Elles partaient pourtant d'une bonne idée : remplacer la clé conventionnelle d'une serrure par une application sécurisée. En découlait alors tout un tas de fonctionnalités : partage de clés à distance, création de "pass" temporaires, ouverture ou fermeture à distance, consultation des historiques d'accès...
Malheureusement, ces serrures connectées se montrent particulièrement faciles à pirater pour la plupart. C'est ce qu'annoncent deux chercheurs de la société Merculite Security.
Le duo indique avoir réussi à pirater 12 serrures connectées sur 16 testées, et ce, sans matériel sophistiqué. Les modules assemblés pour le piratage sont disponibles dans le commerce, et le montant total d'un passe-partout connecté ne couterait que 200 dollars et un peu de temps.
Plusieurs failles ont ainsi été découvertes dans les protocoles de sécurité exploités par ces serrures nouvelle génération, principalement au niveau de la communication entre le verrou et le smartphone.
Pire encore, certains modèles communiquent avec des smartphones sans chiffrement. Les mots de passe sont transmis en clair dans les échanges Bluetooth. Un sniffer pourrait ainsi récupérer très facilement les données et se faire passer pour une clé valide permettant d'accéder au domicile d'une cible.
Pour d'autres verrous, l'attaque par force brute aura été nécessaire tandis que le fuzzing aura donné de bons résultats sur certains modèles en faisant bugger le programme de la serrure, la déverrouillant par défaut.
La bonne nouvelle, c'est que quatre serrures connectées ont réussi tous les tests des experts : Noke Padlock, Masterlock Padlock, August Doorlock et Kwikset Kevo Doorlock ont l'avantage de miser sur un chiffrement propriétaire... Reste que les techniques traditionnelles de crochetage ou de forçage de serrure sauront en venir à bout...
Voilà qui ne devrait pas véritablement profiter à un marché en pleine expansion et qui prouve encore une fois que le tout connecté n'est pas forcément toujours mieux que les méthodes traditionnelles.
