Comment minimiser les attaques evil twin ?

Dans le passé, ce sont seulement les grandes entreprises qui pouvaient allouer un budget pour mettre en place l'authentification à deux facteurs et les VPN afin de rendre leur niveau de sécurité plus élevé, mais cette solution était inabordable pour la plupart des petites entreprises. De nos jours, de nombreux fournisseurs de services basés dans le cloud ont fait leur apparition. Ils ne facturent que quelques euros par utilisateur par mois pour des services VPN qui pourraient potentiellement minimiser les attaques du type evil twin.

Qu'est-ce que le wardriving ?

Il s’agit simplement d’une technique que vous pouvez utiliser pour identifier et cartographier les points d'accès vulnérables.

Pouvez-vous parler un peu de l’Evil-Twin Framework ?

L'Evil-Twin Framework (ETF) est une solution qui permet d’effectuer des tests de pénétration sur la sécurité de vos réseaux WiFi de différentes manières. C’est un moyen que vous pouvez utiliser pour sensibiliser les utilisateurs finaux à la sécurité du WiFi et pour détecter les points d'accès vulnérables aux attaques evil twin et aux attaques des points d'accès WEP et WPA.

Suis-je protégé contre une telle attaque lorsque j’utilise ma propre connexion à la maison ?

Une attaque Evil Twin peut se produire n'importe où, même si vous utilisez une connexion privée dans un environnement fermé de confiance tel qu’une maison ou un dortoir. Un coup d'œil rapide sur un réseau que vous connaissez bien (mais qui ne l’est pas vraiment) et un simple clique sur un lien pour confirmer la connexion pour vous mettre au travail peut faire de vous la prochaine victime des pirates informatiques. Alors, faites toujours preuve de diligence et évitez de vous connecter automatiquement à des réseaux que vous connaissez. Pourtant, faites aussi attention aux connexions et déconnexions fréquentes.

Pourquoi les pirates adorent-ils utiliser cette tactique ?

Parce qu’il est très facile de créer de faux points d'accès sur les réseaux sans fil. Cela ne nécessite que peu de compétences techniques, alors qu’une telle attaque est très efficace. En 2016, des recherches menées par Kaspersky Lab ont révélé que plus d'un quart des points d’accès Wi-Fi publics installés dans les centres commerciaux étaient peu sûrs. La plupart d’entre eux n’avaient même pas des contrôles de sécurité de base.

Comment détecter et se protéger des attaques Evil Twin (jumeau maléfique)

Vous êtes installé dans un nouveau café qui vient tout juste d’ouvrir ses portes et vous apportez votre ordinateur portable ou votre smartphone pour profiter du service Wi-Fi gratuit qu’il offre.

Le café s’appelle « Bread and Butter », votre ordinateur portable identifie un point d’accès (PA) sans fil appelé « Bread and Butter Wi-Fi », et vous vous connectez volontiers en supposant qu’il appartient au café.

Pendant que vous parcourez votre site de médias sociaux préféré, vous accédez à votre courriel et vous constatez qu’une transaction financière a effacé votre compte bancaire en ligne, c’est parce qu’un pirate informatique a capturé toutes vos informations d’identification et vos données personnelles.

Vous venez donc d’être victime d’une attaque de type man-in-the-middle utilisant le jumeau maléfique ou « Evil Twin ».

Introduction

Aujourd’hui, les réseaux sans fil basés sur la norme 802.11, également appelés réseaux Wi-Fi, sont partout. Les gens utilisent ces réseaux dans leur vie quotidienne pour faire des achats en ligne et pour payer leurs factures, entre autres.

Ces dernières années, de plus en plus d’entreprises, comme les cafés, restaurants, et commerces de détail, ont mis en place des points d’accès Wi-Fi pour fournir un service Internet gratuit afin d’attirer et de mieux servir leurs clients. Ces points d’accès sont également appelés « hotspots ».

La plupart du temps, les points d’accès Wi-Fi n’offrent qu’une protection très limitée, voire aucune protection. Les clients n’ont qu’à faire une recherche pour pouvoir se connecter au réseau sans fil d’un établissement, sans autre moyen de chiffrement ou d’authentification que le nom du réseau sans fil (SSID).

