|  |  | 

Dossier News

Dossier : Alarmes sans-fil Brouillage alarme, piratage, Vulnérabilités, Perturbation, Fréquences 433 ou 868 MHz

Dossier sur le brouillage des alarmes sans fil, les vulnérabilités et les technologies utilisées

Depuis le début des années 90, les systèmes d’alarme sans-fil n’ont cessés de se perfectionner et surtout, de se démocratiser dans les installations résidentielles, mais également professionnelles. De nombreux fabricants ont alloués une part de leurs bénéfices en R&D afin de moderniser grandement les systèmes d’alarme sans-fil. Pourtant subsistent toujours de nombreux préjugés cantonnant les systèmes d’alarme sans-fil au rang de gadget de piètre qualité face aux solutions 100 % filaire. A contrario, certains pensent que le filaire est devenu tout bonnement obsolète voir ringard et ne juge que par le sans-fil… Qu’en est-il vraiment ? Les systèmes d’alarme sans-fil on fait de nets progrès en matière d’autonomie, en fiabilité et surtout dans le domaine de la sécurité. Malheureusement, tous les systèmes ne se valent pas et bon nombre d’entre eux n’ont que comme qualités, un argumentaire commercial bien rodé associé à un packaging de qualité… Subissant la tendance du « brouillage », de nombreux systèmes d’alarme sans fil grand public disponibles à l’achat ou à la location trouvent pourtant chaque année un grand nombre d’acquéreurs.

Aux USA, certains journaux célèbres ont relatés de grosses vulnérabilités concernant des systèmes d’alarme installés par certaines compagnies spécialisées en installations d’alarme. De grosses lacunes en matière de brouillage ou encore, l’absence de cryptage dans la transmission résultant d’un affichage en clair des mots de passe utilisateur lors d’un armement à la télécommande. Face à ce genre de produits, l’argument du 100 % filaire a encore de beaux jours devant lui… Quoique… Je me rappellerai toujours avoir réussi à extraire tout le contenu d’un système d’alarme de 2001 à la renommée mondial, afin de récupérer une programmation/code ingénieur à l’aide d’un simple petit lecteur d’EPROM à 45,00 €… La programmation complète, les codes d’accès utilisateurs et ingénieur étaient parfaitement visibles. Ça, c’était avant… 🙂 Rassurons-nous, de nombreux fabricants historiques comme Paradox, Visonic, Risco, DSC, Videofied ou Honeywell (liste non exhaustive), proposent des systèmes d’alarme sans-fil (très) perfectionné à la pointe de la technologie, des systèmes d’alarme anti brouillage n’ayant rien à envier à leurs homologues filaires. Des solutions d’alarme sans fil où l’accent est misé sur la sécurité, la protection face à toute tentative de brouillage et bien sûr la fiabilité sur le (très) long terme. Cf. Article : Comparatif des alarmes sans fil.

Brouillage des alarmes : Rappel des principes fondamentaux du fonctionnement d’un système d’alarme sans-fil « Radio »

Un système de sécurité sans-fil est composé d’émetteurs dont l’abréviation est « TX » (détecteurs, télécommandes, claviers, sirènes, détecteurs photos…) associé à un ou plusieurs récepteurs dits « RX ». La centrale d’alarme recevant les informations est un récepteur « RX ». Son but est de centraliser tous les signaux provenant des périphériques constituant le système d’alarme. Chaque périphérique qui compose le système d’alarme transmet des signaux de communications par courant « RF » Radio Frequency à travers une antenne imprimée ou séparée de type hélicoïdal ou unipolaire (selon le fabricant d’alarme), au panneau de commande. Lorsqu’un événement se produit (zone ouverte, zone fermée, une mise en service, une alarme en cours, un sabotage, un défaut…) le périphérique émetteur convertit le signal numérique en signal RF pour le transmettre au panneau de commande. Le récepteur « RX » en l’occurrence notre centrale d’alarme, reconverti le signal RF reçu en signal numérique, le décode puis l’interprète afin de le traiter en tant qu’information.

