Wardriving en Chine

Dans le cadre de la conférence annuelle des spécialistes antivirus (du 17 au 19 novembre 2005), j’ai décidé de réaliser une étude des réseaux sans fil à Tientsin et Pékin (Chine). L’étude est principalement centrée sur les quartiers d’affaires et sur l’aéroport de Pékin, et a permis de recueillir des données sur plus de 300 points d’accès.

Les tentatives d’accès aux réseaux découverts ainsi que l’interception et le décodage du trafic des réseaux sans fil n’ont pas fait l’objet de cette étude.

En plus de l’étude des réseaux sans fil, j’ai également recueilli des statistiques sur les appareils Bluetooth en mode « visible », et tenté de découvrir des téléphones portables infectés par des virus transmis via le protocole Bluetooth.

Etude des réseaux WiFi

Vitesse du transfert des données

L’étude a permis de mettre en évidence la prédominance des réseaux dont le débit est de 11 Mbps (plus de 58 %). Les réseaux de 54 Mbps occupent la deuxième place avec 36,62 %. Il est intéressant de constater que certains points d’accès avaient une vitesse de 2 Mpbs. De toute évidence, ils utilisaient la technique FHSS.


Illustration 1. Vitesse de transfert des données exprimée en pourcentage.

Illustration 2. Rapport entre points d’accès et vitesse de transfert des données.

Fabricants

Au total, 21 fabricants ont été identifiés. 10 d’entre eux sont parmi les plus répandus et sont utilisés dans 56 % des réseaux sans fil de Pékin et Tsientin. Dans 4 % des cas, on retrouve le matériel d’onze autres fabricants.

Les noms les plus fréquents sont :

  • Proxim (Agere) Orinoco – 13,73%
  • Cisco – 10,21%
  • D-Link – 7,04%
  • Linksys – 6,69%
  • Intel – 4,94%
  • Proxim (Agere/WaveLAN) – 3,52%
  • Senao – 3,17%
  • Z-Com – 2,28%
  • Netgear – 2,46%
  • Accton – 2,11%

Ces données illustrent très clairement les positions de leader d’Agere Systems (Proxim Orinoco/WaveLAN) avec 17,25 % et de Cisco (Linksys) avec 16,9 %.


Illustration 3. Matériel utilisé, en pourcentage.

Dans un certain nombre de cas (39,08 %), le nom du fabricant de l’équipement n’a pu être établi (Unknown, Fake ou User Defined).


Illustration 4. Rapport entre matériel identifié et non-identifié (en %).

Cryptage du trafic

Selon les données recueillies dans le cadre de la recherche de réseaux sans fil (wardriving) dans différentes villes du monde, le nombre de réseaux sans fil qui n’exploitent aucune méthode de cryptage, représente environ 70 %. Ces données sont confirmées par une étude des réseaux sans fil de Moscou réalisée en 2005 par le laboratoire de sécurité des réseaux de l’institut « Informzashita » qui indiquait que le nombre de réseaux non cryptés était de 68 à 69%.

Pour ce qui est de la Chine, cet indice diverge sensiblement du niveau mondial.


Illustration 5. Rapport entre réseaux cryptés et réseaux non-cryptés.

Le nombre de réseaux non-cryptés est inférieur à 60%. Par contre, aucun réseau parmi les réseaux découverts n’appliquait la norme de cryptage améliorée WPA ou 802.11i.

Si l’on tient compte des résultats de la recherche de réseaux dans d’autres pays du monde qui affirment que dans de tels réseaux non protégés, l’accès au routeur reste ouvert via une interface Web, on peut supposer que ces conclusions seront également valables pour Pékin et Tsientin. Toutefois, nous tenons à rappeler qu’aucun test dans ce sens n’a été réalisé dans le cadre de cette étude.

Types d’accès au réseau

La majorité des réseaux découverts (89%) est construite sur la base du point d’accès (ESS/AP). Cela correspond aux données mondiales. Les 11% restant exploitent une connexion de type ordinateur-ordinateur (IBSS/Peer). Il n’a pas été possible dans un cas de définir le type de réseau.


