Au pays d'Hadopi, voilà un service qui pourrait faire des heureux. WPA Cracker, qui porte bien son nom, se propose en effet de casser pour vous une clé WiFI de type WPA-PSK en une vingtaine de minutes, en échange de 34 dollars. Pour mener à bien en un aussi court laps de temps cette opération, qui peut prendre plusieurs jours si l'on essaie de la réaliser sur un ordinateur particulier, le service explique faire appel à une grappe de 400 processeurs.
Officiellement, le service ne sert qu'à récupérer l'accès à un réseau sans fil dont on aurait perdu les identifiants. Cela dit, aucun contrôle n'est effectué sur les données fournies par l'utilisateur, et l'on peut donc a priori l'utiliser sans le moindre problème pour obtenir la clé d'un WiFi protégé auquel son propriétaire ne souhaite pas qu'on se connecte.
Le travail de déchiffrement de la clé est effectué à l'aide d'outils bien connus des initiés, disponibles en libre accès sur Internet. Sa valeur ajoutée réside donc dans la puissance de calcul mise à disposition des clients. Ici, le logiciel tentera de casser la clé par la méthode du dictionnaire, basée sur un index de 135 millions de mots.
A la différence de l'attaque dite brute force, qui consiste à tester toutes les combinaisons possibles et demande donc des ressources colossales dans le cas d'une clé qui peut compter dix ou vingt caractères, l'attaque par dictionnaire essaie teste une série de mots de passe potentiels en puisant dans un index qui référence tous les mots, noms propres et autres termes que le propriétaire de la ligne est susceptible d'avoir utilisé en guise de clé.
Dans la mesure où WPA Cracker n'emploie que cette seconde méthode, le service sera incapable de trouver une clé complexe, suite de caractères sans queue ni tête (HFOP12CJUDN), mais a des chances de venir à bout de clés basées sur des mots courants (jaimelesloutres, homesweethome). WPA Cracker vous promet que ses 135 millions de clés seront testées, mais ne garantit pas le déchiffrement de la clé.
Bien que simplifiée, la manipulation n'est peut-être pas à la portée du grand public, dans la mesure où il faudra avoir été capable de récupérer un certain nombre de paquets circulant sur le réseau pour que le déchiffrement puisse commencer. Le risque ne concerne en outre que les clés WPA ou WPA2 faisant appel au PSK. Les réseaux chiffrés en AES resteront donc à l'abri.