Un verrou n’est fiable que dans la mesure où un intrus ne peut pas l’ouvrir. Malheureusement, la technologie informatique simplifie les choses, y compris pour ceux qui détestent les portes qu’ils ne peuvent pas ouvrir (non, nous ne parlons pas des chats). Il est beaucoup plus facile de faire un double de clés grâce aux imprimantes 3D même si, pour les imprimer, les escrocs ont d’abord besoin d’une image décente de la clé originale.
Des chercheurs de Singapour ont récemment publié une étude au sujet de SpiKey, une attaque de serrure verrouillée qui n’a pas besoin d’une image. Il suffit d’enregistrer avec votre smartphone les clics de la clé lorsque vous l’insérez dans la serrure.
Comment les clics révèlent la forme de la clé
L’attaque fonctionne sur les serrures à goupilles, qui sont celles les plus utilisées de nos jours. Ce mécanisme repose sur l’utilisation d’un cylindre qui doit tourner pour ouvrir ou fermer la porte. Ce cylindre est composé de plusieurs pistons qui se divisent en deux parties, de différentes longueurs, et qui se maintiennent en place grâce à des ressorts.
Lorsqu’il n’y a aucune clé, les goupilles remplissent entièrement le cylindre et la partie extérieure empêche le cylindre de tourner. Si une clé a la forme appropriée, alors elle fait bouger les pistons pour que les lignes des deux parties coïncident avec les bords du cylindre. Dans ce cas, rien n’empêche le cylindre de tourner. La profondeur des rainures (crans) est le secret de la clé puisque ces rainures permettent aux goupilles de s’encastrer.
Lorsque vous insérez la clé dans la serrure, les pistons bougent suivant la forme de la clé. Ils montent lorsqu’ils passent sur une crête (protubérance entre les rainures) puis retombent. Lorsque la goupille redescend, elle fait un clic.
En mesurant le temps écoulé entre chaque clic, les scientifiques ont pu déterminer la distance entre les crêtes de la clé. Pourtant, cette méthode ne révèle pas la principale variable : la profondeur des crans de la clé. Elle permet toutefois de savoir quelle est la forme de la clé. Grâce à cette approche, les chercheurs ont pu trouver les variantes de la clé qui correspondaient à l’originale.
Pourquoi l’attaque SpiKey est-elle dangereuse
Un escroc ne peut pas utiliser l’attaque SpiKey pour dresser un portrait détaillé de la clé originale. Voici tout de même un autre fait intéressant : les clés ne sont pas vraiment le fruit du hasard. En regroupant les données de distance entre les crêtes et les connaissances des exigences des clés de serrures à six goupilles fabriquées par Schlage, les chercheurs ont pu réduire le nombre de clés possibles, passant de 330 000 à juste quelques modèles. Si quelqu’un veut copier une clé, il peut tout simplement imprimer en 3D cinq variantes puis les essayer. Il est fort probable qu’une des clés arrivent à déverrouiller la porte.
Ne paniquez pas
Comme n’importe quelle attaque développée dans un laboratoire, SpiKey a des inconvénients et les cambrioleurs ne vont pas s’en servir de sitôt.
Tout d’abord, pour que l’attaque réussisse, vous devez connaître le mécanisme de la serrure. Les fabricants ont différentes exigences en matière de clés, ce qui complique le travail des voleurs puisqu’il est difficile de trouver une approche générale efficace. Il convient également de souligner que certaines serrures ne sont pas à goupilles. D’autres types sont très couramment utilisés.
Ensuite, si deux pistons ou plus de la serrure font du bruit en même temps alors l’attaque ne va pas fonctionner. De plus, même si le type de serrure correspond, rien ne garantit que l’escroc peut trouver la clé correspondante à la serrure. Les chercheurs ont découvert que plus de la moitié des serrures Schlage sont vulnérables mais ces valeurs changent suivant le fabricant.
Enfin, ce test est parti du principe que la clé était introduite dans la serrure à une vitesse régulière et sans arrêt. Il est fort probable que ce scénario soit différent dans la vie réelle.
Comment protéger votre foyer (et autres endroits) des cambrioleurs
L’attaque SpiKey est un développement qui pourrait aider les cambrioleurs et autres personnes malhonnêtes à long terme. Voici ce que vous pouvez faire pour vous protéger de cette attaque :
- Utilisez plusieurs verrous, si possible de différents types. Même si un intrus débutant peut créer une clé pour l’un d’entre eux, il est fort probable que les autres le découragent ;
- Ajoutez d’autres systèmes de sécurité. Le marché actuel regorge d’alarmes et de divers systèmes de sécurité qui répondent à tous les besoins, des plus simples aux très élaborés ;
- Protégez vos dispositifs pour que les intrus ne puissent pas pirater votre système de micros ou de caméras.