Une technologie vieille de plus d’un siècle ayant fait ses preuves dans de nombreux domaines. Dans le monde des systèmes d’alarme, les premiers systèmes sans-fil semblent s’être démocratisés dans le courant des années 80. Une époque, ou les alarmes « anti brouillage » n’étaient pas présentes. Les brouilleurs de fréquences ont presque toujours existé avec des usages différents de ce que nous connaissons actuellement. Bien que présentes depuis de nombreuses années, les transmissions « RF » pour Radio Frequency ne semblent pas toujours être maitrisées parfaitement par certains fabricants. Une maitrise parfois hasardeuse pouvant rendre le brouillage des systèmes d’alarme sans fil d’une simplicité enfantine. Il y’a déjà quelques années, j’ai eu l’occasion de découvrir un système d’alarme sans fil brouillable & de surcroît neutralisable à l’aide d’un simple petit… talkie-walkie ! Une hérésie, mais qui malheureusement reflète cette triste réalité. Soulignons toutefois qu’il s’agissait d’un système d’alarme à bas coût, loin des standards d’équipementiers de sécurité bien plus à cheval sur les vulnérabilités de leurs produits de nos jours. Malgré l’existence de longue date de cette technologie, il n’est pas rare de découvrir des produits vendus sur la toile ou dans le commerce bénéficiant intrinsèquement de nombreuses vulnérabilités. À travers ce dossier dédié au brouillage des systèmes d’alarme sans fil, nous allons explorer la plupart des vulnérabilités.

Brouillage des alarmes sans fil : Quelles fréquences choisir pour son système d’alarme sans fil ? 433 MHz ou 868 MHz ?

Régie par l’ARCEP, les AFP pour Appareil de Faible Puissance sont parfaitement encadrés au sein de l’annexe 7 de répartition des bandes radio. Voir : www.anfr.fr. Annexe également consultable ici – Télécharger Annexe A7. Les systèmes d’alarme sans fil utilisent en France, une ou deux bandes radio selon les fabricants. La plus connue à ce jour est la bande 433 MHz (433,050 à 434,790 MHz) pour des applications résidentielles & professionnelles par exemple. Une bande libre au triste surnom de « bande poubelle »… Rassurez-vous, nos voisins d’outre-Manche bénéficient eux aussi de leur fameuse bande poubelle, en 418 MHz ! Encombrée, la bande 433 MHz est utilisée par un (trop) grand nombre de périphériques divers et variés (casque sans fil, télécommandes, station météo, volets roulant, porte de garage…). En milieu urbain, les perturbations sont malheureusement très fréquentes entre équipements voisins. Les plus grands risques de perturbations viennent assez souvent des radioamateurs. En effet, 430/440 MHz étant une bande de fréquence libre leur étant accordés. La très forte puissance de leurs antennes allant jusqu’à 100 watts et plus, risque de perturber grandement les petits émetteurs 433 MHz et leur 10 MW qui constituent les périphériques des alarmes sans-fil.

La bande 868 MHz quant à elle, se situe entre 868,6 MHz et 868,7 MHz. Cette bande est réservée aux systèmes de sécurité sans fil classés dans la catégorie « équipements non spécifiques » et « alarmes ». La bande de fréquence 868 MHz permet donc d’écrémer les perturbations environnantes grâce à une meilleure homogénéité dans les puissances d’émissions. Théoriquement, la bande 868 MHz pèche par des portées moindres face à son homologue en 433 MHz. Les ondes 433 MHz offrent une portée supérieure à celles en 868 MHz, avec malheureusement, des débits moindres. Dans la pratique les systèmes d’alarme en 868 MHz offrent des performances identiques en matière de portée compensées par des émetteurs/récepteur de plus forte puissance pour pallier à ce type de lacune. Il est à souligner que la plupart des systèmes d’alarme professionnelle digne de ce nom sont exclusivement en 868 MHz (Paradox, DSC, Bosch, Visonic, Honeywell, Risco, Videofied…) ou en double fréquence (433 MHz – 868 MHz) gage de sérieux & de qualité.

Choisir un système d’alarme en 868 MHz est à nos yeux, une prérogative de base lors de l’acquisition d’un système d’alarme. Pour autant, s’orienter vers une solution d’alarme en 433 MHz n’est pas pour autant garant d’échecs, de brouillage et de problèmes à tout va. (Désolé pour cette contradiction). Le brouillage des alarme sans fil est tout à fait possible sur ces deux fréquences. De nombreux systèmes d’alarme sans fil en 433 MHz assurent la surveillance de nombreuses habitations sans présenter la moindre avarie tout en résistant aux actes de brouillages durant tout leur cycle de vie. La théorie n’est pas toujours le reflet exact de la réalité en somme… Toutefois, la bande de fréquence 433 MHz reste potentiellement plus à risque en matière de perturbations. Certains arguments en faveur du 868 MHz s’appuient sur une vitesse supérieure en comparaison à la fréquence 433 MHz. Dans la théorie, il est vrai que les ondes 868 MHz se propagent plus vite de manière infime. Toutefois, la différence se montre tout bonnement anecdotique et compte tenu de la vitesse de propagation des ondes radio, la différence qui opposent ces deux fréquences se montrera imperceptible et inutile pour des applications de sécurité/domotique.