Illustration 6. Types de réseau.

Configuration par défaut

Un des moyens de protection les plus efficaces contre le piratage d’un réseau sans fil consiste à désactiver les paramètres SSID. L’étude a revélé que 6% des réseaux emploient cette méthode. Il est intéressant de voir que dans près de 99 % des cas, ces réseaux utilisent le cryptage WEP.

Un autre indice intéressant est le default SSID. Il indique que l’administrateur du point d’accès n’a pas changé le nom du routeur. C’est une conséquence du fait que le compte de l’administrateur possède un mot de passe par défaut.


Illustration 7. Rapport en pourcentage des réseaux avec les paramètres par défaut.

Etudes des appareils Bluetooth

Le principal objectif de cette enquête était de rassembler des données stratégiques sur le nombre d’appareils Bluetooth fonctionnant en mode « visible » ainsi que sur la marque de ces appareils.

Cette enquête voulait également « aller à la pêche au gros » en utilisant un piège à pirates mobile fonctionnant en mode « visible », acceptant et enregistrant automatiquement tous les fichiers entrants.

La méthodologie appliquée fut particulièrement simple. J’ai utilisé un ordinateur portable muni d’un adaptateur Bluetooth Bluetake dont le rayon d’action est d’environ 100 mètres. Au niveau logiciel, nous avons utilisé BlueSoleil.

Pour la collecte des données, nous avons choisi des endroits présentant une grande concentration d’individus (ce qui n’est pas foncièrement difficile lorsque l’on se trouve en Chine), à savoir l’aéroport international de Pékin et la rue Wanfgfujing, la principale artère commerçante de la capitale chinoise. Nous avons également effectué des tests lors de la conférence AVAR2005 à Tientsin.

Les expériences réalisées à Pékin et à Tientsin portaient principalement sur la collecte d’informations relatives aux appareils Bluetooth actifs. L’utilisation du piège à pirates, quant à elle, fut principalement réservée à l’aéroport international.

Fenêtre du logiciel BlueSoleil en mode balayage
Illustration 8. Fenêtre du logiciel BlueSoleil en mode balayage.

Les résultats ont été tout à fait surprenants, et ce, dans les deux volets.

Au cours de l’étude, une cinquantaine d’appareils Bluetooth différents ont été identifiés.

Quantité d
Illustration 9. Quantité d’appareils en mode « visible » découverts.

Ce nombre relativement faible m’interpelle. Le test a duré en tout 12 heures et si l’on tient compte du rythme du développement des appareils nomades dans le monde et de la densité d’individus dans les lieux où les tests ont été réalisés, je m’attendais à découvrir au moins le triple d’appareils Bluetooth. Si les 9 appareils découverts pendant AVAR2005 dépassent les limites (après tout, les participants à cette conférence sont des experts de la sécurité informatique et doivent être au courant des menaces qui pèsent sur les appareils Bluetooth actifs en mode « visible »), les résultats obtenus dans les autres sites (Wanfgfujing et aéroport) sont inférieurs aux prévisions.

Et cela malgré le fait que ces sites, en plus du grand nombre d’individus, présentent une forte diversité de nationalités (grand nombre de touristes étrangers).

Nous ne sommes pas encore en mesure d’expliquer les causes de cet écart entre les chiffres escomptés et les chiffres observés mais il est certain que ce problème devrait faire l’objet de tests complémentaires dans d’autres villes du monde.

S’agissant du type d’appareils décelés, les données confirment dans l’ensemble que Nokia est le leader absolu du marché des téléphones intelligents. Je m’attendais toutefois à une plus grande diversités de fabricants, dont certains de la République populaire de Chine. Malheureusement, nos hypothèses n’ont pas été confirmées.

Fabricants d
Illustration 10. Fabricants d’appareils en pourcentage.

Ces résultats permettent néanmoins de tirer encore une conclusion significative, à savoir quel est le système d’exploitation pour téléphones intelligents le plus répandus ?

