Les serrures connectées seraient mal sécurisées
Lors du DefCon qui a eu lieu le week-end dernier, deux chercheurs en cyber sécurité ont démontré que les serrures connectées n’offrent pas de sécurité suffisante face à l’attaque d’un hacker.
Vous pensiez que l’entrée de votre maison était bien protégée grâce à une serrure connectée dernier cri ? La découverte de deux chercheurs en cyber sécurité va sans doute vous faire changer d’avis. Ces « smart locks » seraient en fait de vraies passoires, elles ne seraient que très peu sécurisées et même pour certains modèles pas du tout.
Les serrures connectées à la merci du premier hacker venu
On retrouve de plus en plus d’objets connectés dans les maisons, de quoi contrôler de nombreux aspects de son foyer facilement depuis son smartphone comme par exemple l’éclairage, le réfrigérateur, les volets ou encore les serrures. Cependant en ce qui concerne ces dernières, Anthony Rose et Ben Ramsey, deux chercheurs en sécurité, ont démontré qu’il était très (trop) facile de les pirater.
C’est lors de la DefCon qui s’est déroulée du 4 au 7 août à Las Vegas qu’ils ont annoncé leur découverte. Sur les 16 modèles de serrures connectées qu’ils ont testées, ils ont réussi à en pirater 12 sans trop de problème. Pour ce faire ils n’ont eu besoin que d’équipements accessibles au grand public pour un montant ne dépassant pas 200 dollars, pas de matériel sophistiqué. Avec ce matériel ils ont pu récupérer les mots de passe, les changer ou encore faire planter le système. Certains modèles ne chiffrent pas les mots de passe qui transitent par Bluetooth, il est donc possible de les intercepter avec un appareil utilisé par les pirates, un sniffer, à une distance de 400 mètres.
Quatre serrures sont plus résistantes
Quatre serrures connectées ont toutefois résisté aux experts sur les seize modèles testés, il s’agit des Masterlock Padlock, Noke padlock, Kwikset Kevo Doorlock et August Doorlock. Tous ces dispositifs utilisent un cryptage propriétaire et ne fonctionnent pas avec un mot de passe en dur. Cependant, un simple tournevis permet de désactiver le modèle Kwikset Kevo .
Les consommateurs sont désormais prévenus. Ce genre d’appareils à le vent en poupe mais il semblerait que certains fabricants ne se sont guère souciés de la sécurité de leur produit. Ils ont “privilégié la robustesse physique plutôt que la sécurité des échanges sans fil” indiquaient MM. Rose et Ramsey lors de leur présentation.