Classement des ondes radio – Spectre radiofréquence

  • Désignation
  • Ondes myriamétriques VLF
  • Ondes kilométriques LF
  • Ondes hectométriques MF
  • Ondes décamétriques HF
  • Ondes métriques VHF
  • Ondes décimétriques UHF
  • Ondes centrimétriques SHF
  • Ondes milimétriques EHF
  • Applications
  • Communication sous-marins, Recherches scientifiques…
  • Radionavigation, Radiodiffusion GO, Radio-identification
  • Radio AM, Service maritime, Secours en montagne
  • Militaire, Maritime, Aéronautique, Radioamateur, Météo
  • Radio FM, Aéronautique, Maritime, Gendarmerie, Pompiers, militaire
  • Réseaux privés, ISM, Système d'alarme, Militaire, GSM, GPS
  • Réseaux privés, Wi-Fi, Micro-onde, TV satellite, Faisceau hertzien
  • Réseaux privés, Radars anti-collision pour automobiles
  • Fréquences
  • 9 kHz - 30 kHz
  • 30 kHz - 300 kHz
  • 300 kHz - 3 MHz
  • 3 MHz - 30 MHz
  • 30 MHz - 300 MHz
  • 300 MHz - 3 GHz
  • 3 GHz - 30 GHz
  • 30 GHz - 300 GHz
  • Longueur d'onde
  • 33 km - 10 km
  • 10 km - 1 km
  • 1 km - 100 m
  • 100 m - 10 m
  • 10 m - 1 m
  • 1 m - 100 mm
  • 100 mm - 10 mm
  • 10 mm - 1 mm

Système d’alarme sans fil à double fréquence : un choix judicieux contre le brouillage ou purement marketing ?

Certains systèmes d’alarme bénéficient de solutions dites à « double fréquences » qui d’un point de vue marketing, semblent grandement séduire les utilisateurs. Les systèmes d’alarme à double fréquence sur bande éloignée (433 MHz & 868 MHz) possèdent en effet un bel avantage en matière de sécurité. En cas de brouillage sur l’une des fréquences, la seconde prendra le relais immédiatement permettant ainsi de maintenir une transmission valide. La double fréquence non rapprochée (433 MHz & 868 MHz par ex.) présente un certain intérêt en matière de brouillage. Il sera plus complexe d’occulter ces deux fréquences d’une pierre de coup même si sur papier, certains brouilleurs semblent capables d’occulter toute une plage (Jammer plage 315 MHz à 2170 MHz). La double fréquence sur le principe de la redondance prend tout son sens en cas de défaillance sur l’une des bandes suite à des éléments perturbateurs par exemple.

Malheureusement en y regardant de plus près, cet excès de sécurité sonne comme un doux euphémisme sur certains produits orientés grand public. En effet, il arrive que des systèmes d’alarme dits à « double fréquence » soient basés sur des fréquences rapprochées allant de 433,42 MHz à 433,92 MHz. L’appellation « double fréquence » se montre certes véridique sur papier, mais dans la pratique, un brouillage sur base 433 MHz occultera immédiatement la gamme complète 433,XX MHz. Quand on prend conscience que les brouilleurs « débordent » largement, on comprend très vite le peu d’intérêt des doubles fréquences rapprochées d’un point de vue brouillage. Quant à la bande 433 MHz utilisée sans bandes suplémentaires, nous préférons tout bonnement l’oublier et la laisser à son appellation d’origine « Bande poubelle » (!) En effet, mieux vaut amplement sécuriser la transmission en 868 MHz à la façon de Visonic/DSC et son « CodeSecure », ou encore la technologie brevetée S2View® du fabricant Videofied qui assure l’intégrité du signal tout en gardant une sécurité maximale grâce au cryptage AES !

Brouillage des alarmes sans fil : Les sources possibles d’interférences et d’atténuation des systèmes d’alarme sans fil

Dans la théorie, tout type d’appareil émettant des ondes sans-fil peut être générateur d’interférence. Le signal interférant n’a aucunement besoin d’être sur la même fréquence pour interférer celui-ci… Les radioamateurs (Ham), télécommandes sans-fil, appareils médicaux, industriels, tours de communications GSM, appareils électriques sont susceptible de générer de fortes interférences visant à nuire grandement l’échange de ces signaux RF échangés entre le système d’alarme et les périphériques. Les interférences électriques font partie des sources de perturbations les plus redoutées, qu’elle soit de type naturel (orages, éclairs) ou présentes dans un environnement proche et régulier (poste à soudure, relais de forte puissance, éclairage de type néon, moteur asynchrone en phase de démarrage, courant de forte puissance produisant le fameux « Effet Flicker » …).

