Les serrures intelligentes peuvent-elles être piratées ?

Malheureusement, oui, les serrures intelligentes peuvent être piratées. C’est la vérité que personne ne veut entendre ni dire.

Après tout, la plupart des gens achètent des serrures intelligentes précisément pour rendre leur maison plus sûre. Si les développeurs vous disaient que ces dispositifs pouvaient être piratés, les achèteriez-vous vraiment ?

Probablement pas. Mais je suis ici pour vous offrir une solution.

Si une serrure intelligente peut être piratée, cela ne signifie pas qu’elle le sera. Cela ne signifie pas non plus que vous ne pouvez rien y faire ou que la serrure que vous avez achetée est défectueuse.

Dans cet article, vous apprendrez comment le piratage se produit, pourquoi c’est la faute du propriétaire dans la plupart des cas, et comment l’empêcher en quelques étapes faciles.

Oui, les serrures de porte intelligentes sont sécurisées, mais seulement dans la mesure où leurs propriétaires les sécurisent. Bien entendu, cela s’applique à toutes les serrures, et pas seulement aux serrures intelligentes. Mais les serrures intelligentes présentent une vulnérabilité supplémentaire : elles sont connectées à Internet et peuvent être piratées ou laissées inopérantes.

Cela dit, ces pires scénarios sont généralement la faute des propriétaires. Avant d’expliquer pourquoi, permettez-moi de revenir un peu en arrière. Les développeurs peuvent aussi faire des erreurs et endommager la sécurité d’une serrure intelligente.

Lisez aussi l’article : Les serrures biométriques sont-elles fiables ?

Un tel cas s’est produit en 2017. LockState, une entreprise qui produit des serrures intelligentes, a déployé une mise à jour du micrologiciel. Mais la mise à jour a provoqué un dysfonctionnement et a laissé les serrures inopérantes. Certes, vous pouviez toujours les verrouiller ou les déverrouiller avec une clé de secours. Mais la plupart des propriétaires de serrures intelligentes n’en ont pas sur eux. C’est pour cela qu’ils ont acheté une serrure de porte intelligente en premier lieu.

Heureusement, ce genre d’erreurs ne se produit pas souvent. Au lieu de cela, les piratages et les dysfonctionnements se produisent généralement parce que les propriétaires mettent en œuvre peu ou pas de mesures de sécurité. Permettez-moi de développer ce point dans la suite de l’article.

Mettre en œuvre zéro mesure de sécurité → se faire pirater → agir de façon surprise.

Je vais aborder sept façons dont les serrures intelligentes peuvent être piratées. Vous remarquerez que la plupart d’entre elles n’ont rien à voir avec les entreprises qui produisent des serrures intelligentes.

Vous devez être la seule personne à connaître le mot de passe de votre serrure intelligente. C’est pourquoi il doit être crypté, c’est-à-dire transformé en code.

Si la société à laquelle vous avez acheté votre serrure intelligente ne chiffre pas votre mot de passe, cela signifie que toute personne ayant accès à la base de données peut le voler et pirater votre serrure. Cela ne nécessite aucune compétence en matière de piratage. Même un employé ordinaire peut le faire.

Mais il existe un moyen simple et infaillible de vérifier si la société qui vous a vendu votre serrure intelligente a votre mot de passe. Appelez l’entreprise et faites semblant de l’avoir oublié. S’ils ne sont pas en mesure de vous aider, cela signifie qu’ils n’ont pas accès à votre mot de passe.

(Il est vrai qu’il se peut qu’ils aient lu cet article).

Le fuzzing consiste à fournir à un ordinateur des données invalides et aléatoires. Son but est d’épuiser le logiciel et de provoquer des dysfonctionnements ou des fuites.

Bien qu’il soit principalement utilisé par les entreprises à des fins de débogage et de test, il peut également être utilisé par les pirates informatiques.

Un expert en sécurité, Anthony Rose, l’a démontré en 2016 en provoquant le déverrouillage d’une serrure intelligente en lui lançant des données invalides.

Toutefois, il convient de noter que la plupart des entreprises sont conscientes de ce risque et le minimisent avant même que leur serrure intelligente ne quitte le magasin.

Considérez les attaques par relecture comme des écoutes numériques. Il s’agit d’intercepter des messages cryptés envoyés par une victime – éventuellement un propriétaire de serrure intelligente – et de les renvoyer à un moment différent au destinataire. Par exemple, le destinataire pourrait être un dispositif tel qu’une serrure intelligente.

Pourquoi quelqu’un ferait-il cela, demandez-vous ? Eh bien, parce qu’il peut reproduire (« rejouer ») la commande de déverrouillage, entre autres choses. Cela signifie que les pirates pourraient désactiver votre serrure et s’introduire dans votre maison sans que vous vous en rendiez compte.

Le moyen le plus simple d’éviter cette attaque est de changer fréquemment votre mot de passe et de désactiver la fonction Bluetooth de votre serrure intelligente.

