{"id":2146,"date":"2022-07-30T03:31:00","date_gmt":"2022-07-30T01:31:00","guid":{"rendered":"http:\/\/www.ass-security.fr\/blog\/?p=2146"},"modified":"2025-02-16T18:47:58","modified_gmt":"2025-02-16T17:47:58","slug":"etude-des-alarmes-sans-fil-brouillage-vulnerabilite-perturbation-433-ou-868-mhz","status":"publish","type":"post","link":"https:\/\/www.ass-security.fr\/blog\/etude-des-alarmes-sans-fil-brouillage-vulnerabilite-perturbation-433-ou-868-mhz\/","title":{"rendered":"Dossier : Alarmes sans-fil, Brouillage alarme, Piratage, Vuln\u00e9rabilit\u00e9s, Replay-Attack, Perturbation, Fr\u00e9quences 433 ou 868 MHz…"},"content":{"rendered":"\n

Depuis le d\u00e9but des ann\u00e9es 90, les syst\u00e8mes d\u2019alarme sans-fil<\/strong><\/a> n\u2019ont cess\u00e9s de se perfectionner et surtout, de se d\u00e9mocratiser dans les installations r\u00e9sidentielles, mais \u00e9galement professionnelles<\/strong>. De nombreux fabricants ont allou\u00e9 un fort pourcentage de leurs b\u00e9n\u00e9fices dans la R&D, permettant de surcro\u00eet, la modernisation des syst\u00e8mes d\u2019alarme sans-fil sur les postes de la s\u00e9curit\u00e9 pour ce pr\u00e9munir du brouillage, la connectivit\u00e9 ou encore, celui des autonomies longtemps rest\u00e9es sujet \u00e0 de nombreux d\u00e9bats ! Pourtant subsistent toujours de nombreux pr\u00e9jug\u00e9s<\/strong> cantonnant les syst\u00e8mes d\u2019alarme sans-fil au rang de gadget de pi\u00e8tre qualit\u00e9, en opposition aux solutions 100% filaires immunis\u00e9es contre le brouillage. A contrario<\/em>, certains pensent que le filaire est devenu tout bonnement obsol\u00e8te, quasi d\u00e9suet et ne jure que par les alarmes sans-fil… Qu\u2019en est-il vraiment\u2009? Les syst\u00e8mes d\u2019alarme sans-fil on fait de nets progr\u00e8s en mati\u00e8re d\u2019autonomie<\/strong>, en fiabilit\u00e9<\/strong> et surtout dans le domaine de la s\u00e9curit\u00e9 principalement contre les tentatives de brouillage au cours de la d\u00e9cennie. Malheureusement, tous ne se valent pas et bon nombre d\u2019entre eux n\u2019ont que comme qualit\u00e9, un argumentaire commercial<\/strong> parfaitement rod\u00e9 associ\u00e9 \u00e0 un packaging de qualit\u00e9. Avec une nette hausse des attaques<\/strong> par \u00ab\u2009brouillage \u00bb ou \u00ab r\u00e9\u00e9mission de signaux – Replay Attack \u00bb, les syst\u00e8mes d\u2019alarme sans fil grand public disponibles \u00e0 l\u2019achat ou \u00e0 la location, se voient fortement mis \u00e0 rude \u00e9preuve, de par l’abondance de brouilleur<\/strong> permettant sous certaines conditions, la neutralisation des alarmes<\/strong> ainsi que d’autres outils disponibles sur la toile…<\/p>\n\n\n\n

