La serrure connectée August Smart Lock protège votre maison mais pas votre mot de passe Wi-Fi

La serrure connectée de la marque August ne laisse pas les inconnus franchir votre porte, mais un cybercriminel qualifié pourra trouver votre mot de passe Wi-Fi. La vie privée physique est protégée, mais la vie numérique des gens est exposée.

Les serrures connectées sont un ajout intéressant et pratique à la sécurité personnelle, car elles libèrent les gens du fardeau du port des clés. L’industrie hôtelière en est également un grand bénéficiaire; les propriétaires d’établissements pouvant choisir, en quelques clics sur leur téléphone, qui peut entrer dans la propriété.

Comme tout autre système électronique, l’August Smart Lock doit être sécurisé. Toute vulnérabilité exposerait de nombreuses personnes. Heureusement, l’August Smart Lock n’est pas directement connecté à Internet. Il utilise le pont Connect Wi-Fi pour cette fonctionnalité.

Bitdefender s’est associé à PCMag et a étudié un certain nombre d’appareils connectés au cours de l’année écoulée, y compris le Smart Lock d’August. Bien que l’enquête n’ait pas découvert de moyen de désactiver le verrouillage et d’accorder l’entrée à un intrus, elle a révélé qu’avec les bons outils, un pirate peut découvrir votre mot de passe Wi-Fi.

“L’équipe de recherche sur la vulnérabilité IoT de Bitdefender a découvert que l’appareil communique avec l’application de configuration sur le smartphone de manière chiffrée, mais la clé de chiffrement est codée en dur dans l’application”, explique un livre blanc détaillant le problème. “Cela permet à un attaquant potentiel, situé non loin, d’écouter le trafic et d’intercepter le mot de passe Wi-Fi.”

La situation n’est possible que parce que le pont Connect Wi-Fi qui communique avec la serrure a une clé de chiffrement codée en dur. Le développeur obscurcit la communication en utilisant le chiffrement AES/CBC, mais cela ne sert à rien lorsque le pirate accède directement à la clé.

La bonne nouvelle est que seul un cybercriminel ayant des connaissances assez techniques peut suivre la démarche. Mais maintenant que les détails sur la façon dont cela est fait sont bien visibles, des outils d’automatisation pourraient être développés, ce qui simplifierait beaucoup le processus.

Bitdefender suit les règles de divulgation responsable, nous avons donc contacté la société dans un premier temps le 9 décembre 2019. Les fabricants du verrou ont reconnu la vulnérabilité et Bitdefender a réservé le numéro de vulnérabilité CVE-2019-17098 quelques jours plus tard. La divulgation publique coordonnée était prévue pour juin 2020. Malheureusement, le fournisseur a cessé de répondre aux messages, nous avons donc rendu publique la découverte.

Pour un compte rendu plus détaillé de la vulnérabilité, vous pouvez consulter le livre blanc.