Question:
Pourquoi les données HTTP sont-elles envoyées en texte clair via une connexion Wi-Fi protégée par mot de passe?
darias
2016-10-01 14:37:56 UTC
view on stackexchange narkive permalink

Chez moi, j'ai un routeur protégé par WPA2-PSK (WPA2 Personal), utilisant la phrase secrète.

Lorsque j'essaye de me connecter à une page sur Internet (cette page n'utilise pas HTTPS pour me connecter), toutes mes données sont envoyées en texte clair (puisque je peux voir le mot de passe que j'ai tapé dans Wireshark).

Pourquoi? Je veux dire, mon WiFi est protégé, donc toutes les communications doivent être cryptées, non?

Exécutez-vous Wireshark sur le même ordinateur que vous utilisez pour vous connecter?
@A.Darwin: Oui, c'est le même ordinateur.
Notez également que les outils wire shark installeront son propre certificat et MITM lui-même pour introspecter le trafic SSL.Ceci est important lorsque ... ahem débogage du trafic SSL
vous confondez les couches.votre client http ne sait rien du wifi et du wpa.
Aussi: le simple fait que votre mot de passe soit crypté sur votre réseau wifi ne signifie ** pas ** qu'il est crypté sur le reste du chemin vers ce serveur ... Donc, peu importe le cryptage utilisé par votre wifi: une page Web serviesur HTTP et demander un mot de passe, c'est ** toujours ** recevoir les informations d'identification en texte brut et quiconque le long du chemin vers le serveur peut les lire.Donc: si vous devez vraiment vous connecter à cette page Web, choisissez un nom d'utilisateur et un mot de passe aléatoires et changez souvent le mot de passe.N'insérez pas de données sensibles / personnelles sur ce site.
J'ai une boîte aux lettres verrouillée, mais mon colocataire peut voir les lettres quand elles sont sur mon banc de cuisine.Pourquoi mes lettres envoyées sont-elles déverrouillées via une boîte aux lettres verrouillée?
@immibis Peut-être plus comme "Comment les gens lisent-ils mes cartes postales quand je les emmène à la boîte aux lettres dans une mallette verrouillée?"
@Michael Avec Wireshark dans ce scénario, le snooper est à l'extrémité d'envoi / réception, pas au milieu du chemin.
@immibis Vous avez raison, mais je pense qu'Internet en général est au moins autant préoccupant que les autres personnes sur son ordinateur.;-)
Une chose à garder à l'esprit est que tous ceux qui connaissent le mot de passe WPA2 peuvent voir ce texte clair même si le réseau est prétendument crypté.Voir plus ici: https://github.com/d33tah/call-for-wpa3
Sept réponses:
Lightness Races in Orbit
2016-10-01 20:09:17 UTC
view on stackexchange narkive permalink

Je veux dire, mon WiFi est protégé, donc toutes les communications doivent être cryptées, non?

C'est le cas, mais pas à l'endroit où vous le lisez. Le chiffrement se produit à un certain point du "pipeline", et le déchiffrement doit alors également se produire à un certain point du "pipeline" (sinon les données sont inutiles). Vous observez les données après qu'elles ont été déchiffrées, ce qui ne serait pas possible si vous utilisiez HTTPS (qui fournit à la place un chiffrement de bout en bout, qui commence au serveur et se termine au navigateur).

Si vous tentez d'utiliser Wireshark pour capturer le contenu d'une transaction HTTPS, ce serait comme ceci: 

  + -------- + (crypté) + --- ------- + (crypté) + -------- + | Serveur | ----------- > | Internet | ------------ > | Routeur | + -------- + + ---------- + + -------- + | | (crypté) + ------------------ + --- + | Votre PC | | | + ----------- + (e) | | | | Navigateur | < --- + | | + ----------- + | | | + ----------- + (e) | | | | Wireshark | < --- / | | + ----------- + | + ---------------------- +

Ici, votre navigateur sait décrypter les données, car il "possède "la transaction HTTPS en premier lieu; votre instance Wireshark (qui, dans le but même du chiffrement de bout en bout, est traitée comme tout autre snooper dans ce scénario) ne le fait pas.

