2 min de lecture

La serrure connectée August Smart Lock protège votre maison mais pas votre mot de passe Wi-Fi

Bitdefender

Août 17, 2020

Ad Un seul produit pour protéger tous vos appareils, sans les ralentir.
Essai gratuit de 90 jours
La serrure connectée August Smart Lock protège votre maison mais pas votre mot de passe Wi-Fi

La serrure connectée de la marque August ne laisse pas les inconnus franchir votre porte, mais un cybercriminel qualifié pourra trouver votre mot de passe Wi-Fi. La vie privée physique est protégée, mais la vie numérique des gens est exposée.

Les serrures connectées sont un ajout intéressant et pratique à la sécurité personnelle, car elles libèrent les gens du fardeau du port des clés. L’industrie hôtelière en est également un grand bénéficiaire; les propriétaires d’établissements pouvant choisir, en quelques clics sur leur téléphone, qui peut entrer dans la propriété.

Comme tout autre système électronique, l’August Smart Lock doit être sécurisé. Toute vulnérabilité exposerait de nombreuses personnes. Heureusement, l’August Smart Lock n’est pas directement connecté à Internet. Il utilise le pont Connect Wi-Fi pour cette fonctionnalité.

Bitdefender s’est associé à PCMag et a étudié un certain nombre d’appareils connectés au cours de l’année écoulée, y compris le Smart Lock d’August. Bien que l’enquête n’ait pas découvert de moyen de désactiver le verrouillage et d’accorder l’entrée à un intrus, elle a révélé qu’avec les bons outils, un pirate peut découvrir votre mot de passe Wi-Fi.

“L’équipe de recherche sur la vulnérabilité IoT de Bitdefender a découvert que l’appareil communique avec l’application de configuration sur le smartphone de manière chiffrée, mais la clé de chiffrement est codée en dur dans l’application”, explique un livre blanc détaillant le problème. “Cela permet à un attaquant potentiel, situé non loin, d’écouter le trafic et d’intercepter le mot de passe Wi-Fi.”

La situation n’est possible que parce que le pont Connect Wi-Fi qui communique avec la serrure a une clé de chiffrement codée en dur. Le développeur obscurcit la communication en utilisant le chiffrement AES/CBC, mais cela ne sert à rien lorsque le pirate accède directement à la clé.

La bonne nouvelle est que seul un cybercriminel ayant des connaissances assez techniques peut suivre la démarche. Mais maintenant que les détails sur la façon dont cela est fait sont bien visibles, des outils d’automatisation pourraient être développés, ce qui simplifierait beaucoup le processus.

Bitdefender suit les règles de divulgation responsable, nous avons donc contacté la société dans un premier temps le 9 décembre 2019. Les fabricants du verrou ont reconnu la vulnérabilité et Bitdefender a réservé le numéro de vulnérabilité CVE-2019-17098 quelques jours plus tard. La divulgation publique coordonnée était prévue pour juin 2020. Malheureusement, le fournisseur a cessé de répondre aux messages, nous avons donc rendu publique la découverte.

Pour un compte rendu plus détaillé de la vulnérabilité, vous pouvez consulter le livre blanc.

tags


Auteur



Actualités

Les + populaires

Parentalité: la sécurité améliore le temps passé en ligne avec votre enfant

Parentalité: la sécurité améliore le temps passé en ligne avec votre enfant

Août 11, 2021

4 min de lecture
Cinq conseils pour renforcer la sécurité de votre compte Apple

Cinq conseils pour renforcer la sécurité de votre compte Apple

Juillet 16, 2021

6 min de lecture
Journée mondiale des Réseaux Sociaux : maîtriser votre vie numérique

Journée mondiale des Réseaux Sociaux : maîtriser votre vie numérique

Juin 30, 2021

3 min de lecture
7 conseils de sécurité pour protéger votre mobile et vos données personnelles

7 conseils de sécurité pour protéger votre mobile et vos données personnelles

Juin 23, 2021

4 min de lecture
Journée Mondiale du Mot de Passe, pour se rappeler qu'il faudrait vraiment changer «ce» mot de passe

Journée Mondiale du Mot de Passe, pour se rappeler qu'il faudrait vraiment changer «ce» mot de passe

Mai 06, 2021

3 min de lecture
La serrure connectée August Smart Lock protège votre maison mais pas votre mot de passe Wi-Fi

La serrure connectée August Smart Lock protège votre maison mais pas votre mot de passe Wi-Fi

Août 17, 2020

2 min de lecture

FOLLOW US ON

SOCIAL MEDIA


Vous pourriez également aimer

Des caméras utilisées dans des crèches posent de sérieux problèmes de sécurité Des caméras utilisées dans des crèches posent de sérieux problèmes de sécurité
Bitdefender

Février 19, 2021

2 min de lecture
Le président Joe Biden ne pourra plus utiliser son vélo connecté Peloton Le président Joe Biden ne pourra plus utiliser son vélo connecté Peloton
Bitdefender

Janvier 25, 2021

1 min de lecture
Un nouveau logiciel malveillant utilise l'identifiant du WiFi pour déterminer l'emplacement de sa victime Un nouveau logiciel malveillant utilise l'identifiant du WiFi pour déterminer l'emplacement de sa victime
Bitdefender

Janvier 08, 2021

1 min de lecture