Voici pourquoi ce n’est pas une bonne idée d’acheter un cadenas « intelligent »

7 Mai 2019

J’ai récemment regardé toutes les vidéos de la chaîne YouTube LockPickingLawyer. Ces vidéos nous apprennent beaucoup de choses, surtout si vous n’avez jamais entendu parler du commerce qui existe autour du crochetage. Il y a surtout un élément qui a attiré mon attention : le mauvais résultat des cadenas « intelligents » lorsqu’il s’agit de sécurité physique.

Avertissement : je pense qu’il serait excessif d’utiliser des guillemets ironiques dans tout le texte, et c’est pourquoi je ne vais pas le faire. N’oubliez pas que chaque fois que j’utilise le mot intelligent j’ajoute mentalement des guillemets, « intelligent ». Il en est de même pour le mot « cadenas ».

Analysons d’abord le cadenas intelligent pour bagage, eGeeTouch, qui devrait normalement s’ouvrir à partir d’une application installée sur votre smartphone ou d’un tag NFC (Near Field Communication). Peu importe qu’il s’agisse d’une clé passe-partout de la TSA que n’importe qui peut imprimer en 3D et utiliser pour ouvrir n’importe quel cadenas de bagage, et donc faire que n’importe quel verrou soit parfaitement inutile. Ce petit cadenas rend les choses encore pires. Il a été si mal conçu qu’il peut être entièrement démonté et facilement ouvert à l’aide d’un couteau de poche, voire d’une carte en plastique.

Il en va de même pour le cadenas à empreinte digitale Pavlit. Retirez le plastique du devant à l’aide d’un tournevis ou d’un couteau de poche, et vous aurez accès au poussoir qui débloque le verrou. D’ailleurs ce cadenas souffre d’une autre vulnérabilité critique puisqu’il pourrait s’ouvrir grâce à un système de cale.

Un autre exemple : le cadenas intelligent pour vélo TurboLock TL-400KBL. Ce cadenas a été conçu pour être ouvert à partir de l’application de votre smartphone en Bluetooth, ou après avoir saisi un code PIN sur le clavier. Même si vous n’êtes pas un expert en sécurité physique, vous pouvez deviner quelles sont les faiblesses de ce cadenas : il est en plastique et il ne serait probablement pas difficile de le casser, ou de le brûler. Ces actions destructives ne sont pas nécessaires dans ce cas puisque le cadenas peut facilement être démonté à l’aide d’un tournevis. Ce n’est pas plus difficile que de démonter un jouet en plastique.

Voyons maintenant ce qu’il en est de Uervoton, un cadenas à empreinte digitale. Il a un corps en métal et semble donc plutôt solide. Il serait donc impossible de l’ouvrir grâce à un couteau de poche ou un tournevis, n’est-ce pas ? Malheureusement la conception est terrible : plusieurs vis au niveau de la serrure peuvent facilement être dévissées, après quoi le cadenas tombe en morceaux.

Enfin, nous avons BoxLock, qui est probablement le cadenas intelligent le plus raisonnable. Vous pouvez le programmer afin qu’il s’ouvre après avoir scanné le code barre qui figure sur un paquet de livraison. Ce cadenas semble assez costaud à première vue, mais il n’est pas aussi résistant qu’il n’y paraît. Vous n’avez besoin que d’un tournevis pour le démonter, et ce même lorsqu’il est fermé.

La chaîne YouTube LockPickingLawyer analyse bien d’autres cadenas intelligents, mais ils rencontrent tous le même problème : ils ont été conçus comme appareils électroniques grand public, et c’est pourquoi ils sont vulnérables aux attaques physiques les plus simples.

Les cadenas conventionnels ont un design complètement différent. Tout d’abord, leur corps est toujours en métal et en un seul bloc. Ensuite, les vis sont généralement cachées, et il y a toujours au moins une vis à laquelle il est impossible d’accéder si le cadenas n’est pas déverrouillé. Enfin, pour pouvoir résister aux systèmes de cale, les cadenas forts utilisent mécanisme de verrouillage avec roulements à billes. Il y a bien d’autres choses mais ces aspects sont des éléments de base. Même les cadenas bon marché suivent ces principes. Le cadenas Yale est un très bon exemple :

Malheureusement, les fabricants de cadenas intelligents ne semblent pas connaître ces caractéristiques et exposent leurs clients aux attaques, y compris les plus simples. Réfléchissez-y à deux fois avant d’acheter un cadenas intelligent. Il est fort probable que vous payiez beaucoup plus cher et que vous soyez moins bien protégé. Vous voulez sûrement un cadenas sécurisé, sinon pourquoi en acheter un ?