Internet des objets

Trois raisons de ne pas utiliser de serrures connectées

Il vaut mieux les utiliser pour verrouiller des objets qui n’ont pas beaucoup de valeur ou qui ne sont pas indispensables. Ici, nous expliquons pourquoi.

Enoch Root
12 Mai 2023

Les serrures connectées peuvent être très pratiques. Il en existe de nombreuses sur le marché et de nombreux types différents. Certaines sont capables de détecter l’approche du propriétaire (ou plutôt de son smartphone) et de s’ouvrir sans clé. D’autres sont contrôlées à distance, ce qui vous permet d’ouvrir la porte à des amis ou à des membre de la famille sans être à la maison. D’autres encore proposent une vidéosurveillance : si quelqu’un sonne à la porte, vous voyez immédiatement la personne sur votre smartphone.

Cependant, les appareils connectés comportent des risques dont les utilisateurs de serrures hors ligne traditionnels n’ont jamais à se soucier. Une étude approfondie de ces risques révèle trois bonnes raisons de s’en tenir à l’ancienne méthode. Examinons-les de plus près…

Première raison : les serrures connectées sont physiquement plus vulnérables que les serrures traditionnelles

Le problème tient au fait que les serrures connectées combinent deux concepts différents. En théorie, ces serrures devraient comporter un composant connecté fiable, tout en offrant une protection solide contre les manipulations physiques, pour éviter qu’elles ne soient simplement ouvertes à l’aide d’un tournevis ou d’un canif, par exemple. La combinaison de ces deux concepts ne fonctionne pas toujours : il en résulte généralement soit une serrure connectée fragile, soit une serrure en fer robuste avec un logiciel vulnérable.

Dans une autre publication, nous avons déjà évoqué quelques exemples particulièrement flagrants de cadenas incapables de faire leur travail. Il s’agit notamment d’un joli cadenas doté d’un lecteur d’empreintes digitales, sous lequel se trouve un mécanisme d’ouverture potentiellement accessible à tout le monde (un levier). Sans oublier un antivol connecté pour les vélos, qui peut être démonté à l’aide d’un tournevis.

Exemple de serrure connectée physiquement vulnérable

Le panneau supérieur avec le lecteur d’empreintes digitales est facile à retirer à l’aide d’un couteau. Le mécanisme d’ouverture est accessible sous le panneau. Source.

Deuxième raison : problèmes avec le composant « connecté »

Il n’est pas non plus facile de sécuriser suffisamment le composant « connecté ». Il est important de se rappeler que les développeurs de tels appareils privilégient souvent les fonctionnalités au détriment de la protection. L’exemple le plus récent est l’Akuvox E11, un appareil conçu non pas pour un usage domestique, mais pour les bureaux. L’Akuvox E11 est un interphone connecté doté d’un terminal pour recevoir le flux vidéo de la caméra intégrée et d’un bouton pour ouvrir la porte. Comme il s’agit d’un appareil connecté, vous pouvez le contrôler via l’application pour smartphone.

L’interphone Akuvox E11 présente de multiples vulnérabilités qui permettent à des personnes non autorisées d’accéder facilement aux locaux fermés. Source.

Le logiciel est conçu de manière à ce que n’importe qui puisse accéder à tout moment à la vidéo et au son de la caméra. Et si vous n’avez pas pensé à isoler l’interface Web du réseau Internet, n’importe qui peut contrôler l’interphone et ouvrir la porte. Il s’agit d’un exemple classique de développement de logiciels non sécurisés : les requêtes vidéo ne sont pas soumises à des vérifications d’autorisation ; une partie de l’interface Web est accessible sans mot de passe ; le mot de passe lui-même est facile à déchiffrer en raison du chiffrement avec une clé fixe qui est la même pour tous les appareils.

Vous voulez plus d’exemples ? En voici… Cet article traite d’une serrure qui laisse les intrus à proximité obtenir le mot de passe de votre réseau Wi-Fi. Ici, une serrure connectée protège mal le transfert de données : un pirate informatique peut espionner le canal radio et en prendre le contrôle. Et voici un autre exemple d’interface Web mal sécurisée.

Troisième raison : le logiciel doit être mis à jour régulièrement

Un smartphone classique reçoit des mises à jour pendant deux ou trois ans après sa sortie. Quant aux appareils IdO à petit budget, le suivi peut être interrompu encore plus tôt. Il est assez simple de mettre à jour un appareil connecté via Internet. Cependant, le suivi de ces appareils requiert des ressources et de l’argent de la part du fournisseur.

