La smart home a le vent en poupe. Quoi de plus pratique que de pouvoir contrôler et paramétrer sa maison, à distance, depuis son smartphone ? Sauf que les objets connectés sont souvent très mal sécurisés. Quand il s’agit du réfrigérateur, cela passe encore. Mais pour le verrou de la porte d’entrée ? Un chercheur vient de démontrer que la majorité des serrures connectées du marché peuvent être ouvertes par un inconnu, et sans grands efforts.
Lors d’une présentation à la conférence Def Con de Las Vegas le 8 août, le chercheur en cybersécurité Anthony Rose a exposé la fragilité d’un type très particulier d’objet connecté : les serrures de porte.
A l’origine, le chercheur voulait simplement tester un équipement servant à détecter des connexions bluetooth.
En voyant qu’un nombre important de serrures apparaissaient dans son voisinage, il a décidé d’intercepter les paquets de données envoyés et reçus par ces appareils (une pratique appelée « sniffing ») et a été surpris de constater qu’ils transmettaient leurs identifiants sans aucune forme de cryptage.
12 serrures mal sécurisées SUR 16 testées
Il a donc poussé l’expérience plus loin, en achetant 16 serrures connectées différentes pour les tester une par une. Le bilan n’est pas glorieux : 12 des 16 serrures sont très mal (voire pas du tout) sécurisées. Quatre d’entre elles transmettent des mots de passe non-cryptés : les Quicklock Doorlock, Quicklock Padloock, iBluLock Padlock et Plantraco PhantomLock.
Un malfaiteur n’a qu’à intercepter ces données pour connaître les identifiants. La marque Quicklock est si mal sécurisée (n’autorisant qu’une longueur de mot de passe de 6 caractères maximum) qu’un attaquant un soupçon débrouillard peut prendre le contrôle de la serrure et en bloquer l’accès à son propriétaire, l’empêchant d’ouvrir la porte de chez lui.
Le seul recours est alors d’enlever la batterie… accessible uniquement lorsque la porte est ouverte.
Avec quatre autres modèles de serrures, la personne mal intentionnée ne pourra pas connaître le code de verrouillage et de déverrouillage puisque le système le transforme pour ne pas qu’il soit visible, mais en interceptant les échanges, elle pourra quand même copier les données associées à ce code valide puis le réémettre.
Une fois le code capturé, l’intrus peut le renvoyer autant de fois qu’il le souhaite, activant ou désactivant la serrure à loisir. Les produits concernés par cette faille sont les Ceomate Bluetooth Smartlock, Elecycle Smart Padlock, Vians Bluetooth Smart Doorlock et Lagute Sciener Smart Doorlock.
Enfin, d’autres produits comme le Okidokey Smart Doorlock, le Danalock Doorlock ou le Mesh Motion Bitlock Padlock présentent des failles différentes, aussi abérrantes les unes que les autres : mot de passe codé en dur (le même mot de passe, « thisisthesecret » en l’occurrence, présent par défaut sur tous les produits et non-modifiable), serrure qui bug et s’ouvre quand on modifie son identifiant unique, ou encore service cloud qui peut être trompé et prendre une Raspberry Pi pour la serrure, lui renvoyant le mot de passe.
Les conséquences physiques de l’absence de sécurité NUMÉRIQUE
Le chercheur a également indiqué que les quatre serrures qui n’ont pu être compromises (Noke Padlock, Masterlock Padlock, Kwikset Kevo Doorlock et August Doorlock), ne sont pas pour autant au-dessus de tout soupçon.
L’une d’entre elle, dont la sécurité informatique est très robuste, pouvait encore jusqu’à peu être mise hors service en quelques secondes simplement en enfonçant un tournevis dedans.
Le pire dans l’histoire est peut être que sur les 12 fabricants concernés, contactés par Anthony Rose, 10 n’ont pas répondu, un a fermé son site web mais continue de vendre ses produits sur Amazon, et le dernier a répondu mais ne compte rien faire.
Il ne s’agit là que de 16 modèles de serrures testés. Mais sur un marché de la smart home en plein boom, cette démonstration est le enième rappel que l’Internet des Objets dans sa forme actuelle présente des risques de sécurité considérables… et pas seulement pour les données personnelles. Toutes les attaques décrites ci-dessus peuvent être reproduites avec 200 euros d’équipements.
Un malfaiteur n’a qu’à laisser un sac dans un buisson au milieu d’un quartier et revenir le jour suivant en ayant récupérer tous les mots de passe à 500 mètres à la ronde. Plus besoin de casser un carreau, les voleurs n’ont qu’à regarder quelques tutoriels sur internet et aucune effraction ne sera commise.
www.usine-digitale.fr