11 décembre 2019 |

F-Secure alerte sur les failles de sécurité des serrures intelligentes : en proie aux problèmes de sécurité, elles laissent la porte ouverte aux hackers

Les équipes de F-Secure ont découvert une faille de sécurité sur une serrure intelligente. Ce défaut de conception montre encore une fois à quel point il est difficile de produire des appareils à la fois intelligents et sécurisés.

Les consultants de F-Secure, fournisseur de services en cyber sécurité, ont découvert un défaut de conception sur une serrure intelligente. Cette faille de sécurité peut être exploitée par des hackers pour déverrouiller le dispositif. La serrure n’étant pas en mesure de recevoir de mises à jour du micrologiciel (firmware), le défaut ne peut pas être entièrement corrigé. Ce problème met en lumière les difficultés rencontrées par les fabricants et les consommateurs pour sécuriser les nouveaux appareils connectés.

KeyWe Smart Lock est un dispositif d’entrée télécommandé utilisé principalement dans les résidences privées. Il permet aux utilisateurs d’ouvrir et de fermer les portes via une application installée sur leur téléphone mobile. F-Secure Consulting a constaté qu’il était possible d’interférer avec les protocoles de communication utilisé par l’appareil. Ce faisant, des hackers peuvent intercepter le mot de passe qui contrôle la serrure au moment où celle-ci communique avec l’application mobile.

« La serrure est dotée de plusieurs mécanismes de protection. Malheureusement, il est possible de contourner ces mécanismes pour épier les communications entre la serrure et l’application. Il s’agit d’une attaque relativement simple, qui laisse la porte ouverte aux hackers. Il n’existe aucun moyen de corriger cette faille de sécurité. Les cambrioleurs, s’ils savent reproduire ce piratage, peuvent donc accéder à toutes les maisons dotées de cette serrure », explique Krzysztof Marciniak, l’un des consultants F-Secure Consulting ayant développé le hack. « Tout ce dont les pirates informatiques ont besoin, c’est d’un peu de savoir-faire, d’un appareil permettant de capturer le trafic (ce type de dispositif peut être acheté dans de nombreux magasins d’électronique grand public pour une dizaine d’euros) et d’un peu de temps pour trouver les propriétaires de ces serrures. »

Cette attaque illustre à nouveau les problématiques de sécurité auxquelles sont confrontés les fabricants et consommateurs d’objets connectés, alors même que ces appareils inondent le marché. Selon une estimation récente, d’ici à 2025*, le monde comptera 125 milliards d’appareils connectés à internet. À mesure que ces appareils se généraliseront, les problèmes de sécurité qu’ils occasionnent se multiplieront également.

La serrure comporte plusieurs mesures de sécurité utiles comme le chiffrement des données, qui vise à empêcher les personnes non-autorisées d’accéder aux informations critiques pour le système, comme le mot de passe.

Toutefois, F-Secure Consulting a trouvé un procédé relativement simple permettant de contourner ces mesures. Par ailleurs, comme l’appareil ne peut recevoir aucune mise à jour de firmware, cette faille ne peut être corrigée.  Les propriétaires de ces serrures devront donc remplacer la serrure ou accepter de courir le risque d’un cambriolage.

Krzysztof Marciniak rappelle que des mesures de sécurité ne sont efficaces que si elles sont correctement implémentées. Il invite les fabricants d’objets connectés à toujours garder ce principe à l’esprit.

« En matière de sécurité, il n’existe pas de solution miracle. Chaque mesure de protection doit être adaptée à l’utilisateur, à l’environnement, au profil de menace de l’appareil, etc. Cela n’a rien de facile, mais si les fabricants d’objets connectés choisissent de concevoir des produits qui ne peuvent pas recevoir de mises à jour, il leur faut les sécuriser parfaitement d’emblée. »

Le consultant F-Secure recommande par ailleurs aux particuliers de porter une attention particulière au facteur « sécurité » au moment de remplacer leurs dispositifs traditionnels par des objets connectés.