Mais votre chiffrement sans fil commence au niveau du routeur et se termine à la carte réseau du PC, donc le résultat pour vous ressemble plus à ceci: 

  + -------- + (texte en clair) + ---------- + (texte en clair) + -------- + | Serveur | ----------- > | Internet | ------------ > | Routeur | + -------- + + ---------- + + -------- + | | (crypté) + ------------------ + --- + | Votre PC | | | + ----------- + (p) | | | | Navigateur | < --- + | | + ----------- + | | | + ----------- + (p) | | | | Wireshark | < --- / | | + ----------- + | + ---------------------- +

Ici, tout ce qui se trouve sur votre PC peut lire les données, car elles ont été décryptées par votre carte réseau. Sinon, quelle application décrypterait les données? Rien ne fonctionnerait.

Il n'y a presque aucune relation entre HTTPS et WPA2-PSK; ils font des tâches complètement différentes.

Vos diagrammes ASCII sont géniaux.
@VL-80 http: // asciiflow.com /
@gronostaj That + [ditaa] (http://ditaa.sourceforge.net/) doit être intéressant ...
@gronostaj: Oups, je le savais mais je l'ai quand même fait à la main lol
Petit bête: "Vous observez les données après qu'elles ont été décryptées", ne les visualise-t-il pas * avant * qu'elles ne soient chiffrées?Alors qu'il est toujours "dans" le PC.
@KevinvanderVelden: Eh bien, je suppose que cela dépend du fait qu'il regarde la demande ou la réponse :)
AilipdhsqfCMT hah vrai, touchez.
"de par sa conception, comme tout snooper arbitraire, votre instance Wireshark ne le fait pas."Je suggérerais de reformuler cela un peu pour qu'il soit plus clair que c'est par la conception de TLS, plutôt que par Wiresharks.(Étant donné que cette réponse cible un public avec très peu de connaissances en réseautage, cela peut ne pas être clair pour eux.)
@jpmc26: Ouais, bonne idée.
@IvanKolmychek: Merci, mais "data" est le pluriel de "datum" (bien que j'accepte que cet usage correct soit en déclin!)
@LightnessRacesinOrbit Je n'ai jamais vu auparavant les "données" utilisées au pluriel pour être honnête, et même vous acceptez que leur "utilisation est en déclin", alors pourquoi n'utiliserions-nous pas la version la plus répandue?Je suis presque sûr que ce n'est qu'une question de temps que quelqu'un d'autre suggère la même modification.:)
@IvanKolmychek: Si vous lisez quelques articles scientifiques, vous les verrez partout.Je préfère écrire un anglais correct plutôt que de «l'anglais de la rue», lors de la rédaction technique.Les gens sont libres de continuer à suggérer les modifications ... Je continuerai de les rejeter.:)
@LightnessRacesinOrbit ok.Pourtant, je dirais que cet article sur la sécurité n'est pas un article scientifique, mais tant pis.:)
@IvanKolmychek: Les utilisateurs de security.SE sont des professionnels techniques et doivent bien comprendre l'utilisation correcte des «données»;Je m'attendrais même à ce qu'une majorité l'utilise elle-même.
@LightnessRacesinOrbit OK, vous avez probablement raison.Avoir +1 sur ce commentaire alors de moi, donc peut-être plus visible.:)
Il convient de noter que dans la première image, le contenu est crypté deux fois entre le routeur et le PC (non?)
AilihxqpzuCMT Hmm est-ce?
@LightnessRacesinOrbit Probably: Je ne pense pas que le routeur (et le PC) fasse la distinction entre TLS et d'autres trafics
Adam Lindsay
2016-10-01 14:42:20 UTC
view on stackexchange narkive permalink

L'utilisation d'un routeur avec WPA2-PSK (ou tout autre algorithme de chiffrement de réseau) ne signifie pas que tous les sites sont obligés d'utiliser https. Cela signifie que le trafic non chiffré n'est pas visible pour ceux qui ne sont pas connectés au réseau.

