Les risques avec l’authentification 802.1X

La plupart des méthodes d’authentification offrent une phase d’authentification et une phase de chiffrement et d’intégrité. Etant donné que le protocole 802.1X est purement un protocole d’authentification, cette deuxième phase reste inutilisable. Autrement dit, le protocole 802.1X par sa conception n’offre aucun moyen pour l’intégrité des données. En plus, il ne résout pas totalement le problème du WEP mais il tente plutôt de réduire les risques d’utiliser des solutions basées sur le WEP.

3.3.3.1 Une authentification à sens unique

Le premier problème de 802.1X réside dans son traitement asymétrique d’authentification entre la station et le certificateur. Selon le standard, le port devient contrôlé après le succès de la phase d’authentification qui n’est pas applicable pour la station dont le port reste toujours à l’état authentifié. L’authentification à sens unique expose la station à plusieurs attaques ; notamment "Man-In-The-Middle" et "Denial-of-Service".

3.3.3.1.1 L’attaque "Man-In-The-Middle"

L’intrus agit comme un légitime certificateur pour la station et comme un client authentifié pour le réseau. En effet, dans l’architecture 802.1X, la machine d’état de la station n’accepte que les requêtes EAP du certificateur et ne lui répond que par des réponses EAP. Par conséquent, la machine d’état du certificateur n’accepte aucune requête EAP de la station. Les états de machine n’effectuent donc qu’une authentification à sens unique et un changement significatif sera donc obligatoire dans le protocole afin d’assurer l’authentification mutuelle.

L’attaque "Man-In-The-Middle" peut contourner tout type de mécanisme d’authentification de niveau supérieur et le rend inefficace quel qu’il soit. En effet, tous les mécanismes d’authentification se terminent par une notification de succès ou d’échec envoyée du certificateur à la station à l’aide du message EAP-Success ou EAP-Echec. Malheureusement, ce message ne contient aucune information qui conserve son intégrité et donc il est possible pour l’intrus de forger son propre message EAP-Success et de se subtiliser au certificateur.

3.3.3.1.2 Le détournement des sessions

Le standard 802.1X propose une architecture robuste pour la sécurité du réseau appelée RSN59 reposant sur 802.1X pour l’authentification et la distribution de clés et fournit un contrôle d’accès basé sur une authentification forte de la couche supérieure. Puisque l’authentification des couches supérieures n’aura lieu qu’après l’association/réassociation RSN, deux machines d’états doivent être créées : une pour 802.1X et une autre pour RSN. A cause de l’absence de communication entre les deux machines d’états et le manque de l’authenticité des messages, un intrus peut détourner la session en tirant profit de la faille de synchronisation entre les deux machines d’états. On suppose qu’il n’y a pas de chiffrement de données entre le client et le point d’accès légitime, l’attaque peut se dérouler comme suit :

• Phase 1 : la station s’authentifie auprès du certificateur en utilisant une méthode d’authentification EAP.

• Phase 2 : l’intrus envoie un message de gestion "802.11 MAC disassociate" en utilisant ("Spoofing") l’adresse MAC du certificateur. Ce message a pour but de dissocier la station et donc de changer l’état de machine de RSN à l’état Unassociated alors que l’état de machine de 802.1X du certificateur reste toujours à l’état authenticated.

• Phase 3 : l’intrus reprend le port authentifié du certificateur en "Spoofing" l’adresse MAC de la station. point d’accès station authentifiée déconnexion intrus 2 802._{11 M} AC Disso ciate machine d’état "authenticated"

spoofing @MAC de la station spoofing @MAC du point d’accès 1

3

4

3'

Figure 3.6. Détournement de la session 3.3.3.1.3 L’attaque "Denial-of-Service"

Parmi les attaques qui ont toujours lieu avec 802.1X ; nous rencontrons l’attaque Déni de Service (DoS) [DoS]. Le but de cette attaque est d’empêcher l’accès aux ressources du réseau. Il peut se réaliser en engorgeant le réseau avec du trafic inutile afin d’étrangler sa capacité de servir et de répondre aux besoins de ses légitimes utilisateurs.

Avec les réseaux 802.11 sans fil, DoS peut se réaliser facilement ([BSWN], [WSec]). Il peut intervenir à plusieurs niveaux ; notamment au niveau physique et au niveau de liaison. En effet, comme tout réseau mobile, les fréquences radio de 802.1X peuvent dépasser plus ou moins largement le bâtiment dans lequel se trouve l’antenne d’émission (point d’accès), et donc l’attaque DoS peut s’effectuer facilement. Ce qui permet à l’intrus d’avoir accès au moyen de transport du réseau.

• Au niveau physique, les spécifications 802.11 PHY définissent une collection de fréquences pour la communication. Les clients sont contraints de respecter cette collection et de réserver

des canaux entre 2,4 et 2,484 GHz. Plusieurs appareils mobiles peuvent émettre à cette fréquence et sont capables d’engendrer du bruit, dégrader la qualité des transmissions et perturber le réseau. Cette attaque peut se réaliser avec un faible investissement de temps et d’argent ([BSWN], [WSec]).

• Au niveau liaison, le DoS a toujours la chance de se réaliser même si le chiffrement WEP est activé par le point d’accès. Comme dans l’attaque de détournement de session, le DoS peut toujours dissocier la station et le point d’accès. Un autre exemple peut se réaliser durant la phase d’authentification EAP dans lequel le DoS commence à envoyer une large quantité de messages EAP-Start et/ou EAP-Response.

• Au niveau réseau, le réseau peut permettre à n’importe quel utilisateur de s’associer avec ses points d’accès puisque 802.11 utilise un moyen de communication partagé. Le DoS peut saturer le réseau par du trafic envoyé au point d’accès et donc le rendre inefficace pour ses utilisateurs associés [BSWN].