Qu'il s'agisse de serrures ou de cadenas connectés, la confiance des utilisateurs est encore fragile malgré les promesses de souplesse offertes par ces dispositifs d'un nouveau genre.
Sur le papier, ces dispositifs permettent de créer des clés virtuelles, de verrouiller ou déverrouiller des portes à distance, d'émettre des accès temporaires, de partager des accès à distance et de conserver des historiques des accès...
Malheureusement, dans leur fonction première, à savoir protéger l'accès à une pièce, à un bien, tous ne sont pas logés à la même enseigne. C'est ce que met en évidence une nouvelle étude, qui confirme par ailleurs un problème déjà soulevé à l'occasion de la Defcon d'aout dernier.
Sur 16 serrures et cadenas connectés qu'ils avaient testés, les chercheurs Anthony Rose et Ben Ramsey indiquaient cet été que 12 avaient montré d'importantes failles de sécurité, et qu'il était ainsi possible, avec peu d'expérience dans le domaine, de les déverrouiller en les piratant.
Sur les 4 modèles restés inviolés, deux viennent de tomber : les Noké Padlock et Masterlock Padlock.
Le pire se situe au niveau du Masterlock Padlock : sa conception même fait qu'une simple attaque physique permet de le déverrouiller à l'aide d'un simple aimant que l'on passe sur sa face arrière...
Pour ce qui est du Noké Padlock, il aura fallu s'attaquer au chiffrement des connexions en Bluetooth (AES 128 bits). Un peu de rétro-ingénierie dans l'application mobile Android associée au cadenas connecté permet d'accéder à la clé maître codée en dur ainsi qu'aà l'algorithme de dérivation qui permet de chiffrer les échanges... Avec ces éléments en mains, il suffit de rester à portée du dispositif et d'écouter les communications lorsqu'il est déverrouillé pour récupérer le code secret.
Ces serrures connectées sont donc loin de se montrer comme des alternatives fiables aux serrures traditionnelles, d'autant que leurs prix se révèlent encore très élevés.