Considérez HTTPS comme une relation entre votre navigateur et le site Web.

Considérez WPA2-PSK comme relation entre votre appareil et votre point d'accès.

WPA2-PSK n'est PAS une relation entre votre appareil et votre routeur.Il s'agit d'une relation entre votre appareil et votre point d'accès sans fil.Le fait que le point d'accès sans fil soit souvent intégré dans la même boîte que le routeur (et le commutateur réseau) ne signifie pas qu'il s'agit de la même chose.Ainsi dans le cas proposé, le trafic hertzien est bien crypté, mais il est décrypté dans le point d'accès avant d'atteindre le commutateur ou le routeur.Même si vous avez un appareil tout-en-un, le point d'accès est connecté à un commutateur, le routeur est également connecté au commutateur.Tout le trafic traversant le commutateur n'est pas chiffré.
A. Darwin
2016-10-01 15:38:00 UTC
view on stackexchange narkive permalink

Lorsque vous exécutez Wireshark sur un ordinateur, vous capturez le trafic que l'ordinateur peut "voir".

Si vous exécutez Wireshark tout en naviguant sur des sites Web HTTP, l'ordinateur "voit" les données en texte clair , car le cryptage Wi-Fi se produit au niveau du routeur / point d'accès, appelé "couche de liaison".

Si, par contre, vous exécutez Wireshark tout en naviguant sur des sites Web HTTPS, Wireshark "voit "données chiffrées, même si vous n'utilisez pas le chiffrement Wi-Fi, car le chiffrement HTTPS (SSL / TLS) se produit au niveau du navigateur ou, plus précisément, au niveau de la" couche application ".

Pensez-y façon.

Un point d'accès permet à plusieurs appareils de se connecter à Internet. Sans aucun type de cryptage, n'importe quel appareil (qu'il soit à l'intérieur ou à l'extérieur du réseau sans fil) serait capable de "voir" le trafic en texte clair depuis et vers n'importe quel appareil connecté au réseau. Le cryptage Wi-Fi empêche les appareils en dehors du réseau de voir votre trafic (c'est pour cela que la phrase de passe est utilisée) et empêche les appareils à l'intérieur du réseau de s'espionner (simplifiant un peu, les données sont cryptées avec des clés différentes pour chaque appareil). Par conséquent, si Alice et Bob sont connectés au point d'accès AP, non seulement Eve (qui est en dehors du réseau) ne peut pas voir le trafic lié à Alice et Bob, mais Bob ne peut pas voir ce que fait Alice, et vice versa.

Cependant, le propriétaire du réseau Wi-Fi peut facilement voir ce que font Alice et Bob.

L'analogie

Pensez au chiffrement (pour le moment) comme une série de tubes, et aux données comme des lettres envoyées à travers ces tubes.

Le réseau sans fil est une immense pièce où vous pouvez lire, écrire et transmettre des messages, car il comprend également un bureau de poste (point d'accès).

Le bureau de poste permet d'envoyer vos lettres à quelqu'un en utilisant une autre boîte, peut-être à l'autre bout du monde. Il le fait en vérifiant l'adresse inscrite sur la lettre et en lui envoyant.

Si le cryptage Wi-Fi est utilisé, la salle est verrouillée et chaque utilisateur dispose d'un tube distinct, à travers lequel il peut envoyer et recevoir des messages.

L'Internet est tout ce qui se trouve à l'extérieur de l'immense salle . Alice et Bob sont à l'intérieur de la pièce, Eve est à l'extérieur de celle-ci.

