Wifiphisher evil twin via social engineering

Dans le premier article sur les Rogue AP, je vous ai dit que l’on pouvait nommer notre Rogue AP de la manière que l’on voulait. On peut donc l’appeler « FreeWifi_secure », « Wifi_Orange » etc… Mais qu’est ce qui nous empêche de l’appeler « Livebox_0e41 » ? Vous voyez où je veux en venir ?

Ce qui serait intéressant ce serait de créer un faux point d’accès Wi-Fi qui aurait le nom d’un point d’accès authentique. Autrement dit, on falsifierait un point d’accès. Si ensuite on met hors service le points d’accès authentique et qu’on met en place notre Rogue AP alors la victime ne verra pas la différence et donc elle croira s’être connectée sur son propre réseau.

Cette attaque s’appelle « l’evil twin » et nous allons tenter de l’utiliser sur mon propre point d’accès afin de récupérer la clé WPA2 du réseau. Pour cela nous allons utiliser un outil : wifiphisher !

Pour commencer il faut cloner l’archive :

git clone https://github.com/wifiphisher/wifiphisher.git 

Ensuite rendez vous dans le dossier wifiphisher puis lancez la commande

wifiphisher

Le script va cherche tous les points d’accès disponibles. A vous de choisir celui que vous voulez falsifier. Pour ma part je vais falsifier « Numericable-52D1 »

wf.png

Ensuite vous allez avoir quatre options. Moi j’utilise la première puisque c’est la plus crédible selon moi. A vous de voir pour les autres 

wf2.png

A partir de là, le script va envoyer des paquets dits de « deauthentication » au point d’accès ciblé. L’ensemble des matériels connectés au point d’accès vont donc être déconnectés. Puis le Rogue AP va être créé :

Il y a donc deux points d’accès qui ont le même nom. Cependant l’officiel est injoignable. Donc les plus novices en informatique essayeront de se connecter sur le second qui est le notre. S’ils le font et qu’ils ouvrent un navigateur alors ils tomberont sur ce message :

Puis s’ils entrent leur mot de passe wifi, nous recevrons ceci :

Et voila, nous avons récupéré le mot de passe sans avoir eu besoin de brute force quoique ce soit et ce très rapidement. L’ingénierie sociale dans toute sa splendeur  !