L’alarme connectée, ou le piège des Objets Connectés

L'alarme connectée SimpliSafe peut être désactivée à distance. Son fabricant à coché toutes les cases du Bingo des Objets Connectés vulnérables : échanges radio en clair, firmware impossible à mettre à jour, aucune procédure de contact de sécurité. Mais il est loin d'être le seul...

La mésaventure survenue au fabricant d’alarmes connectées SimpliSafe illustre à merveille les difficultés inhérentes aux Objets Connectés actuels (lire : souvent développés à l’économie et commercialisés trop vite par des fabricants n’ayant aucune culture de la sécurité).

Dans le cas de SimpliSafe, tous les pêchés capitaux de l’Internet des Objets étaient réunis : 

  • Des échanges radio ni chiffrés ni authentifiés
  • Une puce à écriture unique qui interdit toute mise à jour
  • Aucun processus formel de contact sécurité pour aider les chercheurs à alerter le fabricant des failles découvertes

Le cas n’est pas isolé mais les détails de l’affaire sont instructifs. SimpliSafe commercialise des systèmes d’alarmes domestiques pour les particuliers, que l’utilisateur peut contrôler via Internet depuis son smartphone.

Récemment, la société IOActive – qui n’en n’est pas à son coup d’essai – a révélé qu’il était trivial pour un attaquant un peu averti de désactiver l’alarme à distance.

Il lui suffit pour cela d’acquérir lui-même un exemplaire de l’alarme SimpliSafe pour environ 250$. Puis, à l’aide d’une modification électronique simple, il est alors en mesure de transformer son boîtier d’alarme en récepteur des signaux de contrôle des autres installations SimpliSafe à proximité. Il peut également, bien sûr, parvenir au même résultat à l’aide d’un dongle SDR (radio logicielle) beaucoup moins cher mais qui lui demandera un peu plus de travail.

L’élément de contrôle de l’alarme communique en effet avec la centrale via une liaison radio à 433MHz. Ce signal circule en clair et la paire émetteur-récepteur n’est pas authentifiée. Ce qui signifie que n’importe qui situé à proximité du signal est en mesure de l’intercepter et de le rejouer.

La démonstration de IOActive consiste donc à observer à distance le signal à l’aide d’une centrale SimpliSafe modifiée et d’intercepter le message « Alarme activée » et le code PIN « secret » associé. Il lui est alors possible d’émettre un signal « Alarme désactivée » en y joignant le même code PIN. La protection sera alors neutralisée (mais le propriétaire en sera tout de même informé sur son smartphone)

Selon le magazine Forbes SimpliSafe n’est pas le seul à faire preuve d’une grande naïveté en la matière. D’autres fabricants d’alarmes tels ADT ou Vivint ne chiffraient pas leur communications radio non plus. Or il est désormais bien connu que les échanges radio entre objets connectés constituent un point faible particulèrement exposé (on se souvient également des ampoules connectées qui s’échangeaient en clair par radio le mot de passe WiFi du réseau local)

Une puce à écriture unique, ça coûte moins cher

Si cela ne suffisait pas, SimpliSafe a reconnu être incapable de corriger la vulnérabilité. Car il faudrait pour cela être capable de mettre à jour le microcode des centrales d’alarme. Hélas, la technologie utilisée est à écriture unique et elle ne le permet donc pas. Elle a probablement été choisie pour son coût réduit par rapport à une puce capable d’être mise à jour à distance…

Enfin, pour ajouter l’insulte à l’injure, IOActive indique qu’il lui a été particulièrement difficile de contacter SimpliSafe : la société n’avait prévu aucun point de contact officiel et pas de contact sécurité. Les chercheurs n’ont obtenus aucune réponse à des messages envoyés via LinkedIn, par le formulaire de contact du site web ni même à l’adresse email déclarée pour la gestion du nom de domaine (une mesure vraiment désespérée !).

Ce n’est qu’une fois l’affaire parue dans la presse que SimpliSafe s’est fait connaître. L’entreprise a indiqué qu’une nouvelle version de son alarme domestique serait mise sur le marché, avec cette fois une puce reprogrammable à distance (il reste donc à voir comment celle-ci sera protégée contre la reprogrammation sauvage…). Les clients actuels pourront l’acquérir à un tarif préférentiel.

L’accumulation récente de telles affaires liées aux Objets Connectés rappelle les début de l’ouverture aux réseaux publics des systèmes industriels de type SCADA. Des fabricants n’ayant aucune culture de la sécurité se retrouvent soudain plongés dans un milieu hostile où leurs adversaires évoluent depuis déjà plus de quinze ans.

Ajoutons à cela une forte contrainte sur les coûts de développement et de fabrication des Objets Connectés et l’on comprend mieux les ratés actuels…  

Lire les articles précédents :
« Il y a toujours un con qui clique » (FIC 2016)

Des solutions techniques de qualité, une expertise très accessible, une information pléthorique sur la cyber-criminalité. Et pourtant les PME et...

Fermer