-il croire à votre appareil qu’il s’agit d’un point d’accès légitime? Il existe une fonctionnalité native sur l’ananas qui recherche les identifiants d’ensembles de services (SSID) — les noms des réseaux Wi-Fi — qui sont diffusés à partir d’appareils situés à proximité.

Chaque fois que vous vous connectez à un réseau Wi-Fi sur votre téléphone ou votre ordinateur, votre appareil enregistre le SSID de ce réseau Wi-Fi au cas où vous auriez besoin de vous connecter à ce réseau Wi-Fi à l’avenir. Mais cette commodité a un coût important.

Disons que vous vous êtes connecté au Wi-Fi à votre café local préféré, et que son réseau s’appelle « Human_Bean_wifi »” Après avoir quitté le café, votre téléphone ou votre ordinateur portable commencera à diffuser un signal demandant essentiellement si les points d’accès Wi-Fi autour de l’appareil sont « Human_Bean_wifi. »Il le fait pour tout réseau auquel vous vous êtes connecté dans le passé.

« Une vérification rapide de la réalité suffit généralement pour voir si vous avez été dupé par un ananas Wi-Fi. »

Les ananas peuvent tirer parti de cette fonctionnalité en recherchant tous les SSID diffusés par les périphériques à proximité. Il rediffuse ensuite ces SSID afin qu’il puisse faire croire aux périphériques qu’il s’agit d’un point d’accès auquel il a été connecté dans le passé. Donc, pour utiliser l’exemple ci-dessus, l’ananas verra que votre téléphone demande: « Est-ce que ce réseau est ‘Human_Bean_wifi’? »et puis commencez à diffuser son propre signal qui dit « Oui, je suis ‘Human_Bean_wifi’, connectez-vous à moi. »

En d’autres termes, ce serait essentiellement comme se promener avec un ensemble de clés de votre maison et demander à chaque étranger que vous rencontrez s’il est votre colocataire. Dans la plupart des cas, ces étrangers diront « non”, mais vous courez également le risque de rencontrer un étranger mal intentionné qui vous mentira et vous dira « oui, bien sûr, je suis votre colocataire. Laissez-moi entrer,  » et ensuite voler toutes vos affaires.

Lire la suite: Le Guide de la carte mère pour les VPN

Mais obtenir des périphériques pour se connecter à un Pineapple n’est que la moitié de l’exécution d’un exploit MITM. Un attaquant doit également être capable de lire les données acheminées depuis l’appareil via l’ananas. Il y a plusieurs façons de le faire.

Un Ananas peut être utilisé pour créer un « portail Maléfique », qui crée essentiellement de fausses versions de sites Web pour capturer des noms d’utilisateur et des mots de passe, des informations de carte de crédit ou d’autres données sensibles.

Ces fonctions fonctionnent en créant un serveur local sur l’ordinateur de l’attaquant pour héberger une page Web qui ressemble à une page de connexion régulière pour un service bien trafiqué comme Gmail ou Facebook. Ces pages peuvent facilement être dupliquées à l’aide de services en ligne gratuits.

Ensuite, l’attaquant configure son Ananas de sorte que lorsque des appareils qui y sont connectés essaient de naviguer sur un site Web comme Twitter ou Facebook, ils seront redirigés vers la fausse page Web servie par l’ordinateur de l’attaquant. Si la victime entre ses informations sur cette page, son nom d’utilisateur et son mot de passe seront révélés à l’attaquant sans que l’utilisateur ne sache jamais qu’il a été pwned.

Une autre façon de collecter des informations sur les habitudes de navigation de quelqu’un avec une attaque MITM consiste à utiliser des modules construits pour l’ananas qui bloquent le cryptage HTTPS forcé et lisent les données qui auraient autrement été sécurisées.