Ce point peut en soi constituer un problème. Par exemple, en cas de désactivation de l’infrastructure cloud par le fournisseur, l’appareil pourrait cesser de fonctionner. Toutefois, même si la fonctionnalité de verrouillage connecté est préservée, des vulnérabilités inconnues du fournisseur au moment de la sortie de l’appareil pourraient encore voir le jour.

Par exemple, en 2022, des chercheurs ont découvert une vulnérabilité dans le protocole Bluetooth Low Energy, que de nombreuses entreprises ont adopté comme norme d’authentification sans contact lors du déverrouillage de divers appareils (y compris les serrures connectées). Cette vulnérabilité ouvre la porte (pour ainsi dire) à des attaques dites « par relais », qui nécessitent que le pirate informatique soit à proximité du propriétaire de la serrure connectée et qu’il utilise un équipement spécial (mais relativement peu coûteux). Muni de ce matériel, le pirate informatique peut relayer les signaux entre le smartphone de la victime et la serrure connectée. La serrure connectée considère ainsi que le smartphone du propriétaire se trouve à proximité (et non dans un centre commercial à trois kilomètres de là), ce qui a pour effet de déverrouiller la porte.

Exemple de serrure connectée vulnérable aux attaques par relais

Une serrure Kwikset vulnérable à une attaque par relais utilisant un bug dans le protocole Bluetooth Low Energy. Source.

Étant donné que les logiciels de verrouillage connectés sont très complexes, la probabilité qu’ils contiennent des vulnérabilités graves n’est jamais nulle. Si une faille est découverte, le fournisseur doit publier rapidement une mise à jour et l’envoyer à l’ensemble des appareils vendus. Toutefois, que se passe-t-il si le modèle a été abandonné ou n’est plus pris en charge ?

Avec les smartphones, nous résolvons ce problème en achetant un nouvel appareil tous les deux ou trois ans. À quelle fréquence prévoyez-vous de remplacer une serrure de porte connectée à Internet ? Nous nous attendons généralement à ce que de tels appareils durent des décennies, pas quelques années (jusqu’à ce que le fournisseur ne fournisse plus d’assistance ou fasse faillite).

Alors, que faire ?

Il faut comprendre que toutes les serrures (pas seulement les serrures connectées) peuvent être forcées. Cependant, lorsque vous décidez d’installer un appareil connecté à la place d’une serrure standard, réfléchissez bien : avez-vous vraiment besoin de pouvoir ouvrir la porte à partir de votre smartphone ? Si vous répondez oui à cette question, tenez compte au moins des points suivants :

Recherchez des informations sur l’appareil en question avant de l’acheter.
Lisez non seulement les avis sur la facilité d’utilisation et les caractéristiques de la serrure connectée, mais aussi les rapports sur les problèmes ainsi que les risques éventuels.
Optez pour un appareil récent : il y a de fortes chances que le vendeur continue à en assurer le suivi un peu plus longtemps.
Une fois que vous avez acheté un appareil, examinez ses fonctions de mise en réseau et réfléchissez bien à leur utilité. Il serait judicieux de désactiver celles qui pourraient s’avérer dangereuses.
N’oubliez pas de protéger vos ordinateurs, surtout s’ils se trouvent sur le même réseau que la serrure connectée. Il serait doublement dommage qu’une infection de votre ordinateur par un programme malveillant entraîne également l’ouverture des portes de votre maison.

Cinq attaques utilisées pour voler les portefeuilles physiques de cryptomonnaie

Les portefeuilles physiques de cryptomonnaie protègent efficacement votre cryptomonnaie mais n’empêchent pas le vol. Voyons de quels risques les propriétaires doivent se protéger.

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

Trois raisons de ne pas utiliser de serrures connectées

Première raison : les serrures connectées sont physiquement plus vulnérables que les serrures traditionnelles

Deuxième raison : problèmes avec le composant « connecté »

Troisième raison : le logiciel doit être mis à jour régulièrement

Alors, que faire ?

Coupez la connexion Internet du NAS WD My Book Live immédiatement

Plus facile avec un pied-de-biche : pirater des accessoires connectés pour voitures

Cinq attaques utilisées pour voler les portefeuilles physiques de cryptomonnaie

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky