La serrure numérique, une question de sécurité informatique
L’avantage de ces outils connectés, c’est qu’ils sont très pratiques.
Ils permettent par exemple à un enfant qui a perdu son trousseau de clés de pouvoir rentrer sans souci dans son domicile ou permettre à un parent qui passe à l’improviste d’accéder au domicile à travers une clé virtuelle. Mais leur caractère connecté, pose le plus souvent la problématique de la sécurité.
Cet article va aussi vous intéresser : Les menaces informatiques des nouveaux outils connectés
Ce sont les outils qui sont assez populaires aux États-Unis. En France par contre, le déploiement d’un tel système se fait très lentement. D’un autre côté, il existe différents modèles et modes de fonctionnement, c’est ce qui marque une grande variation de ce produit connecté. Alors qu’il existe certains qui complètent les verrous qui existent déjà, d’autres les ont complètement remplacé. Il y a certains modèles qui peuvent être déverrouiller grâce à un objet qui prend la forme d’une clé, d’un d’un porte-clé ou même un bracelet. Pour certains modèles suffit de taper un code pour que la porte s’ouvre alors que d’autres possèdent des enceintes Bluetooth permettant à l’utilisateur de le déverrouiller grâce à un smartphone. C’est d’ailleurs par ce procédé qu’il est possible d’envoyer une clé virtuelle à une autre personne. En tenant compte de cette spécification. Ces serrures numériques doivent être assez solide non seulement sur le plan mécanique mais aussi sur le plan technique et informatique. Car, le premier danger ne sera pas une effraction classique mais plutôt un piratage.
Selon une enquête menée près des spécialistes du journal Le Monde, il a été révélé que dans la majeure partie des cas ces serrures numériques ne répondaient pas aux normes de sécurité requises. Selon Anthony Rose et Jake Krasnov, 70 % des serrures testées présentait un niveau de sécurité jugé « nul ou pauvre ». Nos chercheurs noterons : « A l’époque, nous avons relevé des erreurs sur beaucoup de produits vendus comme sûrs ». Cependant aujourd’hui, ces derniers estiment que le niveau de sécurité de ses outils a quand même connu une évolution : « Beaucoup d’entreprises prennent désormais le temps de concevoir des applications robustes et de sécuriser [les communications]. L’idée est de faire en sorte qu’une attaque coûte trop cher au voleur, ou prenne trop de temps comparativement à un autre type d’attaque [mécanique par exemple]. Toutefois, le marché comporte toujours beaucoup de serrures connectées qui rognent sur la sécurité. »
Du côté du Centre national de prévention et de protection (CNPP), le directeur du pôle laboratoire malveillance, Hervé le Coq et Ibrahim Daoudi, un ingénieur informatique ont noté aussi que le niveau sécuritaire des serrures numériques a beaucoup progressé depuis 2016. L’institution reconnait de façon officielle que la serrure répondant à la norme A2P sont assez résistantes ils peuvent offrir à leur utilisateur une protection adéquate. Pour le moment, je ne sais pas encore prononcer sur celles qui répondent à la norme A2P@, alors que les premières serrures qui ont fonctionné avec ce protocole n’ont reçu qu’une seule étoile sur 3. « Cela correspond à un agresseur de niveau 1, un “script kiddie” [un débutant] qui, pour schématiser, reproduit des tutoriels d’effraction repérés sur YouTube. Nous n’avons pas encore testé de serrure qui mérite une deuxième étoile, et serait donc capable de résister à un informaticien doté de petites connaissances en hacking. Encore moins à un agresseur de niveau trois, un expert en cybersécurité malveillant. », en outre, « il n’est pas complètement impossible qu’un jour nous retirions le certificat numérique A2P@ à une serrure connectée, si une faiblesse importante est repérée. ». Notait le responsable de la CNPP. Car en pratique, il est totalement impossible pour les experts de la sécurité informatique de prévoir toutes les failles de sécurité sans y être confrontées directement par une attaque.
Comme quoi, il existe toujours une vulnérabilité peu importe les moyens de sécurité déployés. « Une chose contre laquelle il est impossible de planifier sa défense, ce sont les nouvelles failles informatiques, les “zero-day. Elles peuvent introduire une faiblesse que le concepteur n’a jamais envisagée, lui ou les éventuels sous-traitants qui l’aident en testant la sécurité de l’appareil avant sa sortie. » expliquait-Anthony Rose.
Accédez maintenant à un nombre illimité de mot de passe :