Fin 2014, la presse am\u00e9ricaine<\/strong> relatait les nombreuses vuln\u00e9rabilit\u00e9s concernant diff\u00e9rents syst\u00e8mes d\u2019alarme install\u00e9s par des compagnies sp\u00e9cialis\u00e9es en s\u00e9curit\u00e9 \u00e9lectronique. Des lacunes chroniques en mati\u00e8re de brouillage<\/strong> ou encore, l’absence de chiffrement dans les paquets transmis, r\u00e9sultant d’un affichage en clair des mots de passe utilisateur lors d\u2019un armement \u00e0 la t\u00e9l\u00e9commande. Des paquets pouvant \u00eatre intercept\u00e9s \u00e0 distance via une simple \u00e9coute sur la bande de fr\u00e9quence 433 MHz<\/strong>… Face \u00e0 ce genre de syst\u00e8me d’alarme quelque peu permissif, fatalement l\u2019argument du 100 % filaire aura toujours de beaux jours devant lui\u2026! Et pourtant, aucun syst\u00e8me n’est \u00e0 l\u2019abri. Je me rappellerai toujours avoir r\u00e9ussi \u00e0 extraire d’une EEPROM SOIC-8<\/strong>, tout le contenu d\u2019un syst\u00e8me d\u2019alarme professionnel<\/a><\/strong> de 2004 \u00e0 la renomm\u00e9e mondiale, afin de r\u00e9cup\u00e9rer une programmation\/code ing\u00e9nieur \u00e0 l\u2019aide d\u2019un simple petit lecteur d\u2019Eprom \u00e0 45,00 \u20ac… La programmation compl\u00e8te (nom des zones, positions), les codes d’acc\u00e8s utilisateurs et ing\u00e9nieur affich\u00e9s en clair et d’autres informations techniques (libell\u00e9 des zones, t\u00e9l\u00e9surveillance…) <\/p>\n\n\n\n

Rassurons-nous, de nombreux fabricants historiques comme Paradox<\/a><\/strong>, Visonic<\/a><\/strong>, Ajax<\/a><\/strong>, Risco<\/strong>, DSC, Videofied ou Honeywell (liste non exhaustive), proposent des syst\u00e8mes d’alarme sans-fil (tr\u00e8s) perfectionn\u00e9s, \u00e0 la pointe de la technologie, des syst\u00e8mes d’alarme radio poss\u00e9dant diff\u00e9rentes contre-mesures en r\u00e9ponse au brouillage sous toutes ses formes et de facto<\/em>, n\u2019ayant rien \u00e0 envier \u00e0 leurs homologues filaires en mati\u00e8re de s\u00e9curit\u00e9. Des solutions d’alarme sans fil o\u00f9 l\u2019accent est mis\u00e9 sur la s\u00e9curit\u00e9, la protection face \u00e0 toute tentative de brouillage ou d’interception de signaux et bien s\u00fbr, la fiabilit\u00e9 sur le (tr\u00e8s) long terme comme nous l’avions vu en d\u00e9tail lors de notre dossier d\u00e9di\u00e9 aux diff\u00e9rents syst\u00e8mes d’alarme du march\u00e9 \u00ab Comparatif des alarmes maison sans fil certifi\u00e9es \u2013 Quelle alarme sans fil choisir ?<\/a><\/strong> \u00bb. Revue donc sur les diff\u00e9rentes technologies radio et fr\u00e9quences des alarmes, les moyens de brouillage et d’interception des signaux radio, les contre-mesures avec pour conclure, une mise en pratique par nos soins<\/strong> des techniques d’interception (Replay-Attack) sur une alarme grand public qui n’aura h\u00e9las, pas r\u00e9sist\u00e9 bien longtemps !<\/p>\n\n\n\n

Brouillage des alarmes : Rappel des principes fondamentaux du fonctionnement d\u2019un syst\u00e8me d\u2019alarme sans-fil \u00ab\u2009Radio\u2009\u00bb<\/h2>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n

