Demain, déverrouiller sa porte d’entrée avec son smartphone semblera aussi naturel que d’utiliser une clé physique. Les ménages les plus « branchés » ont déjà sauté le pas avec l’arrivée sur le marché des serrures connectées. Ces produits communiquent via un protocole Bluetooth, NFC ou Wi-Fi avec le smartphone sur lequel tourne une application dédiée. Laquelle est elle-même connectée à un logiciel déployé dans le cloud (SaaS).
Brouilleurs d’ondes et attaques Man-In-The-Middle
Hélas, cette configuration présente de nombreuses vulnérabilités, pouvant se situer au niveau du produit, de l’installation, du protocole de communication ou de l’application embarquée. Parmi les attaques les plus utilisées figure le déni de service. Cela consiste à rendre indisponible le système à l’aide d’un brouilleur d’ondes. Egalement menée à distance, l’attaque « Man-in-the-Middle » vise à récupérer les données transmises par le smartphone à la serrure. Pour éviter d’être détecté, le pirate retransmet les informations volées à un complice qui les utilisera par la suite.
Attaques sans trace d’effraction
« Ce type d’attaque se fait sans trace d’effraction. Ce qui pose des problèmes d’assurance », nous a prévenu Hervé Le Coq, directeur du pôle malveillance du Centre national de prévention et de protection (CNPP). Il est intervenu lors de l’atelier Serrure et Métallerie, organisé par l’Una, dans le cadre des Journées professionnelles de la construction de la Confédération de l’artisanat et des petites entreprises du bâtiment (Capeb), en juin dernier à Brest. Les équipes de cet expert en maîtrise des risques ont mené durant deux ans des études pour évaluer les vulnérabilités des objets connectés dont font partie les serrures. De cette démarche résulte la certification a2P@ (prononcez « a2P at »). Moyennant quoi, les premières serrures connectées certifiées qui arriveront d’ici peu sur le marché seront classées 1*@, 2*@ ou 3*@ (cette dernière étant la plus élevée), selon leur capacité à résister à différents niveaux d’attaques physiques et logiques.
Eliane Kan
Commentez