OpenWifiPass, l'accès Wifi facile et des bâtons dans la pomme

Posté par  . Édité par Benoît Sibaud. Modéré par Benoît Sibaud. Licence CC By‑SA.
Étiquettes :
18
30
jan.
2021
Sécurité

Dans un journal au menu d’à côté, on parlait des imprimantes sans pilotes (driverless) qui se répandent doucement. Il y a aussi les scanners sans pilotes qui doivent suivre. Mais chez la marque à la pomme, ils sont encore plus science-fiction : ils ont l’accès WiFi « codeless ». Si, si, sur iOS pas besoin d’ânonner le code super-cali-solidistique qui verrouille l’accès WiFi : en un clic de communication Bluetooth, vous donnez l’accès aux ami(e)s. Agréable, pratique et reposant.

Eh bien malgré les verrous d’Apple, Jannik Lorenz a eu la bonne idée de consacrer sa thèse préparée au SEEMO Lab (Secure Mobile Networking Lab) à faire de l’ingénierie inverse sur le protocole. Résultat, ça marche partout maintenant ! L’outil s'appelle OpenWifiPass, il est codé en Python et tourne sous Linux (GPLv3). Attention c’est une preuve de concept, ne pas l’utiliser en vrai (ou alors par goût du risque).

     
  logo du projet OWL  

Mais d’où ça sort ? Là-bas à Darmstadt les chercheurs de l'Open Wireless Link ont eu l’idée de déconstruire l’Apple Wireless Direct Link (AWDL) pour faire bénéficier toutes les plateformes de cet écosystème bien imaginé. OpenWifiPass est l'une des réussites.

Aller plus loin

  • # De l'art de la simplicité

    Posté par  . Évalué à 6.

    Et donc sérieusement, il y en a qui se sont dit qu'il est difficile de donner accès à son wifi, et ont imaginé un procédé basé sur la simplicité du bluetooth?

    De plus, ce que je retiens du résumé de la thèse, c'est surtout que le reverse-engeneering a permis de détecter quelques failles menant à une attaque "denial of service" et une attaque "man in the middle"…

    Franchement, un bout de papier sur lequel est écrit le mot de passe WIFI et qu'on passe aux invités, c'est compliqué? Ça me semble en tout cas bien plus sécurisé.

    • [^] # Re: De l'art de la simplicité

      Posté par  (site Web personnel) . Évalué à 2.

      La plupart des gens n'en ont rien à faire de la sécurité ou de leur vie privée. Ils veulent seulement que "ça marche".

      Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

    • [^] # Re: De l'art de la simplicité

      Posté par  . Évalué à 9.

      C'est marrant, les geek tombent toujours dans le même type de commentaire à ne pas comprendre que la technique doit simplifier l'usage. D'autre part « il y en a » c'est Apple et son système est très utilisé, tout simplement parce qu'il est pratique. C'est le but des appareils et de la technique, non ? être pratique. Sinon j'espère que tu continues de tenir un agenda papier et de faire des noeuds à ton mouchoir pour ne rien oublier.

      Des raisons pour simplifier on peut en trouver plein, par exemple en 2 minutes :

      • Mes mots de passe Wifi sont très très longs et pénibles à taper.
      • Ma mère (et d'autres) ne peuvent pas les lire sur un papier (myopie, presbitie, dislexie)
      • Ma mère (et d'autres) ne sait pas trouver certains caractères
      • Le papier s'égare souvent, la box est placée en hauteur pour pouvoir diffuser le Wifi partout — elle est dont inaccessible
      • etc.

      Sur HackerNews, il y a des d'utilisateurs d'Apple qui expliquent à quel point c'est confortable.

      • [^] # Re: De l'art de la simplicité

        Posté par  . Évalué à 10.

        Tiens, on a eu une lecture totalement opposée de la "geekitude". Personnellement, j'avais surtout vu un comportement très geek "attends, pour te connecter à mon wifi c'est simple, il faut juste que tu te connecte par bluetooth. T'as bien un IPhone?" vs le comportement normal et non-geek du papier coincé sous la télé avec le code wifi…

      • [^] # Re: De l'art de la simplicité

        Posté par  (site Web personnel) . Évalué à 8.

        Mes mots de passe Wifi sont très très longs et pénibles à taper.

        Uniquement parce qu'ils sont imaginés par des abrutis.

        Pour rappel, un mot de passe wifi, ou plus précisément une PSK, c'est une clef de 256 bits, qui peut s'écrire en hexadécimal. C'est fort peu pratique, donc on peut aussi la définir par une chaîne ASCII, dont la vraie clef sera dérivée par une fonction faite pour.

        Regardez maintenant les réglages par défaut d'à peu près tous les modem-routeurs : la clef pré-enregistrée est donnée sous la forme d'une longue chaîne de caractères ASCII, qui se trouve être composées des caractères utilisés pour écrire des nombres en hexadécimal.

        Oui, c'est bien ça, c'est une chaîne ASCII, dont l'entropie a été diminuée en se limitant aux caractères [0-9A-F], qui forme dont un nombre hexadécimal qui n'est pas utilisé tel quel, mais en tant que chaîne de caractères. Oui, c'est profondément débile.

        • [^] # Re: De l'art de la simplicité

          Posté par  . Évalué à 3.