Clause de non-responsabilité: par souci de brièveté, talk = écrire et lire dans ce contexte

1) Si la pièce n'était pas verrouillée, sans tubes, et que vous envoyiez des cartes postales en texte clair ( pas de cryptage Wi-Fi, pas de HTTPS ), vous auriez un bureau de poste opérationnel (envoi et recevoir des lettres), mais très peu sûr. Alice pourrait récupérer les lettres envoyées par Bob et vice-versa. De plus, n'importe qui pouvait entrer dans le bureau de poste et attraper n'importe quelle lettre. En d'autres termes, ce serait un énorme gâchis.

2) Chiffrement Wi-Fi, pas de HTTPS correspond à une pièce verrouillée utilisant un tube par personne, de sorte qu'Alice ne puisse pas saisir les lettres envoyées ou reçues par Bob. De toute évidence, Eve qui n'est même pas dans la pièce, ne peut rien voir. Cependant, ces lettres sont des cartes postales en texte clair, ce qui signifie que le contenu n'est pas crypté. Cela signifie que le bureau de poste peut voir tout ce que vous envoyez et recevez.

Maintenant, vous n'aimerez peut-être pas cela. Pourquoi le bureau de poste devrait-il pouvoir lire vos messages s'il suffit de les envoyer? Vous êtes alors d'accord avec les personnes avec lesquelles vous communiquez et décidez d'écrire des cartes postales codées ou cryptées. Par exemple, HI MIKE deviendrait FJSDJHDNFSJ.

De cette façon, le bureau de poste ne peut pas comprendre de quoi vous et vos amis parlez.

3) Un système impliquant des cartes cryptées et une salle déverrouillée sans tubes distincts est similaire à pas de cryptage Wi-Fi, mais HTTPS . Ainsi, la poste ne sait pas ce que vous écrivez et lisez, et Eve (qui est à l'extérieur de la pièce verrouillée, mais peut voir vos lettres en sortant de la pièce) peut collecter ou copier vos messages mais ne peut pas les comprendre. Tout va bien, non? Et bien non. Bob, Eve et d'autres personnes (à la fois à l'intérieur et à l'extérieur du réseau) peuvent toujours voir à qui vous parlez.

4) Si le système implique une pièce verrouillée avec des tubes distincts et cartes postales cryptées, c'est similaire au cryptage Wi-Fi + HTTPS , ce qui est plutôt sympa. Personne ne sait de quoi vous parlez, et seul le bureau de poste sait à qui vous parlez.

TL; DR. Le protocole HTTP sur le Wi-Fi protégé par mot de passe permet vous et le propriétaire du point d'accès pour lire votre trafic, même si d'autres personnes sur le même réseau ne le peuvent pas.

HTTPS sur le Wi-Fi protégé par mot de passe signifie que vous seul pouvez lire votre trafic et que seul le propriétaire du point d'accès sait quels sites Web vous visitez.

En passant, si vous ne voulez pas que le propriétaire de l'AP sache quels sites Web vous visitez, vous devez utiliser d'autres solutions, y compris les VPN et Tor.

HTTP sur le Wi-Fi protégé par mot de passe vous permet, ainsi qu'à ** toutes les personnes connectées au même Wi-Fi **, de lire votre trafic, si le Wi-Fi utilise PSK (vous vous connectez en utilisant simplement un mot de passe)
@Josef Je me trompe peut-être, mais je pense que renifler le trafic des autres, si le Wi-Fi utilise PSK, n'est possible que si vous parvenez à capturer la poignée de main initiale.Si cela est correct, j'ai choisi de ne pas le mentionner, afin de simplifier un peu la réponse.Cependant, je pourrais le modifier, si vous pensez que c'est une remarque importante.
Vous pouvez toujours forcer une réassociation et le client créera une nouvelle poignée de main.Ainsi, dans la pratique, chaque Wi-Fi avec un PSK peut être reniflé.https://security.stackexchange.com/a/8593/37864 a plus de détails
De plus, de nombreux points d'accès empêcheront les périphériques sans fil de se voir par défaut (configurable, vous pouvez donc * permettre * aux périphériques sans fil de se voir).Cependant, tout appareil filaire sur le même réseau pourrait potentiellement voir le trafic des appareils sans fil, et ce trafic serait en clair, non chiffré.
kaidentity
2016-10-01 15:27:19 UTC
view on stackexchange narkive permalink