Certaines perturbations électriques moins communes comme les effets de couronnes typiques des lignes haute tension peuvent perturber voir entraver les signaux RF en cas de proximité immédiate d’une ligne à haute tension (haute tension HTB) avec l’habitation. Les phénomènes d’atténuations sont également à prendre en considération lors de l’élaboration du projet de sécurisation. En effet, les signaux RF peuvent être fortement absorbés par des éléments présents sur place (portes, murs, humidité ambiante, plancher, poutre de renfort IPN, végétation dense, etc.). Les interférences sont parfois complexes à occulter en raison de la proximité parfois très éloignée de celles-ci. La plupart des systèmes d’alarmes actuelles sont capables de fonctionner en environnement entre guillemets perturbé sans présenter la moindre avarie. L’installation d’un système d’alarme sans fil en environnement dégradé reste toutefois prohibée. En environnement hostile, l’utilisation d’un système d’alarme filaire prendra tout son sens et permet, a contrario des systèmes d’alarme sans fil de type radio, de ne pas subir des perturbations électriques ou d’environnements typique de l’industrie.

Les moyens de contrôle utilisé pour sécuriser & fiabiliser l’échange des signaux RF entre émetteurs/récepteur

Afin éviter toute erreur dans l’échange des signaux RF, des algorithmes de contrôle de redondance cyclique (CRC pour Cyclic Redundancy Check) sont mis en place et permettent de s’assurer que l’information reçue est envoyée de façon constante et sans erreurs au panneau de commande, en l’occurrence notre centrale d’alarme sans fil pour ce dossier. Les algorithmes de redondance cyclique « CRC » permettent de s’assurer par comparaison « avant et après » et pendant la transmission, l’absence totale d’erreurs due à des interférences par exemple. Cela permet de s’assurer que la trame transmise entre les émetteurs et le récepteur ne comporte aucune erreur. L’inspection permet également de confirmer la validité du signal RF afin de s’assurer qu’il provient de la bonne source (détecteurs, claviers, sirènes…) et non d’un périphérique radio tierce, qui utiliserait une fréquence identique (casques, télécommandes, etc.).

Les signaux radio échangés entre les périphériques et la centrale (émetteur/récepteur-centrale) sont envoyés à plusieurs reprises, augmentant la fiabilité et par la même occasion, la qualité de transmission dans des environnements hostiles. À titre d’exemple, si 8 envois de signaux RF ont lieu avec 7 fois, des erreurs dans leurs trames, la transmission RX/TX sera tout de même validée par la centrale d’alarme. La redondance permet ainsi une bonne réception des données même si l’environnement n’y est pas favorable. Les tests de redondances cycliques sont déployés dans de nombreuses applications. Ce mécanisme va permettre de garantir l’intégrité des données échangées en apportant un contrôle systématique. À titre d’exemple, dans le domaine de l’informatique, le contrôle de redondance cyclique est massivement présent lors d’un transfert de fichiers. Lors d’un transfert (par ex. disque à disque), une somme de contrôle vient s’ajouter aux données que l’on copie (Checksum). À réception sur l’unité de stockage, cette somme est recalculée permettant de vérifier l’intégrité des données transmise.

Le brouillage des alarmes sur fréquences 433/868 MHz : Jammer & attaque de type « Software Definied Radio »

Le principe des systèmes de brouillage RF et GSM (appelé aussi Jammer – brouilleur d’ondes) est d’émettre sur la même gamme de fréquences, un signal plus puissant afin de noyer le signal d’origine entre l’émetteur et le récepteur sans fil dans le but de rendre inopérantes les trames échangées. Une méthode de plus en plus utilisée qui permet de neutraliser certains systèmes d’alarme, mais également, de nombreux périphériques utilisant les ondes radio (transmission GSM, équipements domotiques, télécommandes, Wifi, etc.). Empêcher ce type d’attaque est à ce jour tout bonnement impossible. Toutefois, des scénarios de protection sont déployés afin de contrer, sans pour autant empêcher le brouillage des alarmes sans fil par Jammer. Si nous prenons à titre d’exemple une tentative de brouillage sur la fréquence 433 ou 868 MHz sur un laps de X minutes, les sirènes se déclencheront et les notifications de brouillage seront transmises à l’utilisateur et/ou vers un centre de télésurveillance.

Si la partie connectivité GSM est quant à elle également brouillée, l’alarme sans fil transmettra sur un canal différent (IP, RTC, 3G,4G, Sigfox…) permettant l’alerte à son utilisateur. Si malheureusement un seul canal de transmission est choisi et que celui-ci se trouve dans l’impossibilité de transmettre, l’information sera uniquement envoyée lors d’un retour à la normale soit après la fin d’une tentative de brouillage. Le brouillage des alarmes sans fil par « Jammer » est la méthodologie la plus aisée à mettre en œuvre grâce à son rapport simplicité/coût/temps. L’utilisation d’un brouilleur à plusieurs bandes permet d’occulter de nombreuses fréquences radio. Heureusement, comme nous l’avons vu dans ce paragraphe, les équipementiers d’alarme sont capables d’apporter pour la plupart, une réponse fiable permettant de se prémunir à ce genre d’attaques.

