vous aimez les objets connectés ? essayez donc les serrures …

 

Le site web « L’informaticien »  [ ICI ]    a testé pour vous une serrure connectée.  Les serrures connectées, qui s’ouvrent avec un smartphone, une télécommande ou même un signal audio, devraient être ultra-sécurisées. Pour une marque bien connue, ce n’est pas du tout le cas : le niveau de sécurité est juste catastrophique.

Serrures connectées : vous pensiez vraiment être en sécurité ?

Les serrures connectées, qui s’ouvrent avec un smartphone, une télécommande ou même un signal audio, devraient être ultra-sécurisées. Pour une marque bien connue, ce n’est pas du tout le cas : le niveau de sécurité est juste catastrophique. 

Imaginez-vous au magasin, en quête d’une serrure connectée. Sur l’un des packagings, vous voyez ceci : elle utilise une technologie de sécurisation des données qui correspond « aux standards militaires et bancaires (AES 256 / 3D Secure) ». Alors là, vous êtes rassuré ! Quoi de mieux qu’un algorithme de chiffrement bien connu et solide pour protéger votre chez vous ?

Seulement, au-delà du packaging, le rêve s’effondre. Au FIC à Lille, nous venons d’assister à une conférence accablante. C’est Renaud Lifchitz de Digital Security (Econocom) qui joue le rôle d’animateur. Et ce qu’il raconte est effarant. S’il ne nomme pas la marque en question, on se doute très fortement qu’il s’agit du français Okidokeys.

Une serrure connectée, parmi d’autres…

Les fondamentaux de la sécurité complètement oubliés

La liste des remontrances est très longue. Précisons que le verrouillage/déverrouillage de la serrure peut se faire soit par badge (RFID), soit par smartphone (Bluetooth 4.0 – BLE) soit par code audio. On apprend tout d’abord que l’application est développée en full HTML5 et JavaScript ; et que le code source est donc entièrement accessible. Dans celui-ci, on y découvre rapidement des aberrations et notamment des constantes booléennes modifiables (8 au total) ! En clair, on découvre également des jetons de cloud, « ce qui signifie que l’on peut se faire passer pour une serrure puisque le jeton secret est dans le code source… » sourit Renaud Lifchitz (photo ci-dessous).

Et la liste est loin d’être terminée : un grand nombre d’URL sont présentes dans le code « dont une complète d’authentification ». Elle est stockée en clair côté client. « Nous avons le login/mot de passe dans l’URL. Côté serveur, c’est de l’Apache, mais l’authentification étant dans l’URL on la retrouve dans les logs du serveur web. Cela signifie que login et mot de passe sont eux aussi stockés en clair côté serveur, en tout cas dans les logs ».

Quant à la clé de chiffrement, annoncée en 256 bits, elle est en fait dérivée du Code PIN à 4 chiffres de l’utilisateur : en réalité, la clé est en 14 bits, soit 19 fois plus faible que celle annoncée ! On estime à environ 10 000 le nombre de possibilités pour trouver le bon code PIN. Autant dire, l’affaire de quelques secondes/minutes. Enfin un bon point : pour la connexion RFID, Okidokeys utilise la solution d’authentification et d’accès aux données Mifare Ultralight C. Une bonne nouvelle car aucune faille n’a encore été répertoriée sur cette technologie. En revanche, encore faut-il que celui qui l’utilise change la clé par défaut ; qui au passage est « breakmeifyoucan! ».

De multiples scénarios d’attaques

Tout cela est bien joli mais à quoi sert-il de pouvoir déverrouiller une serrure si on ne sait pas où elle se trouve ? Ce n’est pas un problème : un simple scan BLE réalisable depuis un smartphone permet de détecter les serrures dans un rayon de 100 alentours. Ce faisant, une personne peut rapidement avoir accès à toutes les infos des serrures repérées, et notamment voir si elles sont à jour. Passons encore sur les multiples scénarios d’attaques MITM (Man in the Middle) que cela suppose…

Cette démonstration à charge est donc en tout point consternante. D’autant plus que si un seul constructeur est visé ici, il y a également fort à parier que les autres constructeurs (Vachette ?) soient eux aussi confrontés aux mêmes failles de sécurité. Ce que nous ne manquerons pas de tenter de vérifier prochainement.

Lobby de la vidéosurveillance : obsolescence programmée, leçons de morale et essaims de drones

Monsieur le maire : vous vouliez battre des records de mises en service de caméras de vidéosurveillance  1500, 2000  et plus ? Las, le lobby de la vidéosurveillance ( Association nationale de la vidéoprotection – AN2V ) vient de vous ringardiser. Après avoir refilé des dizaines de milliers de caméras aux élus de tous bords, aux communes de toutes tailles, voici que son représentant, M. Dominique Legrand déclare dans la presse  (Sud Ouest du 06/05/2016   [ ICI ]  ) : « Il ne sert à rien de faire du quantitatif et de placer des caméras à tout prix [ … ] Notre position est claire : nous prônons moins de points de visualisation mais avec des images de meilleure qualité » Bref, ça revient à dire : jusqu’à maintenant on vous a refilé, en quantité, du matériel inutile et obsolète, jetez donc tout ça à la poubelle et équipez vous avec mon beau matériel, vous serez « hig tech friendly », vos administrés vont adorer.

Faisant preuve d’un sacré culot, le lobbyiste se pose en moraliste de la vidéosurveillance : « le coût, les aspects juridiques et éthique ont-t-ils été pris en compte ? Puis il préconise « une vue d’ensemble pour sortir de l’émotion et des petits calculs électoraux des municipalités ». Bref, un tract de la LDH !

Et pour terminer en beauté  : vous surveillez vos concitoyens  d’en bas ? et bien, surveillez aussi d’en haut, tant qu’à faire, surveillez en 3D, donc,  « Pourquoi pas un essaim de drones plutôt qu’un hélicoptère pour suivre un rodéo nocturne ? ». Plutôt que de vendre un seul  et inutile drone, autant en vendre un essaim, sans doute au titre de la maitrise des coûts. Des esprits malveillants prophétisent : « la saison du ball trap est ouverte ».

 

Drones