Les serrures connectées, qui s’ouvrent avec un smartphone, une télécommande ou même un signal audio, devraient être ultra-sécurisées. Pour une marque bien connue, ce n’est pas du tout le cas : le niveau de sécurité est juste catastrophique. 

Imaginez-vous au magasin, en quête d’une serrure connectée. Sur l’un des packagings, vous voyez ceci : elle utilise une technologie de sécurisation des données qui correspond « aux standards militaires et bancaires (AES 256 / 3D Secure) ». Alors là, vous êtes rassuré ! Quoi de mieux qu’un algorithme de chiffrement bien connu et solide pour protéger votre chez vous ?

Seulement, au-delà du packaging, le rêve s’effondre. Au FIC à Lille, nous venons d’assister à une conférence accablante. C’est Renaud Lifchitz de Digital Security (Econocom) qui joue le rôle d’animateur. Et ce qu’il raconte est effarant. S’il ne nomme pas la marque en question, on se doute très fortement qu’il s’agit du français Okidokeys.

Une serrure connectée, parmi d’autres…

Les fondamentaux de la sécurité complètement oubliés

La liste des remontrances est très longue. Précisons que le verrouillage/déverrouillage de la serrure peut se faire soit par badge (RFID), soit par smartphone (Bluetooth 4.0 – BLE) soit par code audio. On apprend tout d’abord que l’application est développée en full HTML5 et JavaScript ; et que le code source est donc entièrement accessible. Dans celui-ci, on y découvre rapidement des aberrations et notamment des constantes booléennes modifiables (8 au total) ! En clair, on découvre également des jetons de cloud, « ce qui signifie que l’on peut se faire passer pour une serrure puisque le jeton secret est dans le code source… » sourit Renaud Lifchitz (photo ci-dessous).

Et la liste est loin d’être terminée : un grand nombre d’URL sont présentes dans le code « dont une complète d’authentification ». Elle est stockée en clair côté client. « Nous avons le login/mot de passe dans l’URL. Côté serveur, c’est de l’Apache, mais l’authentification étant dans l’URL on la retrouve dans les logs du serveur web. Cela signifie que login et mot de passe sont eux aussi stockés en clair côté serveur, en tout cas dans les logs ».

Quant à la clé de chiffrement, annoncée en 256 bits, elle est en fait dérivée du Code PIN à 4 chiffres de l’utilisateur : en réalité, la clé est en 14 bits, soit 19 fois plus faible que celle annoncée ! On estime à environ 10 000 le nombre de possibilités pour trouver le bon code PIN. Autant dire, l’affaire de quelques secondes/minutes. Enfin un bon point : pour la connexion RFID, Okidokeys utilise la solution d’authentification et d’accès aux données Mifare Ultralight C. Une bonne nouvelle car aucune faille n’a encore été répertoriée sur cette technologie. En revanche, encore faut-il que celui qui l’utilise change la clé par défaut ; qui au passage est « breakmeifyoucan! ».

De multiples scénarios d’attaques

Tout cela est bien joli mais à quoi sert-il de pouvoir déverrouiller une serrure si on ne sait pas où elle se trouve ? Ce n’est pas un problème : un simple scan BLE réalisable depuis un smartphone permet de détecter les serrures dans un rayon de 100 alentours. Ce faisant, une personne peut rapidement avoir accès à toutes les infos des serrures repérées, et notamment voir si elles sont à jour. Passons encore sur les multiples scénarios d’attaques MITM (Man in the Middle) que cela suppose…

Cette démonstration à charge est donc en tout point consternante. D’autant plus que si un seul constructeur est visé ici, il y a également fort à parier que les autres constructeurs (Vachette ?) soient eux aussi confrontés aux mêmes failles de sécurité. Ce que nous ne manquerons pas de tenter de vérifier prochainement.