Méthodes pour capturer ses indentifiants PPPoE inconnus .

[laliche]

Le reset de tout modem efface les paramètres de configuration du protocole PPPoE y compris les identifiants d'accès internet que souvent seul votre FAI les connait. Il faut connaitre connaitre impérativement ces identifiants avant de lancer dans un reset pour éviter de retourner à l'Actel pour reconfigurer le modem.  Il existe 2 méthodes pour récupérer les identifiants PPPoE.

1. La méthode via l'outil Intercepter du navigateur

Comme nous avons discuté sur  ForumDZ, l''inspecteur du navigateur peut révéler un mot de passe masqué par des étoiles sur l'interface d'administration d'un modem, mais seulement si vous avez déjà accès à cette page. Il suffit d'accéder à la page de configuration PPPoE=>Ouvrir l'outil Inspecter du navigateur et remplacer "password" par "txt"

Sur la majorité des modems Huawei (HG8245H, HG8145V5, etc.) fournis par les FAI, les identifiants PPPoE sont masqués ou chiffrés même avec le compte administrateur standard:

Sur un Compte Utilisateur/Admin standard le mot de passe PPPoE est soit absent de l'interface, soit affiché sous forme d'étoiles (*****) non révélables via l'inspecteur navigateur (la valeur est souvent remplacée dynamiquement par des astérisques). La première méthode suffit dans ce cas.

Sur les modems FiberHome la sécurité variable :

-Avec le Compte Standard comme chez Huawei, le mot de passe est souvent masqué ou chiffré dans la configuration.

-Par contournement : Des scripts JavaScript (à exécuter dans la console du navigateur en étant connecté en admin) ou l'accès Telnet (si activé) sont souvent nécessaires pour extraire les identifiants. Certains utilisateurs rapportent que le mot de passe PPPoE est parfois défini par défaut sur le numéro de téléphone ou le MAC address du modem, mais ce n'est pas une règle générale.

2. La méthode d'interception sur Kali Linux

Pour les cas nécessitant le compte Super Administrateur il existe un outil fonctionnant sur Kali Linux conçu pour intercepter les identifiants PPPoE (nom d'utilisateur et mot de passe) utilisés par les routeurs pour se connecter à Internet. Il fonctionne en créant un faux serveur PPPoE pour capturer les informations d'authentification transitant sur le réseau et nécessite généralement un environnement Kali Linux (ou Kali Nethunter sur Android Rooté) pour être exécuté.
 

Révélation

L'outil pppoe-fake intercepte exclusivement les identifiants de connexion PPPoE (nom d'utilisateur et mot de passe) utilisés par votre routeur pour s'authentifier auprès du fournisseur d'accès à Internet (FAI).

L'outil pppoe-fake (aussi appelé PPPoE-Phisher) développé par xz127 sur GitHub

Notez qu'il ne capture pas les identifiants Wi-Fi ni les mots de passe d'administration du routeur.

 

Prérequis

Un appareil compatible avec Kali Linux (ordinateur) ou Kali Nethunter (smartphone Android rooté).

Une connexion réseau permettant l'écoute du trafic PPPoE (souvent en mode moniteur ou sur un segment réseau partagé).

Les droits root (super-utilisateur) pour exécuter les scripts.

Les dépendances pppoe et tshark (Wireshark en ligne de commande).

Instructions étape par étape

Téléchargement et installation Récupérez le dépôt depuis GitHub et lancez le script d'installation automatique qui configure le serveur PPPoE et installe les outils nécessaires (comme tshark):

wget https://github.com/xz127/pppoe-fake/update.sh. update.sh

Alternative manuelle : Si le script automatique ne fonctionne pas, clonez le dépôt et exécutez le script d'installation avec les privilèges root :

sudo ./install.sh

Exécution de l'outil Une fois l'environnement configuré, lancez le script principal de phishing PPPoE. Ce script va démarrer le faux serveur et commencer à renifler (sniffer) le trafic à la recherche de paquets d'authentification :

sudo ./pppoephisher.sh

Récupération des identifiants

Laissez l'outil tourner en attendant qu'une cible tente de se connecter ou renégocie sa connexion PPPoE. Les identifiants interceptés (nom d'utilisateur et mot de passe) s'afficheront directement dans la console ou seront enregistrés dans les fichiers de logs de tshark selon la configuration du script.

Détails des identifiants interceptés
1. Identifiants PPPoE (Cible principale)

C'est le seul type de donnée que cet outil est conçu pour intercepter.

Ce qui est capturé : Le nom d'utilisateur (souvent sous la forme user@fai ou macaddress@fai) et le mot de passe associés à votre abonnement Internet.

Comment ça marche :

L'outil crée un faux serveur d'accès. Lorsqu'un routeur  tente de se connecter (ou forcé de se reconnecter), il envoie ces identifiants. Si l'authentification utilise le protocole PAP (Password Authentication Protocol), les identifiants transitent en clair et sont immédiatement lisibles. Si le protocole CHAP est utilisé, les identifiants sont hachés et nécessitent des outils supplémentaires (comme dechap)  pour être récupérés.

Usage : Avec ces identifiants, un abonné peut récupérer ses identifiants PPPoE afin  de re-configurer son propre routeur pour pouvoir se reconnecter à Internet après un reset du modem sans se déplacer à l'Actel

Ce qui N'EST PAS intercepté

Identifiants Wi-Fi (Clé WPA/WPA2) : L'outil n'agit pas sur la couche Wi-Fi. Il ne capture pas la clé de sécurité de votre réseau sans fil.

Accès Admin du routeur : L'outil n'intercepte pas les identifiants permettant de se connecter à l'interface de gestion du routeur en mode Administrateur. Ces identifiants ne transitent pas sur le câble Ethernet lors de la négociation PPPoE.

 

Modifié il y a 1 heure par laliche