Moins connues et plus sournoises voir indétectables pour certains systèmes d’alarme sans fil, les attaques de types « SDR » pour Software Definied Radio (en anglais, Replay Attack ou Playback Attack) visent à écouter, à intercepter le spectre radio RF à l’aide d’un émetteur/récepteur SDR possédant une écoute des bandes allant de 300 MHz à 928 MHz et prenant en charge les modulations ASK, OOK, GFSK, 2-FSK, 4-FSK, MSK. Couplé à une suite logicielle, les signaux RF standards sont décryptés puis « rejoués », renvoyés au système d’alarme afin de prendre le contrôle de celui-ci. Des sources comme « RFCat » sont capables de réinjecter les signaux RF en toute simplicité sans la nécessité de bénéficier de matériel complexe. Ce type d’attaques bien que plus rare ne sont pas détectées comme des tentatives de brouillage par les systèmes d’alarme sans fil n’étant pas capable de faire la distinction d’un signal radio légitime émis par une télécommande, à celui émis par un ordinateur de manière illégitime.

Pour rappel : Différents types d’attaques par brouillage :
1.a. Attaque par brouillage des signaux RF – Attaque par brouilleur communément appelé « Jammer »
1.b. Attaque par réémission des signaux RF – Attaque communément appelée « Replay Attack »

Ainsi, un utilisateur qui « désarmerait » son système d’alarme à l’aide de sa télécommande (émettant un signal radio RF vers la centrale) pourrait se voir intercepter ce-dit signal puis le voir être rejoué à des fins malintentionnées. Le désarmement par l’utilisateur (illégitime) sera bien archivé par la centrale d’alarme et considéré comme « normal ». Les attaques par « réémission des signaux » sont toutefois assez communes chez nos voisins d’outre-Atlantique, mais restent (pour l’instant) marginales sur notre territoire. Des attaques facilitées par l’avènement d’équipements disponibles et qui touchent de nombreux secteurs allant de la domotique, à certains automatismes, en passant par les systèmes d’alarme, clés de voiture, motorisations de portails etc. Les systèmes n’utilisant pas de parades contre ce type d’attaques soulignent les failles intrinsèques que beaucoup d’objets connectés, capteurs, systèmes d’alarmes ou autre héritent nativement. Heureusement, bon nombre de fabricants de sécurité, de domotique ou autre apportent des réponses de taille particulièrement efficace pour se prémunir face à ce genre d’attaques. Prudence sera de mise lors d’acquisition de périphériques sans fil afin de ne pas se retrouver avec de véritables passoires à son domicile. Le choix d’une alarme « anti brouillage » prenant en compte également cette variable se montrera nécessaire.

La réponse des fabricants de systèmes d’alarme face aux attaques de type SDR : attaques par Rejeu, Replay Attack

Heureusement, bon nombre de fabricants historiques (ou non) ont bien pris en compte l’importance d’une sécurisation des données échangées entre les émetteurs/récepteur d’un système d’alarme. Les informations restent toutefois très compliquées à obtenir (ce qui est tout à fait normal et appréciable) mais avec un peu de perspicacité, il sera possible de comprendre les protocoles instaurés par les fabricants. Des moyens simples comme la communication bidirectionnelle, le chiffrement de type « AES 128 bits », permettent de pallier à de nombreuses attaques. Supposons qu’un individu utilise un émetteur/récepteur SDR de type YardStick One, intercepte les données chiffrées « uniques » qui transitent entre un périphérique et le système d’alarme, puis tente de rediffuser ce message encrypté vers le panneau d’alarme afin par exemple, de désarmer celui-ci. Immédiatement, le système d’alarme refusera ce signal RF pour deux raisons : celui-ci a déjà été transmis une fois lors d’une précédente action par l’utilisateur et l’horodatage ne correspond pas. Ainsi, la rémission de « vieux » signaux RF s’avère être impossible et ne « matcheront » pas avec la centrale. Nombreux fabricants d’alarmes dignes de ce nom utilisent la modulation à spectre étalé qui offre un très (très) haut niveau de sécurité, à notre connaissance inviolable.

