04-01-2017, 07:37
<r><B><s></s>Chiffrement défaillant, failles matérielles… Les cadenas et serrures connectés ont pour l'instant beaucoup de mal à remplir leur mission principale qui est de protéger nos effets personnels.<e></e></B><br/>
<br/>
C'est le grand drame des serrures et cadenas connectés: ils proposent une sécurité renforcée, mais se révèlent tout aussi vulnérables que la moyenne des objets connectés. En août dernier, à l'occasion de la conférence Defcon à Las Vegas, les chercheurs en sécurité Anthony Rose et Ben Ramsey avaient réussi à hacker 12 serrures connectées sur un total de 16 qu'ils avaient analysées. Parmi les quatre qui avaient tenu bon, deux cadenas viennent désormais de recevoir le coup de grâce par le chercheur en sécurité Ray, à l'occasion de la conférence "33C3 Chaos Communication Congress". A savoir: le Noké Padlock et le Masterlock Padlock.<br/>
<br/>
Pour ce dernier, l'attaque n'a pas pas très compliquée. Elle n'a même pas nécessité de ressource informatique. Le design du mécanisme le rend vulnérable à une banale attaque matérielle : il suffit de prendre un aimant et de le "rouler" sur la face arrière du Masterlock Padlock, et bing, le cadenas se déverrouille.<br/>
<br/>
Sur le plan matériel, le Noké Padlock est clairement mieux conçu, estime l'expert. Il n'a pas trouvé de faille matérielle, mais il a réussi à casser le chiffrement des communications Bluetooth. Celles-ci s'appuient certes sur l'algorithme AES 128 bits, mais son implémentation se révèle défaillante. Une analyse par rétro-ingénierie de l'application mobile Android a permis au chercheur de mettre la main sur une clé-maître codée en dur et l'algorithme de dérivation utilisés pour chiffrer les échanges.<br/>
<br/>
Par conséquent, munis de ces informations, tout ce que le pirate a besoin de faire est d'acheter un analyseur d'ondes Bluetooth (disponible à partir de quelques dizaines d'euros) et d'attendre à proximité du cadenas que la victime vienne l'ouvrir avec son smartphone. Il récupère alors son code secret. « J'ai alerté le fournisseur en avril dernier. Une mise à jour du procédé cryptographique est prévue pour janvier », souligne le chercheur. A l'heure actuelle, ces serrures sont donc toujours vulnérables. Il n'est pas conseillé de les utiliser pour des effets de valeur.</r>
<br/>
C'est le grand drame des serrures et cadenas connectés: ils proposent une sécurité renforcée, mais se révèlent tout aussi vulnérables que la moyenne des objets connectés. En août dernier, à l'occasion de la conférence Defcon à Las Vegas, les chercheurs en sécurité Anthony Rose et Ben Ramsey avaient réussi à hacker 12 serrures connectées sur un total de 16 qu'ils avaient analysées. Parmi les quatre qui avaient tenu bon, deux cadenas viennent désormais de recevoir le coup de grâce par le chercheur en sécurité Ray, à l'occasion de la conférence "33C3 Chaos Communication Congress". A savoir: le Noké Padlock et le Masterlock Padlock.<br/>
<br/>
Pour ce dernier, l'attaque n'a pas pas très compliquée. Elle n'a même pas nécessité de ressource informatique. Le design du mécanisme le rend vulnérable à une banale attaque matérielle : il suffit de prendre un aimant et de le "rouler" sur la face arrière du Masterlock Padlock, et bing, le cadenas se déverrouille.<br/>
<br/>
Sur le plan matériel, le Noké Padlock est clairement mieux conçu, estime l'expert. Il n'a pas trouvé de faille matérielle, mais il a réussi à casser le chiffrement des communications Bluetooth. Celles-ci s'appuient certes sur l'algorithme AES 128 bits, mais son implémentation se révèle défaillante. Une analyse par rétro-ingénierie de l'application mobile Android a permis au chercheur de mettre la main sur une clé-maître codée en dur et l'algorithme de dérivation utilisés pour chiffrer les échanges.<br/>
<br/>
Par conséquent, munis de ces informations, tout ce que le pirate a besoin de faire est d'acheter un analyseur d'ondes Bluetooth (disponible à partir de quelques dizaines d'euros) et d'attendre à proximité du cadenas que la victime vienne l'ouvrir avec son smartphone. Il récupère alors son code secret. « J'ai alerté le fournisseur en avril dernier. Une mise à jour du procédé cryptographique est prévue pour janvier », souligne le chercheur. A l'heure actuelle, ces serrures sont donc toujours vulnérables. Il n'est pas conseillé de les utiliser pour des effets de valeur.</r>
<t></t>
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