En raison de l’absence de protection, les hotspots sont vulnérables à l’attaque Evil Twin, un point d’accès Wi-Fi malveillant qui est conçu par des cybercriminels pour ressembler à un point d’accès légitime offert dans les locaux. Cependant, le hotspot malveillant est mis en place pour écouter les communications sans fil.

Comme les réseaux sans fil Wi-Fi de la plupart des établissements ne fournissent aucun type de chiffrement et d’authentification, un pirate peut configurer un autre point d’accès malveillant pour commencer à transmettre le même SSID que celui utilisé par l’établissement.

Pour un client qui souhaite utiliser le Wi-Fi, si la puissance de signal perçue du point d’accès de l’attaquant est plus forte que celle fournie par l’établissement — soit parce que le pirate dispose d’une antenne d’émission plus puissante, soit parce qu’il est plus proche du client — ce dernier sera amené à faire passer sa connexion Wi-Fi du hotspot légitime à celui du pirate.

Un Evil Twin est un hotspot sans fil malveillant qui se fait passer pour un hotspot légitime

Les pirates informatiques mettent en place des points d’accès jumeaux maléfiques dans les zones desservies par le Wi-Fi public en clonant l’adresse MAC et le Service Set Identifier (SSIS) d’un point d’accès sans fil existant.

Par exemple, un café peut avoir un point d’accès appelé « Internet Coffee » qui est diffusé à partir d’un point d’accès sans fil dans le back office. Le pirate informatique, utilisant son ordinateur portable couplé à l’équipement nécessaire, peut diffuser le même SSID à partir d’une table dans votre environnement Wi-Fi.

En s’assurant que le signal du jumeau maléfique est plus fort que le réseau autorisé, les clients seront tentés de le choisir plutôt que se connecter à un point d’accès légitime.

Dans certains cas, l’ordinateur portable d’un client peut choisir automatiquement le signal le plus fort. Par exemple, les clients séjournant dans un hôtel de villégiature peuvent sélectionner « Connexion automatique » sur leurs appareils pour qu’ils se connectent automatiquement à votre réseau pendant la durée de leur séjour.

Cela permet aux appareils sans fil de se connecter au jumeau maléfique lorsqu’ils se trouvent à sa portée. Si les clients identifient les deux SSID, ils choisiront sans aucun doute le signal fort par défaut.

Il est également possible pour un pirate informatique d’effectuer une attaque par déni de service (DOS) sur le hotspot légitime qui, à son tour, déconnectera tout le monde du réseau Wi-Fi légitime. Les appareils choisiront alors le jumeau maléfique lors de la reconnexion. Ceci est particulièrement facile à réaliser sur les réseaux Wi-Fi ouverts au grand public.

Une fois qu’un client est connecté à un jumeau maléfique, l’attaquant peut facilement écouter le signal et pirater les communications entre les appareils qui y sont connectés. L’attaquant peut surveiller le trafic, voler des identifiants ou rediriger les clients vers des sites web malveillants pour télécharger des malwares ou capturer des identifiants en ligne sur de faux sites.

Dans certains cas, le hotspot malveillant n’a pas besoin d’être un jumeau maléfique en soi. Par exemple, un café local n’a peut-être jamais pris la peine de changer le nom par défaut de son SSID qui inclut le nom du fournisseur Internet. Dans ce cas, un pirate pourrait simplement diffuser un SSID qui incorpore le nom du café et de nombreux clients feront la supposition incorrecte et le sélectionneront.

Un pirate informatique pourrait également créer un hotspot maléfique dans la zone de la piscine d’une station hôtelière avec le mot « pool » contenu dans le SSID, trompant ainsi les voyageurs de la station hôtelière qu’ils doivent se connecter via un hotspot séparé offert par l’hôtel.

Méthodologie de l’attaque Evil Twin

En général, les pirates informatiques procèdent comme suit :

Étape 1 : il scanne les réseaux Wi-Fi existants pour trouver les informations sur le point d’accès de leurs cibles comme le nom du SSID de la connexion.