          Ça c'est Orange, ce n'est pas la pratique de Free qui utilise le jeu ASCII depuis plusieurs années. En ce moment ils sont sur les mots latins inventés avec des chiffres et quelques signes. Facile à retenir, mais galère à rentrer sur un smartphone pour plein de gens autour de moi.

          Accessoirement, le truc d'Apple permet d'avoir un mot de passe très costaud puisqu'on ne le mémorise pas.

    • [^] # Re: De l'art de la simplicité

      Posté par  (site Web personnel) . Évalué à 7.

      On peut aussi utiliser la spécification suivant : https://github.com/zxing/zxing/wiki/Barcode-Contents#wi-fi-network-config-android-ios-11 qui permet de créer un QR Code.
      On peut même utiliser un site pour le faire comme par exemple https://qifi.org/

      • [^] # Re: De l'art de la simplicité

        Posté par  (site Web personnel) . Évalué à 9.

        Moi j'avais pensé à un truc assez simple où on aurait un bouton sur la box et paf, le reste se fait tout seul. On pourrait appeler ça Wifi Protected Setup, ça serait pas mal !

        (Ok, ça nécessite un accès physique à la box, c'est pas aussi simple que le bluetooth…)

        • [^] # Re: De l'art de la simplicité

          Posté par  . Évalué à 2.

          Le WPS ne marche pas si bien et pose d'autre problèmes. C'est discuté dans le fil sur Hacker news que j'ai mentionné plus haut.

    • [^] # Re: De l'art de la simplicité

      Posté par  . Évalué à 5. Dernière modification le 01/02/21 à 01:32.

      Ce XKCD n'est vraiment plus d'actualité : ça fait de nombreuses années que le bluetooth, "ça marche".

      Et que le wifi, c'est toujours aussi compliqué de se connecter sur un nouveau réseau : personne ne sait comment fonctionne le WPS (rien n'indique comment l'utiliser sur les appareils courants) et les mots de passes par défaut des boxs sont toujours aussi horribles à taper et très délicats à changer pour le commun des mortels.

      J'aimerai bien que le wifi devienne aussi simple à utiliser que le bluetooth. Même moi ça me fait bien chier en 2020 de devoir écrire q5Qb4BvlI5f2EF4 sur mon téléphone à partir de la photo prise derrière le meuble télé qui cache la box quand j'arrive dans un airbnb.

      • [^] # Re: De l'art de la simplicité

        Posté par  (site Web personnel) . Évalué à 4.

        J'aimerai bien que le wifi devienne aussi simple à utiliser que le bluetooth. Même moi ça me fait bien chier en 2020 de devoir écrire q5Qb4BvlI5f2EF4 sur mon téléphone à partir de la photo prise derrière le meuble télé qui cache la box quand j'arrive dans un airbnb.

        Ah mais non, ça encore ce ne serait pas trop mal. Non, les clefs pré-définies par les opérateurs, ce sont des chaînes de caractères artificiellement limitées aux caractères [0-9A-F], donc plus longues pour avoir la même entropie.

    • [^] # Re: De l'art de la simplicité

      Posté par  . Évalué à 2.

      Sauf erreur de ma part, vous faites erreur sur l'usage.

      Le cas d'usage n'est pas de "partager" la clé d'une connexion Wi-Fi mais de pouvoir se connecter à un appareil particulier en Wi-Fi pour, par exemple, le configurer. Sinon ce cas est déjà couvert par le WPS.

      Cela est surtout utile pour les appareils domotique par exemple, qui, pour des raisons évidentes, ne partagent pas le SSID et la clé sur laquelle ils peuvent émettre. Dans ce cas, la sécurité est physique puisque l'activation du mode "association wifi via bluetooth" se fait souvent en appuyant sur un bouton.

      L'avantage de cette méthode est qu'elle permet de configurer l'appareil via Wi-Fi sans avoir à demander à l'utilisateur de se connecter au SSID de l'appareil (et donc de perdre l'accès à internet sur son téléphone tant qu'il est connecté au réseau Wi-Fi temporaire de son thermostat.

      Le principe est aussi utilisé par "AirDrop" qui permet de partager des fichiers "lourds" entre deux appareils Apple en connexion Wi-Fi directe.

      En bref, c'est un mécanisme qui est utilisé uniquement pour des connexions haut débit temporaires, d'appareil à appareil sans passer par le LAN, et qui n'a rien voir avec "partager la clé wi-fi de la box".

      D'où l'introduction de la dépêche à propos des appareils "driverless".

  • # En quoi c'est simple ?

    Posté par  (site Web personnel) . Évalué à 1. Dernière modification le 12/03/21 à 11:15.

    La plupart des routeurs n'ont-ils pas une fonction : "J'appuie sur le bouton le prochain qui se connecte à le wifi ?"

    • [^] # Re: En quoi c'est simple ?

      Posté par  (site Web personnel) . Évalué à 2.

      Sauf que cela ne fonctionne pas avec les appareils Apple, que ce soit un ordinateur ou un smartphone.

      Par contre, certaines boxes offrent la possibilité de se connecter au Wifi à l'aide d'un QR Code, et cela fonctionne bien avec les iPhone (et les iPad), sans avoir à installer d'application dédiée. Par contre, c'est plus délicat à mettre en œuvre avec un ordinateur fixe ou portable…

      Toolkit Atlas : un moyen simple et rapide pour ajouter une interface graphique à vos applications… (voir 'site Web personnel").

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.