L’utilisation de « Rolling Code » appelé communément, « Code Tournant » (code différent à chaque mise en/hors service du système d’alarme) évite les attaques par capture des signaux RF et rémission de ceux-ci. La génération de codes aléatoires lors d’échanges RF entre la centrale et les périphériques concerne également les autres périphériques qui composent une solution d’alarme sans fil (détecteurs, claviers, sirènes etc.). Une technologie sécuritaire, parfaitement en adéquation avec les standards actuels ne permettant pas la réémission des signaux rendant parfaitement sécuritaires les systèmes d’alarme sans fil étant équipés de ce type de contre-mesure. L’appellation « alarme anti brouillage » prends ainsi tout son sens. Merci ! Toutefois, nous sommes obligés d’émettre une petite réserve en indiquant que les méthodologies de transmission basées sur le « Rolling Code » peuvent dans certains cas de figure (exceptionnels) se montrer vulnérables mais ne semblent pas concerner les systèmes d’alarmes. Dans ce cas, la technicité requise (script python, matériels divers et variés…) nécessite de solides compétences en la matière sans aucune garantie de résultat de par l’utilisation de certaines modulations rendant la tâche tout simplement impossible à être exécutée.

Cette faille (malgré tout) a été démontrée par Samy Kamkar en 2015 – Source Wiki. Sur son blog, Samy Kamfar indique clairement que la réussite de ce type d’attaque s’appuie sur des signaux radio à modulation AM/OOK. À titre d’exemple et seulement d’exemple (l’article est déjà très long !), les liaisons radio du fabricant Visonic et sa centrale PowerMaster s’appuient sur la modulation FSK rendant ainsi, la réémission des signaux tout bonnement impossible. Pour clore ce paragraphe consacré à la réponse des fabricants (positive, bonne nouvelle !) face aux attaques par réémissions de signaux, nous tenons à souligner la possibilité d’interception d’autres fréquences non destinées aux systèmes d’alarme. Nous pensons aux caméras Wifi en 2,4 GHz ou autre appareillage sans-fil pouvant « je dis bien pouvant ! » subir des interceptions. Il en va de soi qu’il est important de bien choisir son système d’alarme ou de vidéosurveillance en s’appuyant sur l’expertise de longue date des fabricants historiques, garant de systèmes d’alarmes sans fil de haute technicité inviolable… Rappelons que ce genre de pratiques (attaques, interception, brouillage) sont totalement interdites et bien sûr passibles de lourdes peines de prison.

  • [Articles L33-3 2 et 3, L39-1 3, L 39-1 4 du code des postes et des communications].

Brouillage des alarmes : Alarmes & objets connectés : L’erreur humaine, véritable ode au piratage à grande échelle

Pour ce dernier volet lié au brouillage et aux vulnérabilités des systèmes d’alarme nous nous sommes focalisés sur l’aspect « humain », partie sensible présentant bien plus de risques que le brouillage volontaire des systèmes d’alarme. Cette partie, ou le facteur humain rentre considérablement en jeu est une véritable incitation aux actes de piratage distants. Les attaques par exploitation de brèches laissées par l’utilisateur génèrent une pléthore d’attaques « en masse » non ciblées sur un utilisateur spécifique. Après avoir débattu des failles de sécurité liées intrinsèquement au hardware de certains systèmes de sécurité, nous allons explorer les erreurs humaines et surtout les possibilités d’exploitation de celles-ci. Les objets connectés allant des caméras à certains équipements de sécurité en passant par les systèmes d’alarme bénéficient souvent, en sortie de boîte du très célèbre combo « admin/admin », « 1234/1234 ». Un combo tout droit sorti des enfers dont bon nombre de caméras (surtout les caméras de vidéosurveillance) & certains systèmes d’alarme gardent tout au long de leur cycle de vie.

La plupart des connectivités IP des systèmes d’alarmes ou de vidéosurveillance passent de nos jours par le cloud P2P ou depuis une interface Web après avoir au préalable érigé différentes règles NAT sur la box internet. Le Cloud s’appuie souvent sur une authentification de type Login/MDP associé à un S/N (Serial Number – ID) de l’appareil garant d’un certain niveau de sécurité. Les systèmes de sécurité sur Cloud utilisent la connexion sortante pour joindre les serveurs distants du fabricant. L’adresse IP publique de l’utilisateur ne redirige pas directement sur l’équipement de sécurité et de ce fait, empêche l’interception de l’équipement si connaissance de celle-ci. Le deuxième cas de figure, moins sécuritaire s’appuie sur l’adresse IP de l’utilisateur (box internet) redirigeant directement vers l’équipement de sécurité. Exemple : accéder à l’alarme se fera soit par une redirection de type : http://alarme-axel-44000.dyndns.com (si IP dynamique), redirigeant sur l’adresse IP publique (de l’utilisateur) de type : http://156.254.45.66[port-équipement]-123456. Ce type d’interface s’appuie malheureusement très souvent sur une authentification simple par login/mdp pouvant dans le pire des cas ne pas avoir été changé ou pire, laissée vide !