Il utilise ensuite ces informations pour créer un point d’accès qui ont les mêmes caractéristiques. C’est pour cela qu’on appelle l’attaque « jumeau maléfique ».

Étape 2 : les clients qui se connectent au point d’accès légitime peuvent se déconnecter à plusieurs reprises, ce qui les oblige à se connecter au point d’accès frauduleux. L’une des façons dont les pirates peuvent tromper leurs victimes est d’inonder son réseau de confiance avec des paquets de désauthentification, ce qui rend impossible toute connexion normale à l’internet. Face à une connexion lente ou qui ne permet aucun accès, l’utilisateur moyen frustré découvrira un réseau Wi-Fi ouvert du même nom que le réseau auquel il peut se connecter.

Étape 3 : dès qu’un client se connecte au faux point d’accès, il peut commencer à naviguer sur Internet.

Étape 4 : lorsque le client ouvre une fenêtre de navigateur, il voit un avertissement de l’administrateur web disant « Entrez le mot de passe WPA si vous voulez télécharger et mettre à jour le micrologiciel du routeur ».

Étape 5 : il n’est pas rare qu’un client saisisse le mot de passe pour se connecter au réseau malveillant. A ce moment, il est redirigé vers une page de chargement et son mot de passe est stocké dans une base de données MySQL de la machine du pirate informatique.

Le fait est qu’un utilisateur WiFi peut utiliser différents types d’appareils (Android, iOS, MacOS Windows), mais ils sont tous sensibles. Actuellement les cybercriminels utilisent de nombreux autres moyens pour mener leurs attaques avec moins de complications. Dans le paragraphe suivant, nous allons vous lister quelques scénarios qu’ils peuvent utiliser.

Les différents scénarios d’attaque Evil Twin

Selon Kevin Mitnick, un hacker reconnu mondialement, même si un système de sécurité est aussi fort que l’on pourrait penser, il a toujours un maillon faible – les utilisateurs finaux – et c’est notamment vrai pour la sécurité des réseaux Wi-Fi. Il est par exemple très difficile pour les pirates de contourner le mécanisme de sécurisation des réseaux sans fil WPA2. Comme alternative, ils préfèrent donc attaquer les utilisateurs en utilisant par exemple l’attaque Evil Twin.

Pour ce faire, les cybercriminels peuvent utiliser différents scénarios pour tromper leurs victimes :

La coexistence

Le point d’accès des pirates et les points d’accès de leurs victimes coexistent au même endroit. Les cybercriminels vont tenter de capturer les informations qui circulent via un réseau malveillant. Le point d’accès Evil Twin tente alors de leur fournir un signal plus puissant et d’envoyer un paquet de désauthentification à leurs victimes.

Le remplacement

Le point d’accès de la victime est détourné physiquement avec le nom de l’escroc qui utilise le même SSID que celui du réseau Wi-Fi légitime.

Le clone ad hoc

Pour ce cas précis, le pirate va tenter d’intercepter la communication de leurs victimes et de leur fournir un numéro de téléphone pour les profils demandés. Pour ce faire, il utilise un point d’accès d’outils et un dispositif sans fil qui prend en charge mode moniteur.

Le clone à distance

Le point d’accès du pirate est défini en différents lieux. Il possède le même nom que le point d’accès légitime, lequel est déjà enregistré dans le profil de sa victime. Le pirate peut dont se connecter automatiquement au réseau qu’il utilise.

En général, les faux sites web ou les sites web clonés sont utilisés dans l’une des combinaisons suivantes. D’abord, le site web peut être complètement cloné avec le nom et le logo de tout le contenu du site web légitime. Il peut également n’intégrer que la copie du contenu, du logo et du thème du site légitime.

Bien entendu, les pirates peuvent utiliser un site cloné avec le logo mais avec un nom de domaine différent. Parfois, seul le contenu du site a été copié ou cloné avec un nom différent. Il peut aussi contenir une page d’inscription malveillante.

Bon à savoir

Il est possible que le pirate ne parvienne pas à tromper sa victime pour qu’elle se connecte au point d’accès malveillant. Dans ce cas, il peut rompre la connexion en inondant l’accès au site légitime avec des trames de désauthentification usurpées. Cette attaque, également connue sous le nom d’attaque de désauthentification, indique à la victime que sa connexion a été interrompue.