Pour cet article d\u00e9di\u00e9 aux perturbations<\/strong>, vuln\u00e9rabilit\u00e9s<\/strong> et brouillage<\/strong> des alarmes, il \u00e9tait opportun de faire une pr\u00e9sentation succincte des technologies radio, afin de mieux assimiler la logique des alarmes sans fil avant de rentrer dans le vif du sujet. Pour rappel, un syst\u00e8me de s\u00e9curit\u00e9 sans-fil monodirectionnel est compos\u00e9 de diff\u00e9rents \u00e9metteurs commun\u00e9ment abr\u00e9vi\u00e9s \u00ab\u2009TX\u2009\u00bb<\/strong>, pour \u00ab Transmission \u00bb (d\u00e9tecteurs, t\u00e9l\u00e9commandes, claviers, sir\u00e8nes, d\u00e9tecteurs \u00e0 prise de photos…) associ\u00e9 \u00e0 un, ou plusieurs r\u00e9cepteurs sans fil dit \u00ab\u2009RX\u2009\u00bb<\/strong> pour \u00ab\u2009r\u00e9ception \u00bb… R\u00e9cepteur de type \u00ab\u2009RX\u2009\u00bb, la centrale d\u2019alarme a pour objectif la centralisation de l’ensemble des signaux en provenance des dispositifs radio constituant le syst\u00e8me. Chaque p\u00e9riph\u00e9rique pr\u00e9sent transmet des signaux de communications par courant \u00ab RF – Radio Frequency<\/strong> \u00bb \u00e0 travers une antenne imprim\u00e9e sur la carte<\/strong> \u00e9lectronique ou, s\u00e9par\u00e9e (de type h\u00e9lico\u00efdal ou unipolaire selon le fabricant d’alarme), \u00e0 destination du panneau de commande. Lorsqu\u2019un \u00e9v\u00e9nement se produit (zone ouverte, zone ferm\u00e9e, une mise en service, une alarme en cours, un sabotage, un d\u00e9faut…), le p\u00e9riph\u00e9rique \u00e9metteur convertit le signal num\u00e9rique en signal RF afin de le transmettre au panneau de commande. <\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Le r\u00e9cepteur \u00ab\u2009RX\u2009\u00bb<\/strong>, (centrale d\u2019alarme), reconvertis le signal RF re\u00e7u en signal num\u00e9rique, le d\u00e9code, puis l\u2019interpr\u00e8te afin de le traiter en tant qu\u2019information… \u00c0 savoir qu’en environnement bidirectionnel, les donn\u00e9es sont envoy\u00e9es et re\u00e7ues par les p\u00e9riph\u00e9riques (communication Duplex<\/strong>). \u00c0 titre d’exemple, une t\u00e9l\u00e9commande enverra sur la fr\u00e9quence 868 MHz<\/strong>, une trame \u00ab Armement \u00bb et r\u00e9ceptionne la r\u00e9ponse du syst\u00e8me d’alarme \u00ab Syst\u00e8me Arm\u00e9 \u00bb ou pourquoi pas, un d\u00e9faut tel un \u00e9chec d’armement et en avertira l’utilisateur. La technologie de radiofr\u00e9quence \u00ab RF \u00bb<\/strong> ne rajeunira personne. Vieille de plus d\u2019un si\u00e8cle, celle-ci a et continue de faire ses preuves dans de tr\u00e8s nombreux domaines. Dans le monde des syst\u00e8mes d\u2019alarme<\/strong><\/a>, les premi\u00e8res solutions sans-fil semblent s\u2019\u00eatre d\u00e9mocratis\u00e9es dans le courant des ann\u00e9es 80. Une \u00e9poque, ou les alarmes prot\u00e9g\u00e9es contre les tentatives de brouillage \u00e9taient absentes. Les brouilleurs de fr\u00e9quences<\/strong> ont pourtant, toujours exist\u00e9 avec des usages bien diff\u00e9rents (usage militaire) de ce que nous connaissons actuellement.<\/p>\n\n\n\n

Bien que pr\u00e9sentes depuis de nombreuses ann\u00e9es, les transmissions \u00ab\u2009RF\u2009\u00bb pour Radio Frequency<\/strong> ne sont h\u00e9las, pas toujours maitris\u00e9es par certains fabricants ce qui peut reconnaissons le, sembler quelque peu paradoxal… Une maitrise parfois hasardeuse pouvant rendre le brouillage des syst\u00e8mes d\u2019alarme sans fil d\u2019une simplicit\u00e9 enfantine<\/strong>, comme nous le verront dans cet article avec une mise en pratique d\u00e9taill\u00e9e sur une attaque de type \u00ab Replay Attack \u00bb… Moins glorieux, j’ai pu d\u00e9couvrir en 2012 certains syst\u00e8mes d\u2019alarme sans fil brouillables et neutralisables \u00e0 l\u2019aide d\u2019un simple\u2026 talkie-walkie !<\/strong> Une h\u00e9r\u00e9sie qui refl\u00e8te une triste r\u00e9alit\u00e9, bien que cet exemple reste absolument marginal et li\u00e9 au fait qu\u2019il s\u2019agissait d\u2019un syst\u00e8me d\u2019alarme \u00e0 bas co\u00fbt<\/strong> de tr\u00e8s mauvaise qualit\u00e9, loin des standards d\u2019\u00e9quipementiers de s\u00e9curit\u00e9 bien plus \u00e0 cheval sur les vuln\u00e9rabilit\u00e9s de leurs produits. Rappelons que malgr\u00e9 l\u2019existence de longue date de cette technologie, il n\u2019est pas rare de d\u00e9couvrir des produits vendus sur la toile ou dans le commerce b\u00e9n\u00e9ficiant intrins\u00e8quement, de nombreuses vuln\u00e9rabilit\u00e9s<\/strong> comme nous le verrons plus loin dans cet article… \u00c0 travers ce dossier d\u00e9taill\u00e9 d\u00e9di\u00e9 au brouillage des syst\u00e8mes d\u2019alarme sans fil, nous allons explorer la plupart des vuln\u00e9rabilit\u00e9s connues, les moyens d’attaque (Jammer<\/strong> (brouilleur), Replay Attack<\/strong>) et de d\u00e9fense des fabricants face au brouillage.<\/p>\n\n\n\n