Le fait que votre wifi soit protégé par WPA2 signifie simplement que les signaux envoyés par voie hertzienne depuis votre ordinateur vers le routeur sont cryptés, rien d'autre. À partir de là (du routeur au saut suivant de votre FAI, puis éventuellement au serveur Web qui traite votre demande), le trafic n'est pas chiffré.
https, cependant, fournit un chiffrement de bout en bout. Une extrémité est votre navigateur (de votre côté), l'autre extrémité est le serveur Web servant la demande. De bout en bout signifie qu'aucune entité entre ces 2 extrémités ne peut voir le texte brut. Vérifiez un site Web https arbitraire et vous verrez: Wireshark ne peut rien voir car WireShark écoute sur l'interface réseau et ne reçoit les données qu'après que le navigateur les a déjà chiffrées. D'autre part, WPA2 n'est pas de bout en bout. Le périphérique réseau gère le chiffrement (et Wireshark intercepte les données avant que le périphérique ne le fasse). C'est pourquoi vous pouvez voir les données en texte clair.
Un point important à souligner ici est que ce que vous pouvez faire sur votre ordinateur, tout le monde peut faire sur chaque routeur Internet qui reçoit les données entre votre routeur wifi et le serveur Web. Par conséquent, considérez WPA2 comme un moyen de protéger la confidentialité de la partie transmise en direct de votre réseau domestique. Si vous voulez la confidentialité des communications qui transitent par Internet, les protocoles de chiffrement de bout en bout (comme https) sont la méthode de choix.

C'est la meilleure réponse ici, car c'est la plus précise.Même ainsi, WPA ne protège que le segment sans fil de votre réseau domestique.
Craig
2016-10-02 12:38:53 UTC
view on stackexchange narkive permalink

Il y a beaucoup d'idées qui circulent ici, avec divers degrés d'inexactitude.

WPAx crypte le trafic en direct, entre votre appareil et votre point d'accès sans fil (AP), et nulle part ailleurs (y compris le routeur).

Même si vous n'avez qu'un seul appareil que vous appelez un «routeur» ou un «modem», vous avez en fait (généralement) 4 appareils. Ils sont tous simplement intégrés dans le même boîtier pour plus de commodité et pour faciliter la configuration du réseau pour les utilisateurs à domicile. Sur mon (mes) propre (s) réseau (s), littéralement tous ces appareils sont physiquement séparés.

Vous avez:

  • Un modem: généralement câble ou DSL, qui relie les paquets Ethernet à partir de votre réseau domestique sur Internet
  • Un routeur: il achemine les paquets entre différents réseaux et dispose généralement de fonctionnalités de pare-feu pour la sécurité
  • Un switch Ethernet: tout ce un commutateur est sur le même réseau local (LAN)
  • Un point d'accès sans fil (AP): c'est ce à quoi vos appareils sans fil se connectent

WPAx uniquement crypte les paquets entre vos appareils et le point d'accès.

Le point d'accès déchiffre les paquets, les transforme en vieux paquets Ethernet réguliers et les transmet au commutateur. Tout autre élément branché sur ce commutateur pourrait potentiellement lire vos paquets en texte brut.

Votre routeur est également connecté au commutateur, et le modem est connecté soit au routeur, soit au commutateur.

Le chemin du trafic ressemble à ceci: 

  [périphérique ----- AP] ---- commutateur ---- routeur ---- modem -> Internet WPAx | | ordinateur, imprimante?