F-Secure Consulting opère sur quatre continents, dans 11 pays, et offre des services de cyber sécurité adaptés aux besoins des banques, des services financiers, de l’aviation, du transport maritime, de la distribution, des assureurs et d’autres organisations travaillant dans des secteurs très ciblés.

En raison de la facilité de l’attaque et de l’impossibilité pour le fabricant de patcher les produits en circulation, F-Secure Consulting a choisi de ne pas divulguer certains détails techniques nécessaires à l’exécution de l’attaque. Toutefois, un avis et un blog post contenant plus d’informations ont été publiés sur F-Secure Labs. F-Secure Consulting propose une assistance et des services supplémentaires aux vendeurs d’objets connectés.

*Source : https://www.techradar.com/news/rise-of-the-internet-of-things-iot

À propos de F-Secure

F-Secure dispose d’une visibilité inégalée sur les cyber attaques réelles. Nous comblons le fossé entre détection et réponse aux cyber attaques. Pour ce faire, nous misons sur l’expertise inégalée de centaines de consultants techniques − les meilleurs du secteur −, sur les millions d’appareils exécutant nos logiciels récompensés et sur des innovations permanentes en matière d’intelligence artificielle. Banques, compagnies aériennes et multinationales nous font confiance pour combattre les cyber menaces les plus redoutables. Avec notre réseau de partenaires de distribution et plus de 200 fournisseurs de services, nous veillons à ce que chacun puisse compter sur une cyber sécurité de haut-niveau.

Fondée en 1988, F-Secure est une entreprise du NASDAQ OMX Helsinki Ltd.

f-secure.com | twitter.com/fsecure | facebook.com/f-secure

Le Blog de F-Secure | Espace Presse F-Secure |

Contacts Médias

Vivien Michelet
vivien@elektron-presse.com
+33 (0) 1 75 77 14 28

Derniers communiqués de presse

26 mai 2020

Certains modèles de téléphones android potentiellement vulnérables, en fonction de leurs régions d’utilisation

Des recherches démontrent que du fait des configurations régionales, certains appareils android souffrent de problèmes de sécurité et rendent leurs utilisateurs vulnérables dans certains pays… mais pas dans d’autres. Rueil-Malmaison, 26 mai 2020 : Android domine le marché mondial des smartphones. Ce système d’exploitation est actuellement utilisé sur un grand nombre de téléphones. Les recherches […]

7 mai 2020

F-Secure, Windstream et Actinote remportent un prix BMMA pour leur offre de sécurisation des foyers connectés

Ce prix du Partenariat Marketing Best In Class 2020 récompense le travail de collaboration qui a permis à ces trois entreprises de proposer aux particuliers une solution de sécurité intégrale.   Rueil-Malmaison – 7 mai 2020 : La Broadband Multimedia Marketing Association (BMMA) a récompensé la collaboration entre Windstream, l’un des principaux fournisseurs américains de […]

28 avril 2020

F-Secure confirme sa position de leader lors de la 2ème évaluation MITRE ATT&CK, grâce à ses détections rapides et documentées

Les outils de détection et de réponse de F-Secure se sont classés parmi les meilleurs du secteur grâce à leur couverture complète, leur visibilité accrue et leur précision. Rueil-Malmaison, France – 28 avril 2020 : F-Secure, fournisseur de solutions en cybersécurité, a achevé avec succès sa deuxième évaluation MITRE ATT&CK®. Ses outils de détection et […]

15 avril 2020

F-Secure lance Countercept Rapid, une nouvelle offre de détection et de réponse facile à déployer

Cette solution, dont le déploiement est rapide et flexible, fournit des mécanismes de détection et de réponse de haut-niveau contre les cyberattaques, sans nécessiter de longs engagements contractuels. Rueil-Malmaison, France – 15 avril 2020 : F-Secure, fournisseur en cybersécurité, lance une nouvelle offre basée sur son service primé de détection et de réponse (MDR), F-Secure […]

%d blogueurs aiment cette page :