Sur un hotspot Wi-Fi public non chiffré, que fait exactement un renifleur de paquet pour récupérer le paquet d'un autre ordinateur?

La lecture des articles sur la sécurité des informations donne des résultats mitigés. Certaines d'entre elles indiquent que, pour pouvoir faire quelque chose de similaire, vous devez également configurer une sorte de pot de miel avec un point d'accès en cours d'exécution et un serveur Web local pour intercepter le trafic. Ensuite, d'autres articles semblent indiquer que vous n'en avez pas besoin et que vous pouvez simplement exécuter Wireshark pour détecter tous les paquets envoyés sur le réseau. Comment pourrait-il en être ainsi et que fait exactement un renifleur de paquets pour obtenir ces paquets? Est-ce que cela implique d'intercepter les signaux sans fil transmis via le protocole sans fil et la fréquence via la carte réseau de l'ordinateur exécutant un programme comme Wireshark?

S'il est configuré correctement, un renifleur recevra tous les paquets qu'il peut décoder et les afficher à l'écran. Cette vulnérabilité est inhérente à tout signal Wi-Fi prenant en charge toute forme d’ajustement simplifié (par exemple, possibilité de capturer des communications non cryptées, faiblement cryptées, etc.). C’est très probablement la raison pour laquelle de nombreux sites ont ajouté le protocole HTTPS forcé, ce qui oblige un utilisateur non autorisé à déchiffrer le message contenu dans chaque paquet.

En ce qui concerne le pot de miel que vous mentionnez, il peut s'agir d'une attaque potentielle (et élaborée) de type «homme au milieu» selon laquelle un utilisateur pense recevoir les bons certificats SSL et que sa session est «sécurisée», mais la machine intermédiaire est capable de lire toutes les transmissions en texte clair.

Les signaux sans fil seront reçus et lus par le logiciel de réseau de niveau inférieur de tous les ordinateurs équipés du WiFi à proximité. Si l’ordinateur cible n’est pas l’ordinateur actuel, les paquets sont ignorés - à moins que l’interface ait été placée dans mode promiscuous . Un renifleur de paquet tel que Wireshark peut alors capturer et afficher les données du paquet.

Ceci est similaire à d'autres supports réseau de diffusion tels que l'ancien câble Ethernet coaxial 10BASE5 ou 10BASE2 et les réseaux utilisant l'ancien 10BASE-T (ou même 100BASE-TX). hubs (plutôt que commutateurs - qui séparent le trafic en apprenant les adresses MAC par port).

Si je comprends bien, si le concentrateur WiFi utilise WEP, WPA, etc., les données sont cryptées et les autres ordinateurs ne peuvent donc pas décoder les données par paquets car ils ne disposent pas des clés de session négociées. autre ordinateur et le hub Wifi. Mise à jour: Je pense que je me trompe sur ce dernier point, comme l'a suggéré Christian Mann: WEP, WPA et WPA2 n'utilisent pas de clés de session et ne protègent donc pas vos données des autres personnes utilisant légitimement le même hub WiFi. La clé partagée utilisée pour authentifier la "connexion" au hub WiFi est (je pense) également utilisée pour chiffrer le trafic. En général, tout le monde utilise la même clé et peut donc, en principe, décrypter le trafic de tous les autres.

Le cryptage WEP est relativement facile à casser en très peu de temps et n'offre donc aucune protection contre les récepteurs non autorisés du signal WiFi.

Il semble que tous les matériels WiFi (ou plus exactement leurs pilotes associés) ne prennent pas en charge le "mode promiscuous" (voir www.tamos.com ) - mais je crois que beaucoup le font.

Certains matériels WiFi supportent également le WiFi Mode moniteur cela peut être utilisé pour capturer le trafic d'autres personnes, même à partir d'un ordinateur qui n'est pas "connecté" au hub WiFi.

_{(Terminologie: mon "hub WiFi" = point d'accès sans fil (WAP) - souvent intégré à un routeur DSL)}