Beau paradoxe. Les serrures connectées, censées protéger davantage votre habitation, sont de vraies passoires. C’est ce qui ressort de la conférence DefCon qui s’est achevée le week-end dernier à Las Vegas.
Représentants de la société Merculite Security, les chercheurs Anthony Rose et Ben Ramsey ont annoncé avoir réussi à hacker 12 serrures connectées sur 16. Et pour cela, pas besoin de matériel sophistiqué. Ils ont utilisé des composants fabriqués en série pour un montant total de seulement 200 dollars. Ils ont détecté plusieurs types de failles. Qui ne mettent pas en cause le protocole Bluetooth Low Energy lui-même, mais la façon dont le verrou communique avec le smartphone du propriétaire.
Des données non chiffrées
Pour commencer, certains modèles de Quicklock Doorlock & Padlock, iBlulock Padlock et Plantraco Phantomlock font transiter les mots de passe en clair lors des transmissions Bluetooth. Ce qui les rend vulnérables à tous les pirates équipés d’un sniffer. Cet appareil embarqué dans une voiture permet de balayer les réseaux sans fil avec une portée de 400 mètres environ. Idéal pour repérer les communications des serrures connectées non protégées. Il ne reste alors plus qu’à s’y connecter.
En outre, des serrures connectées des marques Ceomate, Elecycle, Vians et Lagute Sciener envoient deux fois de suite le mot de passe à l’utilisateur. Nos compères ont du coup procédé à une attaque par rejeu, c’est-à -dire qu’ils se sont servis du deuxième message intercepté pour bloquer le mot de passe de l’utilisateur légitime. Ce dernier ne pouvait alors le réinitialiser qu’en retirant la batterie … ce qui nécessitait de déverrouiller la serrure.
Un mode échec pour déclencher l’ouverture
L’attaque par force brute, qui consiste à tester toutes les combinaisons possibles, a fonctionné avec Quicklock et iBlulock. Mais pour la marque Okidokeys qui vante son format de chiffrement propriétaire, Merculite Security a procédé à du fuzzing, c’est-à-dire un test à données aléatoires. Ils ont ainsi réussi à faire planter le programme en mode échec ce qui a eu pour effet d’ouvrir la serrure. Autre technique efficace, le recours à un décompilateur pour accéder au code source de l’application Android. La méthode a permis d’accéder à des mots de passe aussi sophistiqués que “thisisthesecret” codés en dur.
Citons encore un autre procédé consistant à utiliser un serveur web pour générer de nouveaux mots de passe, le propriétaire croyant se connecter aux serveurs de son application. L’imagination de nos deux conférenciers a été sans limite.
Quatre dispositifs ont tout de même résisté à toutes leurs attaques informatiques : Noke padlock, Masterlock Padlock, August Doorlock et Kwikset Kevo Doorlock. Ils ont tous pour particularité de fonctionner avec un chiffrement propriétaire et de ne pas coder les mots de passe en dur. Mais ne vous rassurez pas trop vite : des petits malins sur Youtube montrent comment déverrouiller la Kwikset Kevo avec un simple tournevis !
La recommandation ultime des experts : couper le Bluetooth de votre smartphone quand vous n’utilisez pas l’application compagnon de votre serrure connectée.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.