Brouillage des alarmes sans fil : Quelles fr\u00e9quences choisir pour son syst\u00e8me d\u2019alarme\u2009sans fil ? 433 MHz ou 868 MHz ?<\/h2>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n

R\u00e9gie par l\u2019ARCEP, les AFP pour A<\/span>ppareil de F<\/span>aible P<\/span>uissance<\/em><\/strong> sont parfaitement encadr\u00e9es au sein de l\u2019annexe 7 de la r\u00e9partition des bandes radio. Voir : www.anfr.fr<\/strong><\/span>. Annexe \u00e9galement consultable ici \u2013 T\u00e9l\u00e9charger Annexe A7<\/a><\/strong>. Les syst\u00e8mes d\u2019alarme sans fil utilisent en France, une ou deux bandes radio selon les fabricants. La plus connue \u00e0 ce jour est la bande 433 MHz (433,050 \u00e0 434,790 MHz) pour des applications r\u00e9sidentielles & professionnelles. Une bande libre au triste surnom de \u00ab\u2009bande poubelle\u2009\u00bb… Rassurez-vous, pas de jaloux ! Nos voisins d\u2019outre-Manche et du pays de l’Oncle Sam b\u00e9n\u00e9ficient eux aussi de leur fameuse bande poubelle<\/strong>, en 418 MHz pour le Royaume-Uni et 315 MHz pour les USA<\/strong>, le Canada ainsi que le Mexique. Encombr\u00e9e, la bande 433 MHz est utilis\u00e9e par un (trop) grand nombre de p\u00e9riph\u00e9riques divers et vari\u00e9s (syst\u00e8me d’alarme souvent en entr\u00e9e de gamme, casque sans fil, t\u00e9l\u00e9commandes, station m\u00e9t\u00e9o, domotique, volets roulants, porte de garage, divers automatismes\u2026), trop souvent peu prot\u00e9g\u00e9s contre les tentatives de brouillage. Une pr\u00e9pond\u00e9rance d’\u00e9quipements sans fil r\u00e9sultant de nombreuses perturbations<\/strong> entre \u00e9quipements voisins, surtout en environnement urbain extr\u00eamement pollu\u00e9. Une r\u00e9alit\u00e9 tout \u00e0 fait tangible que notre analyseur de spectre a pour habitude d’acquiescer. D’autres facteurs de perturbations<\/strong> et de risque de brouillage peuvent \u00eatre li\u00e9s aux radioamateurs, dont la fr\u00e9quence 430\/440 MHz \u00e9tant une des bandes libres leur \u00e9tant accord\u00e9s. La forte puissance de leurs \u00e9metteurs\/antennes on pour cons\u00e9quence, un risque av\u00e9r\u00e9 de perturbation<\/strong> sur les p\u00e9riph\u00e9riques des syst\u00e8mes d’alarme compos\u00e9s rappelons le, de simples \u00e9metteurs 433 MHz<\/strong> d’une puissance d’\u00e9mission limit\u00e9e \u00e0 10 MW soit 0.01 Watt<\/strong> !<\/p>\n\n\n\n