Brouillage des alarme sans fil : Comment les hackeurs peuvent exploiter les combos admin/admin typique de l’IoT grâce à Shodan.io

Les équipements de sécurité dont les règles NAT ont été préalablement définies dans le routeur sont accessibles directement par l’adresse IP (ou domaine) publique de l’utilisateur. Chaque équipement de sécurité y étant raccordé sera « appelé/différencié » grâce à son « port matériel ». Ce port, propre à chaque fabricant nous indique clairement le type de matériel et bien souvent sa marque sauf en cas de changement de celui-ci. Le Web regorge d’utilitaire tels les 72 démons de la goétie prêts à servir à des fins parfois peu orthodoxes… Shodan, moteur de recherche des objets connectés dresse un tableau peu joyeux des nombreux objets connectés accessibles publiquement. Dans ce dossier sur le brouillage des alarmes, nous ressortons celui-ci du grenier afin de comprendre comment des utilisateurs malintentionnés peuvent rapidement prendre le contrôle distant d’équipement de sécurité mal sécurisé en amont. Une recherche sur Shodan nous renvoie la liste des adresses IP possédant un matériel laissé avec les identifiants de connexion admin/admin ou admin/1234. L’adresse IP y est renseignée, le type de matériel, les ports ouverts, la localité et le système d’exploitation du produit (Linux très fréquemment).

L’accès se fait en toute simplicité, de la même manière qu’une connexion à son propre matériel. Cet accès peut permettre la modification de certains paramètres, la désactivation ou non d’un système de sécurité, de domotique, le contrôle du chauffage et bien plus encore selon le matériel concerné. Une simplicité enfantine qui va droit à l’encontre du respect de la vie privée. Ce type de vulnérabilité est de plus en plus contrée par les fabricants en obligeant à la première connexion, de définir un mot de passe à authentification forte comprenant des chiffres, caracteres spéciaux et lettres. Toutefois, bon nombre de systèmes de sécurité déployés auparavant restent accessibles librement sur la toile sans le consentement de leurs utilisateurs. Certains systèmes de sécurité ne proposent pas de limite login/mdp maximum sur un laps X de temps, ouvrant également la porte à de nombreuses attaques par brute force. À ce jour, novembre 2018, certains systèmes sont livrés avec des combos admin/admin sans obligation de changement et continue à œuvrer librement sur la toile sans que leurs utilisateurs en soient informés. L’absence de notice explicite, le manque de sérieux de certains fabricants, la méconnaissance des produits et l’absence de conseils ouvrent fatalement de nombreuses brèches. La double authentification semble inexistante ce qui se montre réellement insensé et malheureux de nos jours. Triste réalité.

Conclusion : Brouillage des alarmes, faut-il faire encore confiance aux alarmes sans fil ? Oui, sous certaines réserves

Doit-on blâmer l’usager qui investira dans un système d’alarme sans fil peu sécuritaire et qui pourtant, au vu des avis sur le web semblait favorable ? Malheureusement, les tords semblent partager. Certains fabricants ne semblent pas prendre en considération que le monde a fortement évolué, que des outils d’interception de signaux ou de brouillage sont disponibles à moindres coûts et en quantités sur la toile. C’est outils dédiés au brouillage ou à l’interception des signaux radio d’équipements sans fil ne sont pas que réservés à une élite, mais restent accessibles à n’importe qui bénéficiant d’une certaine aisance en informatique. Une tendance qui pour l’instant et heureusement reste marginale.

La pléthore de sites institutionnels qu’il soit dans la langue de Shakespeare ou de Molière renseignera aisément tout individu souhaitant peu à peu maitriser l’art de la neutralisation des radiofréquences. Il est important également que certaines mentalités changent. Nous pensons aux fabricants comme nous l’avons vu tout au long de cet article, mais également aux utilisateurs n’étant pas à l’abri d’une attaque. Comme nous l’avons démontré, les attaques par brouillage semblent ciblées vers un utilisateur particulier à des fins malveillantes (cambriolage, piratage/espionnage industriel, etc.). Les attaques par accès de force (Bruteforce par ex.) ou non (identifiants par défauts) aux interfaces d’administrations auront moins de chance d’être ciblées et se montrent bien souvent perpétrées à grande échelle sur un matériel spécifique. La partie connectivité n’est pas en reste avec des protocoles IP parfois sous-calibrés, ou des faiblesses intrinsèques du matériel (puissance hardware) empêchant tout déploiement de couches de sécurité additionnelles.