L’usurpation d’identité consiste à déformer l’identité de l’expéditeur d’un message. Dans la réalité, cela signifie que les pirates peuvent envoyer des messages aux serrures intelligentes en prétendant être le propriétaire légitime ou une autre source de confiance.

L’usurpation d’identité est le plus souvent réalisée de trois manières :

• L’usurpation d’adresse IP. Ce type d’usurpation consiste à déguiser l’adresse IP d’un ordinateur. Il est courant dans les attaques DoS qui n’ont qu’un seul but : provoquer l’arrêt des réseaux connectés à l’adresse IP ou les faire entrer dans un état d’erreur en les submergeant de trafic.
• L’usurpation ARP. L’usurpation ARP (Address Resolution Protocol) relie l’adresse MAC d’un pirate à l’adresse IP d’une victime. Cela permet au pirate de recevoir et de modifier des données destinées à la victime.
• Usurpation de serveur DNS. Lorsque les pirates usurpent les serveurs DNS, ils peuvent rediriger les victimes vers des sites qui diffusent des logiciels malveillants.

Je suis sûr que cela semble effrayant. Mais l’usurpation n’est pas facile. En fait, une usurpation réussie exige un haut niveau de compétences que peu de pirates possèdent.

Vous pouvez également prendre un certain nombre de mesures de sécurité pour éviter l’usurpation d’identité.  

Outre les mesures générales que je vais mentionner ci-dessous, il y a aussi quelque chose de spécifique que vous pouvez faire : télécharger un logiciel de détection de l’usurpation. Il vous permettra de détecter et d’arrêter l’usurpation plus tôt – avec un peu de chance, avant que les attaquants ne volent vos données ou ne causent d’autres dommages.

Cet article peut vous intéresser : 5 façons pour les pirates de contourner les scanners d’empreintes digitales

Si vous possédez un iPhone, vous pouvez sauter cette partie. Ce type d’attaque ne concerne que les personnes qui contrôlent leurs serrures intelligentes avec un Android.

APK est l’abréviation de Android Package Kits. Il s’agit du format de fichier qu’Android utilise pour distribuer ses applications. Sans les APK, vous ne pourriez pas installer d’applications sur votre téléphone, y compris celle que vous utiliseriez pour faire fonctionner une serrure intelligente.

Un pirate informatique pourrait implanter un virus dans le fichier APK que vous téléchargez et accéder à votre serrure intelligente et à votre maison intelligente. Bien que cela soit possible, c’est peu probable. Il faut être un pirate très habile pour le faire.

Un moyen simple d’éviter de télécharger des fichiers corrompus consiste à acheter des serrures intelligentes auprès d’entreprises réputées en qui vous avez confiance. Si cela signifie dépenser quelques dollars supplémentaires, cela en vaut la peine.

La suppression des verrous n’est pas vraiment une attaque de piratage, tout comme l’élément suivant de cette liste (le vol de téléphone). Mais c’est tout de même un risque dont vous devez être conscient.

Un cambrioleur peut retirer physiquement l’intégralité de votre serrure à l’aide d’un simple tournevis. Cependant, cela prend beaucoup de temps et provoque généralement des bruits importants. Un cambrioleur ordinaire ne risquerait pas ses chances de cette manière.

Le retrait de la serrure peut être une menace, mais il n’est pas limité aux serrures intelligentes. S’ils le voulaient, les cambrioleurs pourraient également retirer un pêne dormant ordinaire.

Par ailleurs, le crochetage de serrure est une méthode similaire d’entrée, mais elle est beaucoup moins probable avec les serrures intelligentes qu’avec les serrures ordinaires. D’autant plus que la plupart des serrures intelligentes n’ont pas de trou de serrure standard.

Si quelqu’un utilise votre téléphone pour contrôler votre serrure intelligente, cela peut être interprété comme un piratage. À vrai dire, il ne s’agit pas de méthodes sophistiquées. Mais il s’agit d’une fausse déclaration d’identité.

(L’attaquant se présente comme le propriétaire de la serrure).

C’est un risque réel avec les serrures intelligentes, car la plupart des propriétaires les contrôlent via une application mobile. Mais le problème peut être facilement résolu.

Dans la plupart des cas, il vous suffit de vous rendre sur le site Web du fabricant, de signaler que vous avez perdu votre téléphone et de vérifier votre identité.

Vous serez alors déconnecté de l’application sur tous vos appareils et invité à créer un nouveau mot de passe. C’est simple comme bonjour.

Je vous ai déjà donné plusieurs solutions rapides pour des situations de piratage spécifiques, comme les attaques par relecture et l’usurpation d’identité. Maintenant, je vais vous donner cinq directives plus générales pour sécuriser votre serrure.

Lisez aussi cet article : Une serrure de porte intelligente est-elle sûre ?

Si votre serrure intelligente est fournie avec un mot de passe par défaut, changez-le immédiatement. De nombreux pirates connaissent les mots de passe par défaut et pourraient prendre le contrôle de votre serrure.