Une fois que la victime se connecte au point d’accès malveillant, l’attaque est terminée. L’ensemble du processus est utilisé pour permettre aux attaquants de disposer d’une position Man-in-The-Middle à partir de laquelle ils peuvent télécharger des paquets, des malwares ; ou installer des portes dérobées sur l’appareil pour bénéficier d’un accès à distance.

Wi-Fi Phisher, un exemple d’attaque du type Evil Twin

Un chercheur en sécurité grec du nom de George Chatzisofroniou a développé un outil d’ingénierie sociale Wi-Fi qui a été publié sur GitHub. Il a été conçu pour voler les informations d’identification des utilisateurs via les réseaux Wi-Fi sécurisés.

L’outil est dénommé Wi-FiPhisher.

Contrairement à d’autres méthodes de phishing, cette attaque d’ingénierie sociale n’utilise pas la force brute. Il s’agit d’un moyen facile d’obtenir les mots de passe WPA de la personne victime.

Bien entendu, il existe déjà plusieurs outils de piratage sur Internet qui permettent d’attaquer un réseau sécurisé Wi-Fi. Mais ce qui rend cet outil différent, c’est qu’il automatise de multiples techniques de piratage Wi-Fi.

Wi-FiPhisher utilise le scénario d’attaque du type « Evil Twin » en créant d’abord un faux point d’accès sans fil et en se faisant passer pour un point d’accès Wi-Fi légitime. Il déclenche ensuite une attaque par déni de service (DoS) contre le point d’accès Wi-Fi légitime. Il peut également créer des interférences autour de ce point d’accès pour déconnecter les utilisateurs sans fil. Ces derniers sont ensuite invités à inspecter les réseaux disponibles et le piège se referme.

Une fois déconnecté du point d’accès Wi-Fi légitime, Wi-FiPhisher va forcer les ordinateurs et les périphériques hors ligne à se reconnecter automatiquement au jumeau maléfique, ce qui permet au pirate d’intercepter tout le trafic via ces dispositifs.

Cette technique est également connue sous le nom de Phishing du PA, Wi-Fi Phishing, Hotspotter ou PA Honeypot.

Ce genre d’attaque fait usage de faux points d’accès avec des pages de connexion usurpées pour capturer les informations d’identification Wi-Fi des utilisateurs, leurs numéros de carte de crédit, ou pour lancer des attaques du type « Man-in-The-Middle » et infecter les hôtes du réseau sans fil.

Bref, Wi-FiPhisher est un outil de sécurité capable de monter des attaques de phishing rapides et automatisées contre les réseaux Wi-Fi. Il permet aux pirates d’obtenir les identifiants de connexion sans utiliser force la brute.

Une fois que la victime demande l’accès à une page web, l’outil Wi-FiPhisher servira de fausse page réaliste qui lui demandera de confirmer son mot de passe en raison d’une mise à niveau du firmware du routeur.

L’outil pourrait être utilisé par les pirates pour générer du phishing et des attaques du type « man-in-the-middle ».

Cout d’une attaque par Evil-Twin

Une attaque par Evil-Twin est une forme d’attaque de phishing, bien qu’elle semble un peu différente. Contrairement aux autres méthodes de phishing que nous avons mentionnées dans d’autres articles, une attaque par Evil Twin est une forme de phishing qui exploite le Wi-Fi.

Selon TechTarget.com, un jumeau maléfique peut être défini comme « un point d’accès sans fil malveillant qui se fait passer pour un point d’accès Wi-Fi légitime afin que l’attaquant puisse recueillir des informations personnelles ou professionnelles à l’insu de l’utilisateur final ». D’autres surnomme ce type d’attaque comme l’arnaque Starbucks, car elle a souvent lieu dans des cafés.

L’attaque par Evil Twin implique qu’un cybercriminel crée un point d’accès Wi-Fi qui ressemble au vrai. Elle utilise l’identifiant de service (SSID) défini et qui ressemble à celui du vrai réseau. Lorsque les utilisateurs finaux s’y connectent, l’attaquant peut alors écouter le trafic qui circule via le réseau ciblé et voler le nom de compte des utilisateurs, leurs mots de passe et voir toutes les pièces jointes auxquelles ils accèdent lorsqu’ils se connectent au point d’accès compromis.