Par exemple, considérons un site Web comme Motherboard, qui est sécurisé avec HTTPS. Si vous tapez simplement « motherboard.vice.com « dans votre barre de recherche d’URL et appuyez sur entrée, vous soumettrez une requête HTTP aux serveurs de Vice. Les serveurs de Vice rempliront ensuite cette demande et répondront à votre appareil en le dirigeant vers une version sécurisée HTTPS du site. (C’est la même chose pour de nombreux sites Web majeurs, tels que Twitter).

Forcer les utilisateurs à une version HTTPS est un excellent moyen de renforcer la sécurité d’un site Web, mais c’est la requête HTTP de l’utilisateur au début qui peut être exploitée avec un Ananas. Un module appelé SSLSplit est capable de surveiller les requêtes HTTP provenant de l’appareil d’un utilisateur lorsqu’il est connecté à l’ananas. Il acheminera ensuite cette demande vers le serveur approprié, mais lorsque le serveur répondra avec le lien HTTPS sécurisé, l’ananas « dépouillera” la couche sécurisée et remettra une version HTTP du site à l’utilisateur.

À ce stade, l’utilisateur naviguera effectivement sur une version non sécurisée du site, qui apparaîtra presque exactement de la même manière. La seule différence sera qu’une petite icône de cadenas aura disparu du coin supérieur gauche de l’écran.

Cette attaque démontre clairement l’importance des protocoles de communication cryptés tels que HTTPS. Sans eux, toutes les données acheminées entre l’appareil et le point d’accès peuvent être facilement lues par n’importe qui avec un ananas.

COMMENT VOUS PROTÉGER DES UTILISATEURS MALVEILLANTS D’ANANAS

Les hacks discutés ci-dessus ne sont que la pointe de l’iceberg. Heureusement, il y a un certain nombre de mesures simples que vous pouvez prendre pour vous protéger de vous faire piquer par un trou du cul avec un ananas.

MÉFIEZ-VOUS DES RÉSEAUX WI-FI PUBLICS

La chose la plus simple à faire est de ne vous connecter qu’aux réseaux Wi-Fi que vous connaissez et en qui vous avez confiance. Votre réseau domestique, par exemple, est presque certainement à l’abri d’une attaque d’ananas. En effet, un Ananas doit également avoir accès au réseau sur lequel il essaie de surveiller le trafic, donc à moins que l’attaquant n’ait accès à vos informations d’identification Wi-Fi à domicile, il ne pourra pas vous pincer avec un Ananas.

Il en va de même pour le Wi-Fi de votre bureau — à moins, bien sûr, que votre bureau ait engagé un pentester pour auditer son réseau. Le vrai danger d’une attaque d’ananas se trouve sur les réseaux publics — des endroits comme votre café local ou l’aéroport sont tous des endroits de choix pour une attaque. La plupart des gens ne s’arrêtent pas pour vérifier si le point d’accès « free_airport_wifi” est légitime et se connectent sans réfléchir.

En matière d’infosec réseau, la vigilance est essentielle. L’option la plus sûre est de ne jamais utiliser de réseaux Wi-Fi publics. C’est une douleur majeure dans le cul, cependant, et fera presque certainement augmenter vos factures de téléphone portable pour l’utilisation des données. (Pour ce que ça vaut, votre téléphone portable n’est pas non plus à l’abri des capteurs IMSI, mais je m’éloigne).

RÉSEAUX PRIVÉS VIRTUELS

Si vous devez utiliser un Wi-Fi public, votre meilleur pari est d’obtenir un VPN. Les VPN sont un moyen sécurisé de surfer sur le net en se connectant d’abord à un serveur VPN avant de s’aventurer sur le World Wide Web. Le serveur VPN crypte vos données avant de les acheminer vers leur destination, créant essentiellement une coque de protection pour vos données qui les rend inintelligibles aux regards indiscrets. Ainsi, même si un attaquant peut voir que votre appareil s’est connecté à son Ananas, si vous utilisez un VPN, il ne pourra pas voir les données qu’il achemine.