Les appareils Nokia, SonyEricsson et Siemens tournent sous Symbian tandis que Motorola et Qtek ont opté pour Windows Mobile. Le premier groupe présente une majorité écrasante.

Systèmes d
Illustration 11. Systèmes d’exploitation.

Ceci permet d’expliquer pourquoi à l’heure actuelle la majeure partie des programmes malveillants découverts prennent exclusivement pour cible le système d’exploitation Symbian. A l’instar de ce qui se passe dans le monde de l’informatique, les auteurs de virus préfèrent s’en prendre à la plate-forme la plus populaire.

Ceci étant, les résultats les plus surprenants ont été obtenus dans le cadre de la « pêche aux pirates ». Bien que nous soyons présents en Chine depuis quelques années déjà et que Kaspersky Anti-Virus soit l’un des logiciels antivirus les plus populaires, nos clients chinois ne nous ont jamais signalé d’infections par ver mobile qui serait transmis via Bluetooth. Nous connaissons bien entendu la modification du ver Cabir et nous savons que de nombreux chevaux de Troie pour Symbian ont été créés en Chine, mais nous n’avions aucun cas d’infection confirmé.

Nous suivons avec attention les données relatives aux épidémies de vers mobiles publiées régulièrement par nos collègues finnois de F-Secure. Selon eux, Cabir a été identifié en Chine il y a un an et le nombre de pays touchés par ce ver a dépassé la trentaine. Il y environ un mois de cela, j’ai déjoué une tentative d’infection de mon téléphone par Cabir alors que j’étais chez moi. Il s’agit là d’une confirmation inattendue de l’existence d’une épidémie Cabir à Moscou.
Dans ce contexte, nous nous attendions à pouvoir confirmer la présence de Cabir en Chine, voire à découvrir de nouveaux virus visant les appareils nomades.

Le test a duré 12 heures, dont 5 passées à l’aéroport international de Pékin. Il s’agit de l’un des aéroports les plus importants au monde et une fois que la construction du cinquième terminal sera achevée, il doublera en taille et deviendra le plus grand aéroport au monde. Pour recueillir nos donnés, nous avons choisi les points de passage les plus fréquentés, à savoir le contrôle des passeports, la zone d’enregistrement et l’accès aux terminaux, bref les passages que doivent emprunter toute personne qui quitte la Chine via cet aéroport. Etant donné le faible rayon d’action des adaptateurs Bluetooth qui équipent la majorité des téléphones intelligents, nous avons organisé le site de telle sorte que la distance entre le « piège à pirates » et le lieu de passage ne dépasse pas 10 mètres.

Nous avons déjà évoqué le faible nombre d’appareils Bluetooth découverts. Si bien que nous n’avons pas été surpris de voir qu’après 12 heures, pas une seule tentative de transfert de fichiers vers le piège à pirates n’avait été réalisée. Nous avons vérifié le matériel et les logiciels pendant tous les tests et nous avons confirmé les résultats à l’aide de notre téléphone mobile. Absolument négatif. Aucun Cabir-a, aucun cheval de Troie contenant Cabir, aucun nouveau virus.

Ces résultats pour le moins étranges sont la conséquence du faible nombre d’appareils, circonstance pour laquelle nous devons encore trouver une explication. A titre de comparaison, il est possible de découvrir une cinquantaine d’appareils Bluetooth en deux heures dans le métro moscovite et les tentatives de transferts de fichiers ne sont pas rares.

Nous avons l’intention de réaliser prochainement un test comparatif à Moscou dans des sites similaires à ceux choisis à Pékin (grands centres commerciaux, aéroports, quartiers d’affaires).

Nous comptons également mettre sur pied un réseau de « pièges à pirates » afin de découvrir les virus pour appareils nomades, tout d’abord à Moscou et par la suite, dans d’autres villes du monde.

Si ces données vous ont intéressé et que vous souhaitez partager vos idées et vos conclusions, voire débattre de la méthodologie appliquée, n’hésitez pas à me contacter.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *