{"id":20473,"date":"2023-05-12T16:36:13","date_gmt":"2023-05-12T14:36:13","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20473"},"modified":"2023-05-12T16:36:13","modified_gmt":"2023-05-12T14:36:13","slug":"3-reasons-not-to-use-smart-locks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/3-reasons-not-to-use-smart-locks\/20473\/","title":{"rendered":"Trois raisons de ne pas utiliser de serrures connect\u00e9es"},"content":{"rendered":"

Les serrures connect\u00e9es peuvent \u00eatre tr\u00e8s pratiques. Il en existe de nombreuses sur le march\u00e9 et de nombreux types diff\u00e9rents. Certaines sont capables de d\u00e9tecter l\u2019approche du propri\u00e9taire (ou plut\u00f4t de son smartphone) et de s\u2019ouvrir sans cl\u00e9. D\u2019autres sont contr\u00f4l\u00e9es \u00e0 distance, ce qui vous permet d\u2019ouvrir la porte \u00e0 des amis ou \u00e0 des membre de la famille sans \u00eatre \u00e0 la maison. D\u2019autres encore proposent une vid\u00e9osurveillance\u00a0: si quelqu\u2019un sonne \u00e0 la porte, vous voyez imm\u00e9diatement la personne sur votre smartphone.<\/p>\n

Cependant, les appareils connect\u00e9s comportent des risques dont les utilisateurs de serrures hors ligne traditionnels n\u2019ont jamais \u00e0 se soucier. Une \u00e9tude approfondie de ces risques r\u00e9v\u00e8le trois bonnes raisons de s\u2019en tenir \u00e0 l\u2019ancienne m\u00e9thode. Examinons-les de plus pr\u00e8s\u2026<\/p>\n

Premi\u00e8re raison : les serrures connect\u00e9es sont physiquement plus vuln\u00e9rables que les serrures traditionnelles<\/h2>\n

Le probl\u00e8me tient au fait que les serrures connect\u00e9es combinent deux concepts diff\u00e9rents. En th\u00e9orie, ces serrures devraient comporter un composant connect\u00e9 fiable, tout en offrant une protection solide contre les manipulations physiques, pour \u00e9viter qu\u2019elles ne soient simplement ouvertes \u00e0 l\u2019aide d\u2019un tournevis ou d\u2019un canif, par exemple. La combinaison de ces deux concepts ne fonctionne pas toujours\u00a0: il en r\u00e9sulte g\u00e9n\u00e9ralement soit une serrure connect\u00e9e fragile, soit une serrure en fer robuste avec un logiciel vuln\u00e9rable.<\/p>\n

Dans une autre publication<\/a>, nous avons d\u00e9j\u00e0 \u00e9voqu\u00e9 quelques exemples particuli\u00e8rement flagrants de cadenas incapables de faire leur travail. Il s\u2019agit notamment d\u2019un joli cadenas dot\u00e9 d\u2019un lecteur d\u2019empreintes digitales, sous lequel se trouve un m\u00e9canisme d\u2019ouverture potentiellement accessible \u00e0 tout le monde (un levier). Sans oublier un antivol connect\u00e9 pour les v\u00e9los, qui peut \u00eatre d\u00e9mont\u00e9 \u00e0 l\u2019aide d\u2019un tournevis.<\/p>\n

\"Exemple<\/a>

Le panneau sup\u00e9rieur avec le lecteur d\u2019empreintes digitales est facile \u00e0 retirer \u00e0 l\u2019aide d\u2019un couteau. Le m\u00e9canisme d\u2019ouverture est accessible sous le panneau. Source<\/a>.<\/p><\/div>\n

Deuxi\u00e8me raison : probl\u00e8mes avec le composant \u00ab\u00a0connect\u00e9\u00a0\u00bb<\/h2>\n

Il n\u2019est pas non plus facile de s\u00e9curiser suffisamment le composant \u00ab\u00a0connect\u00e9\u00a0\u00bb. Il est important de se rappeler que les d\u00e9veloppeurs de tels appareils privil\u00e9gient souvent les fonctionnalit\u00e9s au d\u00e9triment de la protection. L\u2019exemple le plus r\u00e9cent est l\u2019Akuvox E11, un appareil con\u00e7u non pas pour un usage domestique, mais pour les bureaux. L\u2019Akuvox E11 est un interphone connect\u00e9 dot\u00e9 d\u2019un terminal pour recevoir le flux vid\u00e9o de la cam\u00e9ra int\u00e9gr\u00e9e et d\u2019un bouton pour ouvrir la porte. Comme il s\u2019agit d\u2019un appareil connect\u00e9, vous pouvez le contr\u00f4ler via l\u2019application pour smartphone.<\/p>\n

\"Interphone<\/a>

L\u2019interphone Akuvox E11 pr\u00e9sente de multiples vuln\u00e9rabilit\u00e9s qui permettent \u00e0 des personnes non autoris\u00e9es d\u2019acc\u00e9der facilement aux locaux ferm\u00e9s. Source<\/a>.<\/p><\/div>\n

Le logiciel est con\u00e7u<\/a> de mani\u00e8re \u00e0 ce que n\u2019importe qui puisse acc\u00e9der \u00e0 tout moment \u00e0 la vid\u00e9o et au son de la cam\u00e9ra. Et si vous n\u2019avez pas pens\u00e9 \u00e0 isoler l\u2019interface Web du r\u00e9seau Internet, n\u2019importe qui peut contr\u00f4ler l\u2019interphone et ouvrir la porte. Il s\u2019agit d\u2019un exemple classique de d\u00e9veloppement de logiciels non s\u00e9curis\u00e9s\u00a0: les requ\u00eates vid\u00e9o ne sont pas soumises \u00e0 des v\u00e9rifications d\u2019autorisation\u00a0; une partie de l\u2019interface Web est accessible sans mot de passe\u00a0; le mot de passe lui-m\u00eame est facile \u00e0 d\u00e9chiffrer en raison du chiffrement avec une cl\u00e9 fixe qui est la m\u00eame pour tous les appareils.<\/p>\n