La bande 868 MHz d\u00e9di\u00e9e aux syst\u00e8mes d’alarme sans fil se situe quant \u00e0 elle, entre 868,6 MHz et 868,7 MHz<\/strong>. Cette bande est r\u00e9serv\u00e9e aux syst\u00e8mes de s\u00e9curit\u00e9 sans fil class\u00e9 dans la cat\u00e9gorie \u00ab\u2009\u00e9quipements non sp\u00e9cifiques\u2009\u00bb et \u00ab\u2009alarmes\u2009\u00bb. La gamme de fr\u00e9quences 868 MHz permet a contrario<\/em> de la diabolis\u00e9e 433 MHz<\/strong>, d\u2019\u00e9cr\u00e9mer les perturbations environnantes gr\u00e2ce \u00e0 une meilleure homog\u00e9n\u00e9it\u00e9 dans les puissances d\u2019\u00e9missions et ainsi, de maximiser la qualit\u00e9 des liaisons radio \u00e9chang\u00e9es. Th\u00e9oriquement, la plage 868 MHz p\u00e8che par des port\u00e9es moindres face \u00e0 son homologue en 433 MHz plus v\u00e9loce sur ce volet. Les ondes 433 MHz offrent une port\u00e9e sup\u00e9rieure \u00e0 celles en 868 MHz<\/strong> avec malheureusement, des d\u00e9bits moindres. Dans la pratique les syst\u00e8mes d\u2019alarme radio en 868 MHz offrent des performances identiques en mati\u00e8re de port\u00e9e compens\u00e9es par des \u00e9metteurs\/r\u00e9cepteurs de plus forte puissance pour pallier \u00e0 ce handicap de d\u00e9part. Il est \u00e0 souligner que la plupart des syst\u00e8mes d\u2019alarme professionnels dignes de ce nom, restent exclusivement cantonn\u00e9s sur la bande de fr\u00e9quences 868 MHz (Paradox<\/strong><\/a>, DSC<\/strong><\/a>, Ajax<\/strong><\/a>, Bosch, Visonic<\/strong><\/a>, Honeywell<\/strong><\/a>, Risco<\/strong><\/a>, Videofied<\/strong><\/a>…) ou en double fr\u00e9quence (433 MHz – 868 MHz<\/strong>, pour les syst\u00e8mes d’alarme sans fil Diagral ou Daitem), gage de s\u00e9rieux & de qualit\u00e9.<\/p>\n\n\n\n

Choisir un syst\u00e8me d\u2019alarme<\/strong><\/a> radio en 868 MHz est \u00e0 nos yeux, une pr\u00e9rogative de base lors de l\u2019acquisition d\u2019un syst\u00e8me d\u2019alarme sans fil<\/strong>. Pour autant, s\u2019orienter vers une solution d\u2019alarme en 433 MHz n\u2019est pas fatalement garant d\u2019\u00e9checs, de risque de tentative de brouillage et de probl\u00e8mes \u00e0 tout va. (D\u00e9sol\u00e9 pour cette contradiction !). Rappelons que les tentatives de brouillage des alarmes sans fil sont tout \u00e0 fait possibles sur les fr\u00e9quences 433 MHz et 868 MHz<\/strong>. Soulignons que de nombreux syst\u00e8mes d\u2019alarme sans fil (souvent ancien) en 433 MHz<\/strong>, assurent la surveillance de nombreuses habitations sans pr\u00e9senter la moindre avarie, tout en r\u00e9sistant aux actes de brouillages l\u00e9gitimes ou non durant tout le long de leurs cycles de vie. La th\u00e9orie n\u2019est pas toujours le reflet exact de la r\u00e9alit\u00e9 en somme\u2026 Toutefois, la bande de fr\u00e9quence 433 MHz<\/strong> reste potentiellement plus \u00e0 risque en mati\u00e8re de perturbations<\/strong> environnantes, car plus fragile et plus sensible que son homologue en 868 MHz. Certains arguments en faveur du 868 MHz s\u2019appuient sur une vitesse et des d\u00e9bits sup\u00e9rieurs (utile pour la transmission des images \u00e9manant des d\u00e9tecteurs de mouvement \u00e0 lev\u00e9e de doute photo<\/a><\/strong>) en comparaison \u00e0 la fr\u00e9quence 433 MHz<\/strong>. Dans la th\u00e9orie, il est vrai que les ondes 868 MHz se propagent plus vite dans l’espace, de mani\u00e8re toutefois imperceptible. Une diff\u00e9rence se montrant anecdotique compte tenu de la vitesse de propagation des ondes radio, la diff\u00e9rence qui oppose ces deux fr\u00e9quences se montrera difficilement tangible et inutile pour des applications de s\u00e9curit\u00e9 ou de domotique<\/strong>.<\/p>\n\n\n\n

Classement des ondes radio – Spectre radiofr\u00e9quence<\/h2>\n\n\n