Les serrures connectées peuvent être très pratiques. Il en existe de nombreuses sur le marché et de nombreux types différents. Certaines sont capables de détecter l’approche du propriétaire (ou plutôt de son smartphone) et de s’ouvrir sans clé. D’autres sont contrôlées à distance, ce qui vous permet d’ouvrir la porte à des amis ou à des membre de la famille sans être à la maison. D’autres encore proposent une vidéosurveillance : si quelqu’un sonne à la porte, vous voyez immédiatement la personne sur votre smartphone.
Cependant, les appareils connectés comportent des risques dont les utilisateurs de serrures hors ligne traditionnels n’ont jamais à se soucier. Une étude approfondie de ces risques révèle trois bonnes raisons de s’en tenir à l’ancienne méthode. Examinons-les de plus près…
Première raison : les serrures connectées sont physiquement plus vulnérables que les serrures traditionnelles
Le problème tient au fait que les serrures connectées combinent deux concepts différents. En théorie, ces serrures devraient comporter un composant connecté fiable, tout en offrant une protection solide contre les manipulations physiques, pour éviter qu’elles ne soient simplement ouvertes à l’aide d’un tournevis ou d’un canif, par exemple. La combinaison de ces deux concepts ne fonctionne pas toujours : il en résulte généralement soit une serrure connectée fragile, soit une serrure en fer robuste avec un logiciel vulnérable.
Dans une autre publication, nous avons déjà évoqué quelques exemples particulièrement flagrants de cadenas incapables de faire leur travail. Il s’agit notamment d’un joli cadenas doté d’un lecteur d’empreintes digitales, sous lequel se trouve un mécanisme d’ouverture potentiellement accessible à tout le monde (un levier). Sans oublier un antivol connecté pour les vélos, qui peut être démonté à l’aide d’un tournevis.
Deuxième raison : problèmes avec le composant « connecté »
Il n’est pas non plus facile de sécuriser suffisamment le composant « connecté ». Il est important de se rappeler que les développeurs de tels appareils privilégient souvent les fonctionnalités au détriment de la protection. L’exemple le plus récent est l’Akuvox E11, un appareil conçu non pas pour un usage domestique, mais pour les bureaux. L’Akuvox E11 est un interphone connecté doté d’un terminal pour recevoir le flux vidéo de la caméra intégrée et d’un bouton pour ouvrir la porte. Comme il s’agit d’un appareil connecté, vous pouvez le contrôler via l’application pour smartphone.
Le logiciel est conçu de manière à ce que n’importe qui puisse accéder à tout moment à la vidéo et au son de la caméra. Et si vous n’avez pas pensé à isoler l’interface Web du réseau Internet, n’importe qui peut contrôler l’interphone et ouvrir la porte. Il s’agit d’un exemple classique de développement de logiciels non sécurisés : les requêtes vidéo ne sont pas soumises à des vérifications d’autorisation ; une partie de l’interface Web est accessible sans mot de passe ; le mot de passe lui-même est facile à déchiffrer en raison du chiffrement avec une clé fixe qui est la même pour tous les appareils.
Vous voulez plus d’exemples ? En voici… Cet article traite d’une serrure qui laisse les intrus à proximité obtenir le mot de passe de votre réseau Wi-Fi. Ici, une serrure connectée protège mal le transfert de données : un pirate informatique peut espionner le canal radio et en prendre le contrôle. Et voici un autre exemple d’interface Web mal sécurisée.
Troisième raison : le logiciel doit être mis à jour régulièrement
Un smartphone classique reçoit des mises à jour pendant deux ou trois ans après sa sortie. Quant aux appareils IdO à petit budget, le suivi peut être interrompu encore plus tôt. Il est assez simple de mettre à jour un appareil connecté via Internet. Cependant, le suivi de ces appareils requiert des ressources et de l’argent de la part du fournisseur.
Ce point peut en soi constituer un problème. Par exemple, en cas de désactivation de l’infrastructure cloud par le fournisseur, l’appareil pourrait cesser de fonctionner. Toutefois, même si la fonctionnalité de verrouillage connecté est préservée, des vulnérabilités inconnues du fournisseur au moment de la sortie de l’appareil pourraient encore voir le jour.
Par exemple, en 2022, des chercheurs ont découvert une vulnérabilité dans le protocole Bluetooth Low Energy, que de nombreuses entreprises ont adopté comme norme d’authentification sans contact lors du déverrouillage de divers appareils (y compris les serrures connectées). Cette vulnérabilité ouvre la porte (pour ainsi dire) à des attaques dites « par relais », qui nécessitent que le pirate informatique soit à proximité du propriétaire de la serrure connectée et qu’il utilise un équipement spécial (mais relativement peu coûteux). Muni de ce matériel, le pirate informatique peut relayer les signaux entre le smartphone de la victime et la serrure connectée. La serrure connectée considère ainsi que le smartphone du propriétaire se trouve à proximité (et non dans un centre commercial à trois kilomètres de là), ce qui a pour effet de déverrouiller la porte.
Étant donné que les logiciels de verrouillage connectés sont très complexes, la probabilité qu’ils contiennent des vulnérabilités graves n’est jamais nulle. Si une faille est découverte, le fournisseur doit publier rapidement une mise à jour et l’envoyer à l’ensemble des appareils vendus. Toutefois, que se passe-t-il si le modèle a été abandonné ou n’est plus pris en charge ?
Avec les smartphones, nous résolvons ce problème en achetant un nouvel appareil tous les deux ou trois ans. À quelle fréquence prévoyez-vous de remplacer une serrure de porte connectée à Internet ? Nous nous attendons généralement à ce que de tels appareils durent des décennies, pas quelques années (jusqu’à ce que le fournisseur ne fournisse plus d’assistance ou fasse faillite).
Alors, que faire ?
Il faut comprendre que toutes les serrures (pas seulement les serrures connectées) peuvent être forcées. Cependant, lorsque vous décidez d’installer un appareil connecté à la place d’une serrure standard, réfléchissez bien : avez-vous vraiment besoin de pouvoir ouvrir la porte à partir de votre smartphone ? Si vous répondez oui à cette question, tenez compte au moins des points suivants :
- Recherchez des informations sur l’appareil en question avant de l’acheter.
- Lisez non seulement les avis sur la facilité d’utilisation et les caractéristiques de la serrure connectée, mais aussi les rapports sur les problèmes ainsi que les risques éventuels.
- Optez pour un appareil récent : il y a de fortes chances que le vendeur continue à en assurer le suivi un peu plus longtemps.
- Une fois que vous avez acheté un appareil, examinez ses fonctions de mise en réseau et réfléchissez bien à leur utilité. Il serait judicieux de désactiver celles qui pourraient s’avérer dangereuses.
- N’oubliez pas de protéger vos ordinateurs, surtout s’ils se trouvent sur le même réseau que la serrure connectée. Il serait doublement dommage qu’une infection de votre ordinateur par un programme malveillant entraîne également l’ouverture des portes de votre maison.