Vous voulez plus d\u2019exemples\u00a0? En voici\u2026 Cet article<\/a> traite d\u2019une serrure qui laisse les intrus \u00e0 proximit\u00e9 obtenir le mot de passe de votre r\u00e9seau Wi-Fi. Ici<\/a>, une serrure connect\u00e9e prot\u00e8ge mal le transfert de donn\u00e9es\u00a0: un pirate informatique peut espionner le canal radio et en prendre le contr\u00f4le. Et voici<\/a> un autre exemple d\u2019interface Web mal s\u00e9curis\u00e9e.<\/p>\n

Troisi\u00e8me raison : le logiciel doit \u00eatre mis \u00e0 jour r\u00e9guli\u00e8rement<\/h2>\n

Un smartphone classique re\u00e7oit des mises \u00e0 jour pendant deux ou trois ans apr\u00e8s sa sortie. Quant aux appareils IdO \u00e0 petit budget, le suivi peut \u00eatre interrompu encore plus t\u00f4t. Il est assez simple de mettre \u00e0 jour un appareil connect\u00e9 via Internet. Cependant, le suivi de ces appareils requiert des ressources et de l\u2019argent de la part du fournisseur.<\/p>\n

Ce point peut en soi constituer un probl\u00e8me. Par exemple, en cas de d\u00e9sactivation de l\u2019infrastructure cloud<\/a> par le fournisseur, l\u2019appareil pourrait cesser de fonctionner. Toutefois, m\u00eame si la fonctionnalit\u00e9 de verrouillage connect\u00e9 est pr\u00e9serv\u00e9e, des vuln\u00e9rabilit\u00e9s inconnues du fournisseur au moment de la sortie de l\u2019appareil pourraient encore voir le jour.<\/p>\n

Par exemple, en 2022, des chercheurs ont d\u00e9couvert<\/a> une vuln\u00e9rabilit\u00e9 dans le protocole Bluetooth Low Energy, que de nombreuses entreprises ont adopt\u00e9 comme norme d\u2019authentification sans contact lors du d\u00e9verrouillage de divers appareils (y compris les serrures connect\u00e9es). Cette vuln\u00e9rabilit\u00e9 ouvre la porte (pour ainsi dire) \u00e0 des attaques dites \u00ab\u00a0par relais\u00a0\u00bb, qui n\u00e9cessitent que le pirate informatique soit \u00e0 proximit\u00e9 du propri\u00e9taire de la serrure connect\u00e9e et qu\u2019il utilise un \u00e9quipement sp\u00e9cial (mais relativement peu co\u00fbteux). Muni de ce mat\u00e9riel, le pirate informatique peut relayer les signaux entre le smartphone de la victime et la serrure connect\u00e9e. La serrure connect\u00e9e consid\u00e8re ainsi que le smartphone du propri\u00e9taire se trouve \u00e0 proximit\u00e9 (et non dans un centre commercial \u00e0 trois kilom\u00e8tres de l\u00e0), ce qui a pour effet de d\u00e9verrouiller la porte.<\/p>\n

\"Exemple<\/a>

Une serrure Kwikset vuln\u00e9rable \u00e0 une attaque par relais utilisant un bug dans le protocole Bluetooth Low Energy. Source<\/a>.<\/p><\/div>\n

\u00c9tant donn\u00e9 que les logiciels de verrouillage connect\u00e9s sont tr\u00e8s complexes, la probabilit\u00e9 qu\u2019ils contiennent des vuln\u00e9rabilit\u00e9s graves n\u2019est jamais nulle. Si une faille est d\u00e9couverte, le fournisseur doit publier rapidement une mise \u00e0 jour et l\u2019envoyer \u00e0 l\u2019ensemble des appareils vendus. Toutefois, que se passe-t-il si le mod\u00e8le a \u00e9t\u00e9 abandonn\u00e9 ou n\u2019est plus pris en charge ?<\/p>\n

Avec les smartphones, nous r\u00e9solvons ce probl\u00e8me en achetant un nouvel appareil tous les deux ou trois ans. \u00c0 quelle fr\u00e9quence pr\u00e9voyez-vous de remplacer une serrure de porte connect\u00e9e \u00e0 Internet\u00a0? Nous nous attendons g\u00e9n\u00e9ralement \u00e0 ce que de tels appareils durent des d\u00e9cennies, pas quelques ann\u00e9es (jusqu\u2019\u00e0 ce que le fournisseur ne fournisse plus d\u2019assistance ou fasse faillite).<\/p>\n

Alors, que faire ?<\/h2>\n

Il faut comprendre que toutes les serrures (pas seulement les serrures connect\u00e9es) peuvent \u00eatre forc\u00e9es. Cependant, lorsque vous d\u00e9cidez d\u2019installer un appareil connect\u00e9 \u00e0 la place d\u2019une serrure standard, r\u00e9fl\u00e9chissez bien\u00a0: avez-vous vraiment besoin de pouvoir ouvrir la porte \u00e0 partir de votre smartphone\u00a0? Si vous r\u00e9pondez oui \u00e0 cette question, tenez compte au moins des points suivants\u00a0:<\/p>\n