La plupart des serrures connectées ne sont pas sécurisées

Codes pin, schémas, et même lecteurs d’empreintes digitales : nos smartphones semblent de plus en plus sécurisés. Ainsi il ne paraît pas absurde de s’en servir pour des actions sensibles comme payer ou même ouvrir une porte ou un cadenas.

Le problème, c’est que ces serrures connectées ont souvent des gros soucis de sécurité, comme l’ont récemment montré deux hackers lors de la conférence DEF CON. Et leur constat est assez alarmant.

Serrure connectée

Les serrures connectées sont sympas, mais pas forcément sécurisées

Si vous souhaitez investir dans une serrure connectée, réfléchissez bien !

12 serrures connectées sur 16 ont de grosses failles

Parmi tous les objets connectés qui existent, les serrures font partie des plus pratiques. Imaginez un peu si toutes nos serrures étaient connectées : plus aucune clé à transporter ni à chercher, plus moyen de se tromper de clé, tout pourrait s’ouvrir avec un simple smartphone.

La serrure est synchronisée avec un smartphone, ou plusieurs, mais à chaque fois on choisit bien lesquels, et seuls ceux qui sont autorisés à rentrer peuvent ainsi utiliser leur smartphone pour ouvrir une porte. C’est rassurant, mais ce n’est qu’une façade pour beaucoup de serrures.

Car force est de constater que la plupart des fabricants de serrures connectées ne sont pas franchement des cracks en sécurité. Ça peut sembler paradoxal, mais c’est pourtant l’amer constat relevé par Anthony Rose et Ben Ramsay lors de la DEF CON.

Les experts ont analysé 16 serrures connectées et, dans le lot, pas moins de 12 ont présenté de grosses failles de sécurité. Et pas forcément des failles nouvelles qui auraient nécessité des tonnes de recherche pour les combler : certaines sont connues depuis longtemps.

Des failles connues depuis longtemps

Ainsi, des serrures connectées font transiter les mots de passe en clair, ce qui permet à quiconque observant les communications Bluetooth de les récupérer. D’autres serrures sont sensibles à une autre forme de piratage : le pirate récupère les données envoyées à la serrure, et les renvoie telles quelles, ce qui permet d’ouvrir la serrure.

Bien sûr, il existe de bons produits sur le marché, avec des fabricants qui connaissent leur boulot. Si vous comptiez investir dans une serrure connectée, réfléchissez bien avant votre achat. Ça peut paraître évident, mais cette petite étude permet de bien montrer à quel point il est nécessaire de le faire.

Dans tous les cas, peut-être est-il mieux, pour le moment, de ne pas sécuriser des choses trop sensibles comme votre porte d’entrée avec une serrure connectée.

Photo : Scott Lewis

Mots-clés hackingsécurité