En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

Contrôle d’accès et serrures connectées : savoir anticiper la cybermenace

Par Stevenson Olibrice, Responsable Technique et IT chez SimonsVoss Technologies, France

Publication: Mai 2021

Partagez sur
 
Alors qu’au cours de la dernière décennie nous ne pouvions même pas imaginer d’autres appareils intelligents que nos téléphones portables (smartphones), aujourd’hui nous utilisons une multitude d’objets connectés dans notre quotidien...
 

Selon les prévisions d’IDC, le nombre d’objets connectés devrait atteindre 80 milliards d’ici 2025.

Maisons, hôtels et smart buildings regorgent de plus en plus d’appareils IoT interconnectés, pilotables via la voix ou une application mobile. Mais qui dit objets connectés dit aussi sécurité, et la vulnérabilité liée à un cryptage de données qui n’est pas suffisamment évoluée. De ce fait, les serrures connectées et les systèmes de contrôle d’accès, qui ont le vent en poupe, n’échappent pas à la règle. Est-ce suffisant pour éveiller la vigilance des utilisateurs ?

Pour anticiper la cybermenace et atténuer les risques d’un piratage, quelques axes importants sont à prendre en compte.

Fermer la porte d’accès au réseau

Bien que les systèmes de serrures connectées et de contrôle d’accès évoluent, tout comme leur niveau de sécurité, il faut garder à l’esprit que le risque zéro n’existe pas. Il y aura toujours une possibilité de violation du réseau, avec plus ou moins de complexité. Avant d’opter pour une solution de contrôle d’accès intelligent, il faut avant tout comprendre comment les données sont collectées et transmises vers les dispositifs de gestion. Ensuite, il faut savoir comment les sécuriser et éviter qu’elles soient interceptées par les personnes malveillantes.

Et tandis que les fournisseurs travaillent d’arrache-pied pour combler les éventuelles failles de sécurité de leurs solutions et par conséquent de les crypter davantage, il convient également aux utilisateurs de remplir leur part du contrat : actualiser régulièrement les systèmes de gestion contenant de nombreuses bases de données et rendre le réseau moins visible par une éventuelle menace extérieure. Si l’on étend le raisonnement aux bâtiments intelligents, un device centralisé pilote tous les systèmes : entrée, lumières, ventilations, ascenseur... Si ce réseau, auquel est connecté l’ordinateur principal, n’est pas suffisamment sécurisé, il peut devenir rapidement une porte d’entrée pour les hackers.

Déterminer la structure de la base de données

Eléments essentiels pour authentifier un individu et lui autoriser son accès dans un bâtiment ou à une pièce, les badges sont les identifiants contenant les données personnelles et les autorisations d’accès potentiellement exploitables par les hackers. Outre de choisir les badges fonctionnant à plus basse fréquence et avec des technologies de pointe intégrées, il convient avant tout de bien identifier les données qui y seront stockées.

En effet, l’objectif serait de limiter les données au stricte minimum - nom, prénom et code d’accès afin de restreindre les dégâts en cas de piratage.

Le mot de passe par défaut, le talon d’Achille de la sécurité

On se souvient tous du cas de Tesla Model X dont le système a été piraté par un chercheur informatique en sécurité qui avait réalisé un Proof of Concept. Il avait réussi à exploiter plusieurs failles cryptographiques et à récupérer les données de la clé pour prendre le contrôle de la voiture en quelques minutes seulement. Pour y parvenir, il s’est basé sur la technologie Bluetooth Low Energy (BLE). Bien entendu, à la suite de ce test, le chercheur a averti Tesla de la faille que le constructeur a pu corriger. Cette démonstration a mis en lumière que le système de Tesla ne reconnaissait pas que la commande venait d’un système tiers distant. Par ailleurs, d’après le récit du chercheur belge, extraire les données de déverrouillage contenues dans la clé lui a permis d’accéder au véhicule.

Cela dit, lorsque le choix de déployer les solutions de contrôle d’accès en résidentiel ou tertiaire est fait, il convient de prêter une attention particulière à la réaction du système de gestion aux données qu’il réceptionne. La sécurité est d’autant plus optimale si les données en question ne sont pas le seul élément qui fait piloter le système. Il est très important de ne pas se baser sur une règle de communication standard entre le système de gestion et le cylindre ou la serrure et d’utiliser les mots de passe par défaut, mais plutôt des mots de passe dérivés qui rendent le décryptage plus complexe.

Certains fournisseurs proposent des solutions intelligentes capables d’anticiper les règles de commandes d’ouverture en fonction des communications effectuées au préalable. Si le cas de Tesla devait se reproduire pour ouvrir la porte d’une maison ou d’un immeuble, les pirates auraient plus de mal à parvenir à leur fin. Les règles de sécurité étant établies en amont, le système serait capable de reconnaître si la commande vient d’un système distant.

https://www.simons-voss.com/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: