Lors de la conférence DefCon  de Las Vegas, des représentants de la société Merculite Security ont annoncé avoir réussi à hacker, sans matériel sophistiqué, 12 marques de serrures connectées sur 16.

Apparues dans les chaînes hôtelières, qui recouraient déjà aux cartes magnétiques pour leurs chambres, les serrures et poignées de porte connectées sont appelées à faire partie de la maison connectée.

Objectif : Supprimer les clés au profit d'une ouverture  des portes par smartphone et par internet.

Via internet ou une application mobile « sécurisée » ( ?), l’on peut verrouiller et déverrouiller sa porte d’entrée à distance ou, à l’entrée, en approchant son smartphone de la serrure ou de la poignée. L'ouverture peut aussi se faire par un bracelet, une carte magnétique ou une montre connectée.

Ce système offre l'avantage immédiat de ne plus craindre de perdre ses clés ou d’avoir à les chercher quand on rentre les mains occupées. Certaines poignées de porte et serrures connectées permettent également de suivre l'accès à son logement : un journal des passages indique les heures auxquelles entrent et sortent les personnes, ainsi que leur identité.

L’installation est simple et à la portée de tous les bricoleurs. Les kits (à partir de 150 €) se composent d'éléments standards : verrou droit, plaque T ou poignées de porte connectées.

Deux interfacespeuvent être utilisées pour le déverrouillage des portes par smartphone : le Bluetooth, pour une ouverture sans contact en laissant le téléphone dans sa poche, ou la puce NFC qui oblige à passer le téléphone devant la serrure.

Des serrures connectées, considérées comme sûres, mises en échec : les conclusions des représentants de la société Merculite Security.

Lors de la conférence DefCon  de Las Vegas les experts ont fait part de leurs constatations :

-         Certains modèles font transiter les mots de passe en clair lors des transmissions Bluetooth ce qui les rend vulnérables à tous les pirates équipés d’un « sniffer ».

Cet appareil embarqué dans une voiture permet de balayer les réseaux sans fil avec une portée de 400 mètres environ ce qui permet de  repérer les communications desserrures connectées non protégées. Il ne reste plus alors plus qu'à s'y connecter.

-         Pour certaines autres serrures connectées, elles envoient deux fois de suite le mot de passe à l'utilisateur.

Ceci permet de procéder à une attaque par « rejeu », c'est-à -dire de se servir du deuxième message intercepté pour bloquer le mot de passe du propriétaire utilisateur. Pour ce dernier il n’est plus possible de le réinitialiser qu'en retirant la batterie et ainsi de déverrouiller la serrure.

-         L'attaque par « force brute », qui consiste à tester toutes les combinaisons possibles, a fonctionné avec certaines serrures comme Quicklock et iBlulock.

-         Pour la marque Okidokeys, qui garantit son format de chiffrement propriétaire, Merculite Security a procédé à du «fuzzing », c’est-à-dire un test à données aléatoires. Ceci a permis de faire planter le programme en mode échec autorisant ainsi l’ouverture de  la serrure.

-         Une autre technique efficace, le recours à un décompilateur pour accéder au code source de l'application Android.

-         Un autre procédé consiste encore à utiliser un serveur web pour générer de nouveaux mots de passe, le propriétaire croyant se connecter aux serveurs de son application.

Notons que quatre dispositifs ont résisté à toutes les attaques informatiques de ces experts : Noke padlock, Masterlock Padlock, August Doorlock et Kwikset Kevo Doorlock.

Ils ont tous pour particularité de fonctionner avec un chiffrement propriétaire et de ne pas coder les mots de passe en dur.

Selon les experts il faut, pour éviter toute mauvaise surprise, couper le Bluetooth de son smartphone lorsque l’on n'utilise pas l'application compagnon de la serrure connectée.