Pendant que vous y êtes, faites en sorte que votre nouveau mot de passe soit fort. 

Un mot de passe fort est long, comprend des chiffres, des majuscules et des caractères spéciaux, et n’inclut aucune de vos données personnelles.

Si vous avez un blocage créatif, utilisez un outil en ligne qui crée des mots de passe forts pour vous, comme Secure Password Generator.

L’authentification à deux facteurs (2FA) implique que vous deviez vérifier deux fois votre identité pour accéder à votre serrure intelligente. Comme l’explique un expert en cybersécurité, l’authentification à deux facteurs implique :

• quelque chose que vous connaissez (comme votre code)
• quelque chose que vous avez (comme votre téléphone ou votre e-mail)
• quelque chose que vous êtes (comme votre empreinte digitale ou votre visage).

Pour vérifier votre identité, vous devez disposer d’au moins deux de ces éléments, en fonction de ce que vous choisissez en activant cette fonction. Il est donc plus difficile pour un pirate d’accéder à votre serrure intelligente. Même s’il tape votre code, il aura toujours besoin de votre téléphone ou de votre empreinte digitale pour contrôler la serrure.

Conseil : si vous pouvez configurer une méthode d’authentification encore plus forte (4FA, par exemple), choisissez-la.

Cette règle s’applique à tous les équipements de sécurité domestique. Vous ne devez acheter des dispositifs qu’auprès d’entreprises auxquelles vous avez déjà fait appel ou qui ont des avis positifs et authentiques.

Portez une attention particulière à ce que les autres disent du service clientèle d’une entreprise. Vous voulez pouvoir les joindre à tout moment de la journée au cas où quelqu’un piraterait votre serrure.

Évitez également d’acheter des serrures intelligentes bon marché auprès d’entreprises non vérifiées. 

Elles peuvent stocker des mots de passe en texte clair dans leur base de données. Nous avons déjà expliqué pourquoi c’est un problème. 

Deuxièmement, l’entreprise elle-même peut ne pas avoir mis en place un système de sécurité efficace. Leurs APK peuvent être compromis, et le fait de télécharger l’application pour votre serrure peut automatiquement donner accès aux pirates. 

Conseil : lisez les avis et les études de cas. Parlez aux représentants des clients avant d’acheter le verrou. Renseignez-vous sur les précédentes attaques de piratage et sur la manière dont elles ont été résolues.

Vous vous souvenez que j’ai dit que les attaques de piratage ne sont généralement pas la faute des développeurs ? Eh bien, laissez-moi vous dire pourquoi : la plupart des gens qui possèdent des serrures intelligentes ignorent carrément les mises à jour.

Ils voient une notification de mise à jour… Et puis ils la suppriment.

Je comprends que la plupart des gens ne réalisent pas que cela peut causer des problèmes de sécurité, mais vous êtes maintenant officiellement avertis.

Par exemple, des problèmes de firmware se produisent souvent lorsque les propriétaires de serrures intelligentes ignorent les mises à jour. Ces problèmes peuvent alors provoquer toutes sortes de dysfonctionnements. Votre serrure pourrait se déverrouiller sans que l’application ne détecte le moindre changement.

Mais les mises à jour vous protègent également des attaques de piratage. Elles sont généralement publiées parce que les développeurs ont remarqué un défaut dans l’ancien système. L’objectif des mises à jour est d’augmenter le niveau de sécurité de votre serrure intelligente.

Pour protéger votre maison, il est essentiel de sécuriser votre téléphone avant qu’il ne soit volé. Voici quelques moyens d’y parvenir :

• Définissez un mot de passe fort. Nous avons déjà parlé des mots de passe forts. Retournez au point 1 pour vous rafraîchir la mémoire.
• Activez la fonction « Trouver mon téléphone ». Les Androïdes et les iPhones ont tous deux une fonction qui vous permet de retrouver votre téléphone s’il est perdu.

Autorisez le verrouillage à distance. Là encore, cette fonction est disponible à la fois sur Android et sur iPhone. Elle vous permet de verrouiller votre téléphone à distance via iCloud ou le site Web d’Android. Mais vous devrez activer cette fonctionnalité avant de perdre votre téléphone. Arrêtez de lire cet article et faites-le tout de suite.

La réponse à votre question est oui. Les serrures intelligentes peuvent être piratées. Mais nous avons vu que ce scénario est évitable et peu probable. 

Tout d’abord, vous pouvez prendre des mesures de sécurité adéquates même si vous n’avez aucune connaissance technique. Deuxièmement, la plupart des attaques de piratage dont nous avons parlé nécessitent un niveau inhabituel de compétences en matière de piratage.

Si vous prenez toutes les mesures nécessaires et achetez votre serrure auprès d’une entreprise de confiance, vous ne rencontrerez probablement aucun problème. En fait, votre maison sera plus sûre que jamais, grâce aux fonctions avancées des serrures intelligentes.