Un fléau surtout ressenti dans le domaine des objets connectés ou de nombreux experts décrient quotidiennement les nombreuses failles & vulnérabilités qui régissent le monde de l’IoT. On privilégiera le choix d’un « véritable » (oui, oui !) système d’alarme sans fil qui en amont, aura bénéficié d’un véritable développement, d’une certification dans la mesure du possible attestant d’un certain niveau de qualité. (Cf. Choisir un système d’alarme sans fil). Dans la mesure où les actes de piratages sont légion, l’acquisition de systèmes de sécurité sans marques se fera en ayant au préalable, bien étudié les produits en amont et non les avis émanant de certains forums très souvent volontairement orientés vers tel ou tel produit de sécurité. La connectivité P2P plutôt sécurisée peut vite se montrer intrusive selon les systèmes de sécurité avec des données sortantes injustifiées vers de nombreux serveurs aux quatre coins du globe comme nous l’avions soulignés dans cet article : Dossier : Sécurité et vulnérabilités des technologies P2P, UPnP & Telnet en milieu IoT. En environnement « vidéosurveillance », cette tendance s’est montrée très présente avec certains modèles de caméras. Le monde de l’IoT reste (pour l’instant) peu réglementé et offre une liberté pouvant vite se montrer intrusive pour l’utilisateur final noyé dans de nombreuses contradictions.

Une prise de conscience est nécessaire et semble à ce jour alerter de nombreux fabricants lasser de voir la pléthore d’offres à bas coût embarquant de nombreuses vulnérabilités inondées le marché. Se diriger vers un système d’alarme professionnel semi-professionnel ou même grand public issu de marques « qualitatives » permet de bénéficier des dernières avancées technologiques avec un soutien dans le développement des systèmes, de bénéficier d’un certain niveau de qualité dans la détection, associé à une fiabilité sur le long voir très long terme. Les systèmes d’alarme orientés vers le grand public seront toutefois à examiner avec attention lors d’un achat. Des questions devront se poser et surtout être posées auprès des vendeurs. Principalement sur les moyens mis en œuvre par le fabricant pour contrer les différentes attaques par brouillages (brouillage GSM, brouillage des fréquences, type de fréquence(s) et/ou interception des signaux), en passant par là la qualité des périphériques disponibles, la portée des éléments, leurs autonomies (en condition réelle) des périphériques, etc. Quant aux systèmes sur base domotique, sauf exception nous restons fortement dubitatifs compte tenu les technologies utilisées. Nous les laisserons sagement à leur tâche de base, la domotique. Pardon à mes confrères Domoticien, j’espère qu’ils me comprendront.

etude-des-alarmes-sans-fil-brouillage-vulnerabilite-perturbation-433-ou-868-mhz
REDACTION :

Féru des nouvelles technologies, tout en possédant une fibre "RetroGeek" je suis spécialiste depuis plus de 10 ans dans le domaine de la sureté électronique, autodidacte et perfectionniste avec moi-même, mon métier, au contact des hommes & des machines est la source de mes inspirations.

LAISSER UN COMMENTAIRE

Votre email ne sera pas visible à la publication. Les champs marqués d'un * sont obligatoires

Nom *

Email *

Site internet

Commentaires récents

  • Bonjour Marc, Merci pour votre retour, c’est gentil et toujours appréciable ! Pour répondre à vos questions concernant le brouillage, je vous invite à faire un petit tour sur cet article : <a href="https://www.ass-security.fr/blog/etude-des-alarmes-sans-fil-brouillage-vulnerabilite-perturbation-433-ou-868-mhz/">Brouillage & Vulnérabilité des systèmes d’alarme</a> En cas de coupure courant, les systèmes d’alarme dignes de ce nom tiennent environ 24-48heures sur leurs propres batteries. Concernant le brouillage, n’hésitez pas à lire l’article, justement j’en parle. Il est possible toutefois de passer par des réseaux hors GSM de type LoRa ou Sigfox ce qui fera l’objet prochain d’un dossier consacré à ce type de technologie (les réseaux de transmission LPWAN). Encore merci pour votre commentaire ! Axel

    by Axel Dossier : Comparatif des alarmes maison sans fil certifiées - Quelle alarme sans fil choisir ?

  • Bonjour, Votre article est long et détaillé et pour ce travail de vulgarisation un grand merci :-) Pour moi néanmoins ce la soulève beaucoup d'autres question. Vous semblez favorisez la gamme powermaster de visonic qui présente apparemment d'excellentes caractéristiques. Pour tant celle-ci reste monofréquence et donc facilement brouillable,en quoi cette centrale semble plus sécurisée qu'une autre ? En effet j'imagine qu'une coupure de courant doublée d'un brouillage adéquat va rendre la centrale complètement inopérante. En fait à ce stade je m'étonne du peu d'inventivité des fabriquant d'alarme ...et notamment des centrales à changer de fréquence et/ou a prévoir de base un répéteur GSM éloigné de l'habitation. Un autre point elle ne possède pas de clavier déporté ce qui rends la centrale facilement identifiable et donc neutralisable rapidement. Merci d'avance pour vos précisions.

    by Marcvivi Dossier : Comparatif des alarmes maison sans fil certifiées - Quelle alarme sans fil choisir ?