WPAx est un protocole de sécurité sans fil uniquement. Cela fait partie du chemin entre vos appareils et votre point d'accès. Si vous avez un ordinateur branché sur votre commutateur avec un câble, cet ordinateur pourrait voir votre trafic "sans fil" non chiffré, et de même tous les paquets qui vont à Internet via votre routeur et votre modem ne sont pas chiffrés.

i486
2016-10-03 13:13:50 UTC
view on stackexchange narkive permalink

Le cryptage WPA2-PSK sert à protéger les émissions radio sans fil entre la carte sans fil du PC et le routeur Wifi. La charge utile (données) transférée entre le client PC (c'est-à-dire le navigateur Web) et le serveur distant peut être cryptée (SSL, etc.) ou non - c'est une autre couche. Sans WPA2-PSK, toute personne à courte distance (~ 50 mètres) peut espionner tout votre trafic. Pour une comparaison simple, imaginez que le Wifi avec WPA2-PSK est un câble Ethernet allant à l'intérieur de votre maison où les personnes extérieures n'ont pas accès et sans WPA2-PSK, le même câble traverse un lieu public (rue, toit, etc.)

The Spooniest
2016-10-04 20:39:09 UTC
view on stackexchange narkive permalink

Bien qu'il existe une chose appelée "Protocole Internet", il n'y a pas de protocole unique qui compose Internet. Au contraire, Internet est composé de nombreux protocoles différents, dont plusieurs sont utilisés ensemble à tout moment pour former ce que l'on appelle une pile

La couche la plus basse de la pile est appelée couche de liaison , et elle gère la question de savoir comment obtenir un signal entre deux machines qui sont directement connectées d'une manière ou d'une autre. Ethernet est un exemple de protocole de couche liaison. Il en va de même pour le Wi-Fi, tout comme PPP (utilisé le plus célèbre par les modems, mais DSL et les téléphones portables l'utilisent également dans les coulisses).

La couche suivante est appelée couche Internet , et il gère la question de savoir comment obtenir un signal entre deux machines qui ne sont pas directement connectées, en utilisant une série de machines qui le sont. IP (le «protocole Internet» que j'ai mentionné ci-dessus) vit ici. Notez que la couche de liaison n'a pas besoin de savoir ou de se soucier comment les machines sont connectées: il est théoriquement possible que vos données passent par Wi-Fi, Ethernet, PPP et des types de liens plus exotiques sur le chemin de sa destination, et cela ne fera aucune différence.

Au-dessus se trouve la couche de transport , qui prend le signal et le transforme en données significatives. . TCP, qui collecte ces signaux et les transforme en «connexions» plus durables, vit ici. Il en va de même pour UDP, qui se préoccupe moins des connexions et ne fait qu'exploser des bits de données dans les deux sens. tout comme un certain nombre d'autres choses.

Enfin vient la couche application , où les données de la couche de transport sont interprétées à des fins particulières. HTTP vit ici, tout comme divers protocoles de messagerie, la plupart des protocoles de jeu et la plupart des autres choses auxquelles nous avons tendance à penser lorsque nous pensons à Internet.

La raison pour laquelle tout ce qui précède est important est que le chiffrement du trafic Web n'affecte que les couches au niveau ou en dessous de la couche où le chiffrement a lieu . Le WPA protège le Wi-Fi, qui est un protocole de couche liaison: le trafic est en effet chiffré, mais uniquement entre les deux machines directement connectées, car c'est ainsi que fonctionnent les protocoles de couche liaison. Wireshark voit le texte en clair car au moment où le trafic y parvient, il a déjà été décrypté .

Pour empêcher Wireshark de détecter le contenu d'une connexion, vous devez le chiffrer dans une couche supérieure à celle de Wireshark, afin qu'il n'ait pas été déchiffré au moment où Wireshark le voit . C'est à cela que sert SSL / TLS. Il fonctionne dans la couche application (bien qu'il agisse comme une autre couche de transport, d'où le nom "Transport Layer Security"), donc si vous exécutez Wireshark dessus, il verra du texte chiffré. Il existe en fait existe des moyens de contourner ce problème avec Wireshark, mais ils impliquent de modifier fondamentalement la connexion afin que Wireshark puisse agir comme un homme du milieu. Ce n'est pas quelque chose que vous pouvez faire à moins que vous ne connaissiez déjà les clés de chiffrement que la connexion utilisera.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...