De plus en plus de serrures fonctionnent désormais grâce au numérique. Qu’ils se déclenchent à distance via un smartphone, qu’ils soient dotés d’un lecteur d’empreintes digitales ou qu’ils utilisent un code pin, ces dispositifs semblent convaincre les consommateurs qui sont toujours plus nombreux à en équiper leurs portes. Mais sont-ils vraiment fiables ?
La majorité des serrures pas fiables ?
Il y a quelques jours, deux hackers ont prouvé pendant la conférence DEF CON que les serrures connectées ont de gros soucis de sécurité. Bien que l’on reconnaisse leur côté pratique, puisqu’il n’est plus nécessaire d’avoir sur soi de clé, ni de perdre de temps à les trouver au fond d’un sac, et qu’elles proposent des services intéressants (comme laisser entrer certaines personnes à des heures précises, déverrouiller à distance via son mobile…), elles n’en restent pas moins des gadgets qui pêchent au niveau de la sécurité.
Anthony Rose et Ben Ramsay l’ont démontré en août dernier, lors de la DEF CON. Ces experts ont analysé 16 serrures connectées et 12 d’entre elles ont présenté plusieurs failles de sécurité. Plus étonnant, ces problèmes ne sont pas récents et connus des fabricants qui pour autant ne font rien pour améliorer leur dispositif.
Attention au Bluetooth
Parmi les problèmes rencontrés, des serrures qui vont faire apparaitre sans le crypter le mot de passe, permettant à qui le souhaite de le récupérer en observant les communications Bluetooth, d’autres qui ne sécurisent pas les données envoyées, celles-ci pouvant donc également être interceptées afin d’ouvrir la serrure.
Du côté des marques, Quicklock Doorlock & Padlock, Plantraco Phamtomlock et iBlulock Padlock font figure demuavais élèves. Les pirates équipés d’un sniffer peuvent découvrir les mots de passe depuis leur véhicule.
Chez Okidokeys, qui propose un format de chiffrement propriétaire supposé très fiable, les deux hackers ont procédé à un fuzzing, un test à données aléatoires qui a permis de faire planter le programme, et d’ouvrir la serrure.
Si les serrures connectées sont une belle avancée technologique, mieux vaut pour le moment tester le dispositif sur une porte qui ne serait pas celle de l’entrée de chez soi ! Enfin, couper le Bluetooth du smartphone utilisé quand on n’accède pas à l’application de la serrure est une recommandation importante.