Smart home : ces serrures connectées non sécurisées

Connaissez-vous les serrures connectées ?

La Smart home ou maison intelligente en français est un sujet qui monte. C’est vrai que c’est tellement pratique de pouvoir contrôler, à distance sa maison, depuis son smartphone. Hors, les objets connectés sont malheureusement peu sécurisés. C’est encore plus problématique quand il s’agit du verrou de la porte d’entrée… Une étude vient de montrer que la plupart des serrures connectées que l’on trouve sur le marché peuvent facilement être ouvertes par un inconnu.

Lors d’une conférence à Las Vegas en août 2016, Anthony Rose, chercheur en cybersécurité, a exposé la fragilité d’un objet connecté bien précis : les serrures de porte. Anthony Rose souhaitait au début simplement effectuer un test en utilisant un équipement servant à détecter des connexions Bluetooth. En voyant qu’un nombre important de serrures connectées apparaissaient dans son voisinage, il a alors décidé d’intercepter les données envoyées et reçues par ces appareils. Il s’agit de cette pratique que l’on appelle le « sniffing ». Il a alors été surpris de constater qu’ils transmettaient leurs identifiants sans forme aucune de cryptage.

Il a donc poussé l’expérience et ainsi acheté seize serrures connectées différentes afin de les tester chacune individuellement. Et le résultat fait peur : douze des seize serrures sont en effet très mal, voire pas du tout sécurisées. Quatre d’entre elles transmettent des mots de passe qui ne sont même pas cryptés, à savoir, le Quicklock Doorlock, Quicklock Padloock, iBluLock Padlock et Plantraco PhantomLock. Un cybercriminel n’a donc qu’à intercepter ces données pour connaître les identifiants. La marque Quicklock est très mal sécurisée : elle n’autorise qu’une longueur de mot de passe de 6 caractères maximum. Quelqu’un qui s’y connaîtrait même très peu en technologies pourrait en prendre facilement prendre le contrôle et bloquer l’accès à la serrure à son propriétaire. Le seul recours possible serait d’enlever la batterie qui n’est toutefois accessible que quand la porte est ouverte.

Pour quatre autres modèles de serrures, quelqu’un de mal intentionné ne pourra savoir le code de verrouillage et de déverrouillage car le système le transforme pour ne pas qu’il soit directement lisible. Mais en interceptant simplement les échanges, un intrus pourra toutefois copier les données associées à ce code valide puis le reproduire. Une fois le code capté, le voleur pourra le renvoyer autant de fois qu’il le veut, et donc activer ou désactiver comme il le veut la serrure. Voici la liste des produits qui ont cette faille de sécurité :  Ceomate Bluetooth Smartlock, Elecycle Smart Padlock, Vians Bluetooth Smart Doorlock et Lagute Sciener Smart Doorlock.

Pour finir, d’autres produits comme Okidokey Smart Doorlock, Danalock Doorlock ou Mesh Motion Bitlock Padlock présentent aussi des failles diverses et variées : mot de passe codé en dur avec le même mot de passe, « thisisthesecret », installé par défaut sur tous les produits et malheureusement non-modifiable. On voit aussi une serrure qui comporte un défaut et s’ouvre lorsque l’on modifie son identifiant unique.

Le chercheur a aussi précisé que les quatre serrures qui n’ont pu être compromises, en l’occurrence Noke Padlock, Masterlock Padlock, Kwikset Kevo Doorlock et August Doorlock, ne sont toutefois pas exemptes de défauts. L’une d’entre elles, dont la sécurité informatique semble pourtant très robuste, pouvait encore jusqu’à ce qu’il y a peu de temps être mise hors service en quelques secondes simplement en enfonçant un tournevis dedans.

Sur les 12 fabricants concernés, contactés par Anthony Rose, 10 n’ont pas répondu, un a fermé son site web mais continue à commercialiser ses produits sur Amazon, et le dernier a répondu qu’il ne comptait pas prendre en compte de mesure particulière.

Certes, il ne s’agit ici que de 16 modèles de serrures connectées testées. Mais sur un marché de la smart home en plein essor,  cette démonstration nous rappelle une nouvelle fois que l’Internet des Objets présente des risques de sécurité non négligeables pour les données personnelles. Et les techniques simples pour ce type de hacking sont accessibles sur internet à toute personne n’ayant même pas de connaissances approfondies.

Pour votre maison intelligente comme pour tous vos autres objets connectés, utilisez un VPN. Car un VPN permet notamment de crypter les données. Le cryptage est une fonction standard des services VPN qui garantit que, même si des pirates ou des logiciels malveillants arrivent à capter votre connexion et / ou vos données, celle-ci ne seront toutefois pas déchiffrables. Un VPN masque l’adresse IP et bloque la géo-localisation, les gardant à l’abri des regards indiscrets. Vous pourrez ainsi faire croire que votre adresse IP est basée dans un autre pays, même si vous êtes tranquillement chez vous. Alors n’attendez pas pour protéger votre smart home.