Sachez que de multiples attaques de phishing ciblent actuellement les entreprises chaque jour. Certaines impliquent l’utilisation des e-mails, tandis que d’autres font appel à de faux sites web ou à des appels téléphoniques frauduleux.

Selon Cybersecurity Ventures, les dommages causés par la cybercriminalité devraient coûter au monde 5,5 milliards d’euros par an d’ici 2021, et le phishing devrait jouer un rôle important.

Et ce n’est pas tout !

L’attaque Evil Twin représente un risque important pour la cybersécurité. Vos employés peuvent par exemple se connecter au site web de votre entreprise via un faux point d’accès WiFi en pensant qu’il s’agit d’un point d’accès légitime. Le pirate derrière le hotspot malveillant peut ainsi obtenir ses identifiants de connexion et avoir accès au site web de votre entreprise. En outre, il peut voler des données ou installer des malwares.

Par ailleurs, les pirates peuvent utiliser l’ingénierie sociale pour cloner une page de connexion et expulser les utilisateurs de votre point d’accès. Cela oblige ces derniers à entrer des identifiants de connexion et à se reconnecter par le portail du pirate, où ses identifiants seront volés et le trafic surveillé.

Le fait est que l’attaque elle-même n’est pas difficile à réaliser. Les pirates n’ont pas besoin de disposer d’un matériel spécial pour réaliser ce type d’attaque. Un pirate peut s’asseoir à côté de l’un de vos clients et lancer le hotspot malveillant en utilisant simplement son ordinateur portable. Enfin, gardez à l’esprit que les utilisateurs finaux peuvent établir manuellement leur connexion sans fil. Leur principale préoccupation est d’avoir une connexion Internet puissante et peu d’entre eux vérifieront comment et où ils sont connectés. C’est ce qui fait le succès de l’attaque Evil Twin.

Comment pouvez-vous savoir si vous vous connectez à un site « Evil Twin » ?

C’est une bonne question ! En fait, la détection d’une attaque Evil Twin repose sur le fait que les utilisateurs puissent repérer un nouveau réseau non sécurisé qui vient d’apparaître et l’éviter.

On pourrait penser que ce serait assez facile. Pourtant, ce n’est pas le cas. Comme nous l’avons susmentionné, la plupart des appareils standards ne disposent pas du type d’outils de reniflage de réseau qui leur permettrait de distinguer un réseau légitime d’un réseau malveillant qui est mis en place par un attaquant.

Les pirates informatiques sont de plus en plus intelligents lorsqu’il s’agit de faire passer le nouveau réseau pour un réseau de confiance. Ils peuvent choisir le même nom de SSID, par exemple, ce qui est souvent suffisant pour confondre un réseau malveillant à un réseau légitime.

En allant plus loin, ils peuvent cloner l’adresse MAC du réseau de confiance pour donner l’impression que le nouveau point d’accès est un clone des points d’accès existants sur le réseau cible, ce qui renforce l’illusion qu’il est légitime.

Pour les réseaux publics, les pirates peuvent même donner l’impression que le faux point d’accès est plus légitime que les vrais routeurs, car les informaticiens sont de plus en plus paresseux, au point qu’ils oublient de cloner eux-mêmes les adresses MAC.

La détection d’une attaque Evil Twin est rendue encore plus difficile, car les attaquants n’ont plus besoin d’utiliser des matériels volumineux et encombrants pour en mener une. Ils peuvent même utiliser l’adaptateur réseau de leurs ordinateurs portables pour lancer l’attaque ou pour créer un petit routeur comme faux point d’accès.

De nombreuses attaques utilisent également le Wi-Fi ananas. Il s’agit d’un kit d’exploitation. Il utilise des sites légitimes comme outil de test de réseau, mais qui peut aussi être utilisé pour créer un réseau Wi-Fi sur une vaste zone. Cela signifie qu’un attaquant n’a pas besoin d’être dans le même bâtiment, ni même dans la même rue, pour cibler un réseau particulier.