 » L’utilisation d’un VPN reste le meilleur conseil ”, a déclaré Kitchen.  » Lorsque vous utilisez un VPN, toute personne qui scrute votre trafic ne verra qu’un gâchis crypté. Cela vaut pour tous les écoutes – qu’il s’agisse d’un ananas Wi-Fi, de votre FAI, d’un employeur ou même de notre merveilleux gouvernement. »

Choisir le bon VPN peut être un défi très difficile. Voici un guide simple avec quelques suggestions.

HTTPS UNIQUEMENT

Une autre bonne règle de base est de ne visiter que les sites Web sécurisés avec HTTPS (comme la carte mère!) De nos jours, la plupart des sites Web que vous êtes susceptible de visiter au jour le jour et qui contiennent des informations sensibles sur eux sont passés à cette norme de sécurité de HTTP, grâce à un effort concerté de l’industrie pour pousser HTTPS, y compris les algorithmes de Google privilégiant les sites sécurisés par rapport à ceux qui ne sont pas cryptés. Néanmoins, les modules Pineapple sont capables de forcer un périphérique connecté sur une version non sécurisée (HTTP) d’un site si le visiteur n’a pas explicitement tapé https:// avant le nom de domaine.

En savoir plus: Le passage de Wikipedia à HTTPS a combattu avec succès la censure gouvernementale

« Malheureusement, trop de sites Web n’utilisent pas HTTPS, et beaucoup d’entre eux sont encore susceptibles de subir des attaques de rétrogradation”, a déclaré Kitchen moi. « Si vous vous aventurez hors des sentiers battus, je vous déconseille de l’utiliser comme seule ligne de défense. Il est toujours important de rester vigilant et de vérifier le HTTPS, mais emballez également un VPN.”

En bref, assurez-vous toujours de vérifier les URL des sites Web que vous visitez pour vous assurer qu’ils utilisent HTTPS. Les navigateurs comme Chrome, Firefox et Opera facilitent la vérification de la sécurité des sites Web avec une petite icône de cadenas indiquant « Sécurisé” sur le côté gauche de la barre d’adresse et avertissant les utilisateurs avant de visiter un site non sécurisé.

TOUJOURS OUBLIER

Enfin, il est important que chaque fois que vous avez terminé de vous connecter à un réseau Wi-Fi public, vous configurez votre téléphone ou votre ordinateur pour « oublier » ce réseau. De cette façon, votre appareil ne diffusera pas constamment les SSID des réseaux auxquels il s’est connecté dans le passé, ce qui peut être usurpé par un attaquant avec un Ananas. Malheureusement, il n’y a pas de moyen facile de le faire sur un Android ou un iPhone, et chaque réseau doit être oublié manuellement dans l’onglet « Gérer les réseaux” des paramètres du téléphone.

Une autre solution simple consiste à désactiver votre fonctionnalité Wi-Fi lorsque vous ne l’utilisez pas — bien que ce ne soit plus aussi facile à faire sur certains appareils — et à ne pas autoriser votre appareil à se connecter pour se connecter automatiquement aux réseaux Wi-Fi ouverts.

En savoir plus: Les signaux WiFi Peuvent identifier les individus en fonction de la forme du corps

Bien qu’il soit facile de devenir paranoïaque et de se demander s’il y a un Ananas qui vous attend chaque fois que vous obtenez une connexion Wi-Fi, la plupart des exploits d’Ananas peuvent être facilement évités en restant simplement vigilants sur vos paramètres réseau et votre expérience Internet. Malgré toutes leurs prouesses dans la manipulation de l’électronique, les pirates sont toujours très dépendants de l’erreur humaine pour leur métier.

« Le Pineapple Wi-Fi est vraiment bon pour imiter les réseaux Wi-Fi auxquels vous vous êtes connecté dans le passé”, a déclaré Kitchen. « Si vous êtes dans un parc et que votre appareil indique qu’il est connecté au Wi-Fi d’un avion, quelque chose ne va pas. Une vérification rapide de la réalité est généralement tout ce qu’il faut pour voir si vous avez été dupé par un ananas Wi-Fi.”