Beaucoup de serrures et de cadenas connectés fonctionnant en bluetooth n’offrent pas de sécurité suffisante vis à vis d’une attaque informatique toute simple. C’est ce qu’ont découvert Anthony Rose, ingénieur en électricité, et son collègue Ben Ramsey.
Ouverture par smartphone
Anthony Rose a pris la parole le 8 août à l’occasion de la conférence Def Con qui se tient à Las Vegas. Ces serrures et ces cadenas sont destinés à être ouverts via le smartphone qui transmet le bon mot de passe via bluetooth.
Sur 16 verrous connectés qu’il a testés 12 n’offrent pas de sécurité. Quatre solutions transmettent les mots de passe en clair sur le réseau bluetooth. Il s’agit de Quicklock doorlock (une serrure connectée pour une porte intérieure) et padlock (un cadenas connecté), IBluLock padlock (cadenas connecté), et de Plantrace Phantomlock (serrure pour porte intérieure).
Sur 16 serrures connectées testées, 12 n’offrent pas une sécurité suffisante
Les serrures et cadenas Quicklock, modèles Doorlock et Padlock, permettent même au hacker de changer lui-même le mot de passe, et donc d’empêcher le légitime propriétaire d’ouvrir le verrou. On peut remettre à zéro le mot de passe en retirant la batterie, mais on ne peut retirer la batterie qu’en débloquant le verrou. Bref on est coincé.
Reste que les usages de ces verrous pour porte ciblent souvent l’intérieur d’un domicile afin d’empêcher par exemple un enfant d’entrer dans une pièce en particulier. La sécurité informatique pour ces portes ne semblent donc pas critique. C’est plus ennuyeux pour les cadenas destinés à protéger un vélo ou un casier ou pour la serrure d’une porte de chambre d’hôtel.
Enregistrer le mot de passe chiffré
Cinq autres serrures présentent un autre type de vulnérabilité. Elles permettent de réutiliser la procédure de connexion une fois qu’elle a été enregistrée même si le mot de passe est chiffré. Cela concerne les solutions Ceomate Bluetooth Smart Doorlock (produit chinois pour porte souffrant d’une absence de documentation), Lagute Sciener Smart Doorlock (produit chinois pour porte), Vians Bluetooth Smart Doorlock (produit pour porte), et des systèmes Elecycle EL797 (cadenas) et EL797G (cadenas). Ces produits sont plus solides d’un point de vue matériel et visent notamment l’équipement des portes de chambre d’hôtel.
Autre cas, en envoyant des données au hasard sur les verrous, celui de Okidokeys (solution commercialisée en France) est passé en mode erreur, et la porte s’est ouverte. Il a été plus dur d’ouvrir le cadenas Mesh Motion Bitlock bicycle lock. Grâce à un logiciel gratuit, il a été possible de se placer au milieu des échanges, et d’ouvrir le cadenas.
Force brute
Dernier cas, la serrure Kwickset Kevo dispose d’un logiciel très sécurisé, mais il a suffi d’un tournevis pour l’ouvrir en quelques secondes. Anthony Rose souligne qu’il a contacté les fournisseurs qui se sont montrés à peine intéressés par ses découvertes et ne semblent pas partis pour améliorer la sécurité de leurs produits.
Les fabricants se sont montrés peu intéressés par les résultats de ces tests
Au final quatre cadenas ont résisté. Ce sont ceux de Noke Locks, Masterlock, Kwikset et August bien que Anthony Rose reconnaisse qu’il existe apparemment des solutions sur Youtube montrant comment ouvrir les cadenas Kwikset Kevo et August smart lock.
Afin d’espionner les échanges via bluetooth, Anthony Rose s’est constitué un boîtier avec un processeur Raspberry Pi, une antenne radio, et un dongle bluetooth. Le tout pour moins de 100 €.
Article fort intéressant sur ces nouvelles technologies. Dommage que la sécurité ne soit pas encore au RDV pour protéger, nos serrures et nos habitations.