Les pirates peuvent utiliser d’autres techniques pour rendre le signal de leur réseau beaucoup plus puissant que celui du réseau légitime. En augmentant la puissance de leur signal Wi-Fi, ils peuvent submerger le réseau cible et le rendre pratiquement indétectable.

Comment éviter les attaques Evil Twin ?

Comme le nombre et la sophistication des cyberattaques ne cessent de croître, il est utile de se tenir au courant des différents types de menaces auxquelles vous pourriez être confronté. Une attaque de type « Evil Twin » n’est que l’une d’entre elles.

Cette technique de piratage ne date pas d’hier. Elle est vieille de près de deux décennies. Pourtant, même s’il s’agit d’un vecteur d’attaque connu, les attaques Evil Twin restent difficiles à prévenir si vous n’adoptez pas certaines mesures de sécurité et si vous ne mettez pas en place les protections adéquates. Et même si cette attaque est assez courante, elle peut être d’une efficacité dévastatrice contre les victimes non avisées.

Les méthodes existantes pour détecter les attaques Evil Twin est de tenir une liste blanche et d’appliquer des correctifs sur les points d’accès. Vous devriez également appliquer les solutions basées sur le timing, les modifications de protocole, etc.

Ces méthodes nécessitent généralement une installation et une maintenance importantes pour qu’elles ne présentent pas de problèmes d’évolutivité et de compatibilité. De plus, elles nécessitent des modifications de la pile de protocoles, ce qui les rend coûteuses à déployer et à gérer.

Les conditions du réseau dans le cadre d’une attaque normale et d’une attaque par jumeau maléfique sont presque similaires, ce qui fait que la création d’une signature ou la définition d’un modèle d’anomalie entraîne généralement une grande quantité de faux positifs.

Les entreprises qui offrent la connexion Wi-Fi à leurs employés ou à leurs clients peuvent utiliser des systèmes de prévention des intrusions sans fil afin de détecter la présence d’une attaque Evil Twin et empêcher les employés et les clients des entreprises s’y connecter.

Demandez toujours à l’établissement quel est le nom du hotspot officiel. Cela vous évitera de faire des suppositions incorrectes et de choisir un hotspot malveillant.
Évitez de vous connecter à des points d’accès Wi-Fi qui portent la mention « Unsecure » (ou « non sécurisé »), même s’ils leurs SSID vous semblent familier.
Ne visitez que les sites web HTTP, surtout lorsqu’ils se trouvent sur des réseaux ouverts. Les sites web HTTP offrent un chiffrement de bout en bout. Ceci rend difficile – voire impossible – pour les pirates de voir ce que vous faites lorsque vous visitez ces sites.
Si le hotspot officiel auquel vous voulez vous connecter a une clé, essayez de taper intentionnellement la mauvaise clé. Si la connexion accepte la clé manifestement erronée, il s’agit très probablement d’un jumeau maléfique.
Désactivez les fonctions « auto connect » ou « auto join » pour les hotspots enregistrés pour tous vos appareils sans fil. C’est quoi qu’il en soit une bonne idée.
Vous devriez également vous déconnecter manuellement d’un hotspot toutes les deux heures et vous reconnecter manuellement au hotspot de votre choix, en saisissant le mot de passe pour confirmer la connexion.
Utilisez un VPN chaque fois que vous vous connectez à un Wi-Fi public. Ceci vous permet de vous assurer que les pirates ne puissent voir vos habitudes de navigation.

Malheureusement, la plupart des innovations dans l’environnement Wi-Fi se sont limitées à des éléments tels que la portée du signal, au débit et à la connectivité plutôt que la sécurité.

En l’absence d’une plus grande insistance de l’industrie sur la sécurité Wi-Fi, ou de critères définis pour évaluer la sécurité Wi-Fi en général, de nombreux administrateurs réseau n’ont pas la clarté nécessaire pour prévenir avec succès les menaces Wi-Fi. L’éducation sur les menaces web est essentielle, tout comme la mise en place d’un système de protection contre les attaques lancées via le web.

