Cyber et domotique

Avec la domo­tique, la cyber se convoque dans le quo­ti­dien des par­ti­cu­liers (et ce n’est pas de la science-fiction).

Un brief simple et digne d’un scé­na­rio de film d’action : « Vous êtes devant une mai­son fer­mée. Dans le garage, une voi­ture flam­bant neuve de la marque Tes­la, dont la clef est dans un coffre-fort à l’étage. La clef du coffre ? enre­gis­trée dans un ordi­na­teur por­table à l’intérieur de la mai­son. La mai­son est sous alarme, bien sûr, avec cap­teurs d’ouverture de porte, camé­ra wifi, etc. » Ce brief est don­né, en ce 19 juin 2019, à la Mai­son de la Chi­mie, à l’occasion du Hack in Paris, évé­ne­ment inter­na­tio­nal annuel de cyber­sé­cu­ri­té, devant une mai­son de pou­pée qui repré­sente la mai­son en ques­tion : et les par­ti­ci­pants à cet ate­lier « mai­son de pou­pée connec­tée » ont pour objec­tif d’être les pre­miers à sor­tir la Tes­la sans déclen­cher l’alarme.

Si tout l’environnement a été minia­tu­ri­sé pour l’exercice du 19 juin 2019, les équi­pe­ments sont bien réels et les tech­no­lo­gies exac­te­ment celles qu’on retrouve dans une mai­son sous alarme. Bien sûr l’imaginaire de la Tes­la pro­jette les par­ti­ci­pants dans un autre monde, mais tous les élé­ments sont d’une bana­li­té tech­no­lo­gique à la por­tée du grand public ou des PME : une porte de garage avec une com­mande d’ouverture UHF (433 MHz), des contrôles d’accès NFC, des ordi­na­teurs et iPhone sous wifi, des camé­ras wifi et des cap­teurs d’intrusion com­mu­ni­quant avec la cen­trale de l’alarme. Rien qui ne puisse s’acheter chez Dar­ty ou être ins­tal­lé par des pro­fes­sion­nels de sys­tèmes d’alarme. D’ailleurs l’idée de la confi­gu­ra­tion du garage nous est venue à par­tir d’une alarme réelle d’une moto personnelle.

Hacker une maison connectée pour voler une voiture : un simple challenge pour ingénieur

Le chal­lenge ne repose d’ailleurs pas tant sur la mise en œuvre de prouesses tech­niques, que sur la mise en œuvre d’une stra­té­gie d’attaque sui­vant un che­mi­ne­ment logique : vous êtes devant une mai­son affi­chant un sti­cker wifi « mai­son connec­tée » et vous réflé­chis­sez par quel biais l’attaquer pour arri­ver à vos fins. Sachant que les fai­blesses tech­no­lo­giques aux­quelles vous allez vous confron­ter n’ont rien de très dif­fé­rent de ce que l’on trouve dans la vraie vie : des clefs wifi aux pro­to­coles insuf­fi­sam­ment sécu­ri­sés, des iPhones qui sont très « bavards » quand ils se recon­nectent régu­liè­re­ment au wifi et des pro­to­coles NFC insuf­fi­sam­ment chif­frés qui peuvent être reco­piés, de telle sorte qu’avec un simple smart­phone grand public sous Android vous pour­rez ensuite leur­rer le contrôle d’accès et ouvrir votre porte de garage. Et les défis à rele­ver (clo­ner un badge de porte, pira­ter un wifi et désac­ti­ver le sys­tème d’alarme, accé­der à des don­nées sur un ordi­na­teur, désac­ti­ver une camé­ra et inter­cep­ter le sys­tème radio) peuvent tous être faits à l’aide d’un simple ordi­na­teur por­table, d’un smart­phone grand public (sous Android) et d’un peu de logique. Faut-il être hacker pro­fes­sion­nel pour ce faire ? C’est vrai que l’équipe gagnante qui a réus­si à voler la Tes­la en 45 mn était com­po­sée de hackers éthiques pro­fes­sion­nels d’une grande entre­prise. Mais d’autres équipes qui ont réus­si le chal­lenge en une heure étaient sim­ple­ment com­po­sées d’ingénieurs réseaux juste un peu « geeks ».

La faible maturité de la domotique en termes de protection cyber est problématique

Sans entrer dans des scé­na­rios de science-fic­tion, la domo­tique couvre déjà des champs très larges de notre quo­ti­dien : contrôle d’accès (badges sans contact), ouver­ture de portes (garage, voi­ture, etc.) et inter­phones, alarmes sans fil, cap­teurs domo­tiques, drones, abon­ne­ments urbains (cartes Vélib’, Auto­lib’, Navi­go, etc.), réseaux cel­lu­laires (FSM, DECT), bureau­tique sans fil (sou­ris, cla­viers, casques), etc. Or cette inno­va­tion du quo­ti­dien ne s’est pas tou­jours accom­pa­gnée d’une forte sécu­ri­sa­tion, alors même que les équi­pe­ments pré­sentent des vul­né­ra­bi­li­tés direc­te­ment maté­rielles (capa­ci­té à lire des infos ou hacker direc­te­ment les puces élec­tro­niques), logi­cielles (pas de pro­tec­tion contre des attaques DDoS, mots de passe par défaut jamais chan­gés à l’installation) ou liées aux com­mu­ni­ca­tions avec l’extérieur (pro­to­coles radio uti­li­sés trop peu sécu­ri­sés ou mal uti­li­sés). Et s’attaquer à ces vul­né­ra­bi­li­tés n’est pas réser­vé aux agences de ren­sei­gne­ment, mais peut se faire via des maté­riels grand public. Sans comp­ter que cer­tains maté­riels connec­tés ins­tal­lés ne font l’objet d’aucun sui­vi dans le temps. Une simple visite sur le moteur de recherche Sho­dan per­met de visua­li­ser l’étendu du parc d’objets de votre domi­cile, connec­tés et acces­sibles via Inter­net simplement. 

De la même façon que pour des sys­tèmes d’information clas­siques, les objets connec­tés du quo­ti­dien devraient pour­tant être l’objet de cyber­sé­cu­ri­té ren­for­cée : sécu­ri­té by desi­gn de la part des construc­teurs, ins­tal­la­tions s’assurant de la mise en œuvre de bonnes pra­tiques (ne pas lais­ser des login / mots de passe « admin » confi­gu­rés par défaut), prise en compte au fil de l’eau par les construc­teurs des publi­ca­tions de failles de vul­né­ra­bi­li­té faites par les cher­cheurs et hackers, et appli­ca­tion des cor­rec­tifs ; et enfin, pour les entre­prises, le réflexe de tes­ter sys­té­ma­ti­que­ment les sys­tèmes ins­tal­lés (à l’aide notam­ment d’audits visant à contrô­ler le code source, le sys­tème, la confi­gu­ra­tion, accom­pa­gnés de tests d’intrusion) pour véri­fier notam­ment la sécu­ri­té de l’installation des équipements.

---

Articles similaires :

Gou­ver­nance de l’Internet et gou­ver­nance sur l’Internet La sécu­ri­té de l’internet des objets industriels La cyber­me­nace et le trans­port aérien Cyber et sys­tèmes d’information de san­té : le cas du Ser­vice de san­té des armées Qu’est-ce le hacking éthique ?