Ce que vous pouvez faire en tant que propriétaire d’entreprise

Annoncez clairement le nom du réseau sans fil que vous offrez à vos clients dans un endroit bien en vue pour qu’ils puissent le voir. Plutôt que de simplement fournir un Wi-Fi ouvert, protégez le hotspot avec une Personal Security Key (PSK) et créez un système pour fournir la clé à vos clients.
Vérifiez l’espace client avec votre propre appareil mobile pour rechercher les hotspots qui se font passer pour vos hotspots officiels et alertez vos clients si nécessaire.
Obtenez les services d’un expert en communications sans fil si vous soupçonnez que quelqu’un a placé de façon permanente un hotspot malveillant ou Evil Twin sur votre propriété. À l’aide d’un ordinateur portable et d’une antenne, un professionnel qualifié peut trianguler l’emplacement d’un AP malveillant. Il existe également des applications logicielles telles que EvilAP_Defender, qui est conçu pour trouver des jumeaux maléfiques et même avertir par e-mail lorsqu’on en a identifié un.

Conseils pour les administrateurs réseau

La conception de la méthode de détection d’une attaque Evil Twin est la détection de différentes passerelles, basée sur l’hypothèse suivante :

Les pirates peuvent déployer plus d’une interdiction d’accès à un point d’accès, tout en offrant une couverture plus large à vos clients. Cependant, même s’ils créent plusieurs points d’accès appartenant à un même point d’accès, ils utiliseront toujours une seule passerelle pour permettre aux utilisateurs finaux d’accéder à Internet. On retrouve souvent ce type de topologie de réseau sans fil dans les cafés, les hôtels et les aéroports. Pour éviter les attaques, vous pouvez donc attribuer des adresses IP privées aux clients qui se connectent à votre réseau Wi-Fi. Ces adresses IP privées seront traduites en IP publique de la passerelle par le biais d’un traducteur d’adresse de port (PAT) ou d’un traducteur d’adresse réseau (NAT).

En fait, dans notre dossier, nous avons seulement discuté du scénario où il y a un point d’accès légitime et un autre point d’accès malveillant. Si le client reçoit plus de deux signaux de hotspots, la méthode de détection susmentionnée peut être utilisée sans aucun changement afin de passer d’un hotspot à l’autre.

Comme chaque changement de point d’accès doit être effectué au milieu d’une connexion SSL/TCP, si l’un de ces points d’accès utilise une passerelle différente, la connexion SSL/TCP sera interrompue et déclenchera une alarme. Cela empêchera le pirate informatique de créer un serveur pour contourner votre procédure de détection.

Il peut arriver que l’attaquant utilise la même passerelle légitime pour transmettre les données du client, cette méthode de détection ne fonctionnera pas. Mais si vous combinez cette méthode avec d’autres méthodes de détection, vous pourrez mettre en place un système de détection efficace contre les attaques du type Evil Twin.

Conclusion

La sécurisation du Wi-Fi est une opération difficile, et les consignes de sécurité recommandée par les différents fournisseurs de connexion sans fil créent plus de confusion que de clarté.

Pour les utilisateurs d’une connexion sans fil, l’attaque evil twin est presque impossible à détecter puisque les pirates utilisent un SSID qui semble légitime et fournissent généralement un service Internet.

Dans la plupart des cas, le meilleur moyen de rester en sécurité est de toujours utiliser un VPN. Ceci permet d’encapsuler la session Wi-Fi dans une couche de sécurité plus fiable. Pour les entreprises, il est également essentiel de donner une formation aux employés afin qu’ils puissent détecter les escroqueries de phishing, les attaques du type Man-in-The-Middle, et bien d’autres menaces en lignes qui peuvent être lancées via les réseaux Wi-Fi non sécurisés.

Pour remédier à ce problème, TitanHQ a développé des solutions technologiques, des solutions complètes, facile à déployer et à gérer pour sécuriser votre connexion Wi-Fi. Elles sont capables de détecter et de prévenir les différentes menaces Wi-Fi qui ciblent votre organisation, y compris les attaques evil twin.

Parlez dès aujourd’hui à l’un de nos experts en sécurité pour savoir comment sécuriser votre Wi-Fi public afin de prévenir les attaques coûteuses et dommageables.