Le contrôle d’accès appelé à muscler sa cybersécurité

À l’instar des voitures à verrouillage électronique dont les 3/4 se font pirater en France sans effraction, les bâtiments pourraient devenir le nouveau terrain de jeu des cyberpirates. Surtout avec le développement des serrures connectées. D’où la nécessité de renforcer la cybersécurité des dispositifs de contrôle d'accès par un chiffrement de bout en bout.

Quoi de plus convivial que d’ouvrir la porte de son bureau ou de son logement avec son smartphone ? Apparues il y a probablement une demi douzaine d’années pour les premiers systèmes, les serrures électroniques connectées à un mobile séduisent tant les entreprises que les particuliers. Principale raison, on oublie plus souvent ses clés ou son badge que son smartphone. Autre avantage, lorsqu’un tiers (artisan, baby sitter, aide à domicile …) doit intervenir au domicile, il suffit de lui envoyer à distance un code temporaire pour qu’il puisse pénétrer dans les lieux.

Contrôle des entrées et sorties

« Les entreprises apprécient aussi de pouvoir activer ou désactiver à distance des droits d’entrées de chacun de leurs salariés, selon leurs fonctions ainsi que les jours et les plages horaires autorisées », fait valoir Julien Maliar, responsable réseau IAP & chef produits chez Picard Serrures qui propose la serrure Ermetis équipée d’un cylindre connecté. Depuis son lancement, une centaine ont déjà été vendues, soit 60 % auprès des entreprises et 40 % auprès de particuliers.

De nouvelles serrures connectées

D’autres fabricants que Picard Serrures proposent bien sûr de tels produits. De nouveaux modèles débarquent chaque année sur le marché. À l’instar de Netatmo qui a annoncé au CES de Las Vegas son Homekit dont le lancement devrait arriver en fin d’année. Citons aussi Somfy avec le Doorkeeper attendu pour l’an prochain.

La sécurité des serrures en question

Aussi conviviales soient elles, ces serrures connectées sont elles fiables ? La question mérite d’être posée au vue de l’explosion des vols que connaissent les voitures à verrouillage électronique. En France, les 3/4 des voitures volées de ce type font l’objet d’un piratage sans effraction. Faut-il donc craindre un tel phénomène pour les bureaux, logements et autres bâtiments équipés de serrures connectées ?

Anticiper les cyberattaques

Pas forcément, à condition d’anticiper les cyberattaques – ce qui est loin d’être le cas. « D’abord, le smartphone peut être compromis par un logiciel malveillant », prévient Renaud Lifchitz, expert en sécurité IoT (internet des objets). Grâce à un programme, le pirate va exfiltrer la clé électronique avant même qu’elle ne soit utilisée par son propriétaire. Ce peut être le cas même lorsque la serrure utilise un code tournant. Une autre attaque consiste à voler le code lors d’un échange entre la serrure et le lecteur. Un scénario réalisable lorsque la clé utilise un chiffrement insuffisant. Autre mode opératoire connu, l’utilisation d’un objet connecté tel qu’un volet ou une caméra pour prendre en main la serrure électronique par rebond.

Privilégier les produits audités par des tiers

Autant de risques qui peuvent être limités en suivant les recommandations émises par Renaud Lifchitz. Ce dernier conseille d’abord de modifier les mots de passe que les fabricants d’objets connectés fournissent par défaut. Ensuite, il suggère de mettre à jour leurs logiciels. À prévoir également, l’installation d’un firewall. De quoi filtrer les communications et de surveiller les flux de données entrants et sortants. L’idée étant de détecter d’éventuelles attaques. Concernant les serrures elles-mêmes, l’expert recommande de choisir des produits audités par des tiers. Ce qui constitue un gage de la robustesse mécanique du produit et de sa sécurité informatique.

Certificat A2P@

Certains fabricants en ont d’ailleurs pris la mesure. À l’exemple de Picard. Le fabricant de serrures et de portes blindées a entrepris de certifier auprès du CNPP (1) sa serrure Ermetis équipée du cylindre Tapkey. Ce qui lui a valu en début d’année d’être certifiée A2P1*@. « L’arobase indique qu’au-delà de la résistance aux attaques destructives, il prend aussi en compte le critère de robustesse du produit aux cyberattaques », souligne Julien Maliar.

Dépister les faiblesses et des failles

Les produits sont évalués selon les recommandations du guide de l’Anssi (2) sur la sécurité des technologies sans contact pour le contrôle des accès physiques. L’évaluation se fait aussi sur la base du référentiel Apsad D32 du CNPP. Lequel concerne l’installation d’un système de sécurité ou de sûreté sur un réseau informatique. La méthode d’évaluation du CNPP consiste à analyser la fiabilité du matériel de sécurité. Il s’agit de détecter les faiblesses et les failles intrinsèques du matériel communicant. Mais aussi des protocoles de communication employés. Sans oublier les logiciels qui en permettent la gestion.

Des tests pour détecter les vulnérabilités

La méthode passe aussi par la réalisation d’attaques informatiques ciblées pour confirmer les vulnérabilités et identifier leur impact. « Nous avons passé les tests avec succès il y a un an », se souvient Julien Maliar. Fort de ce nouveau savoir-faire, l’entreprise réfléchit à de nouveaux produits dans ce domaine.

Quatre développeurs chez CDVI

De son côté, le français CDVI fait le choix d’internaliser les compétences en cybersécurité. Créé en 1985, ce fabricant de solutions de contrôle d’accès et de verrouillage électronique compte 260 collaborateurs. Dont une équipe de 4 développeurs spécialisés en chiffrement. Cette équipe se répartit à part égale entre Pantin (Seine Saint-Denis) et Montréal au Québec où se trouve sa filiale. « L’équipe québecoise et celle de Pantin comportent des spécialistes dédiés à l’activité tertiaire en charge de développer des lecteurs et des badges », indique Pascal Le Roux, vice-président de CDVI.

Solution hautement sécurisée

Capitalisant sur ses ressources en chiffrement, l’entreprise a lancé en juin dernier sa nouvelle solution de contrôle d’accès Atrium Krypto. Laquelle repose sur un chiffrement très élevé de bout en bout, depuis le badge jusqu’au logiciel en passant par la centrale qui intègre son propre serveur. « Notre solution hautement sécurisée sera présentée à l’Anssi », indique Pascal Le Roux visant une certification pour 2021. Ce dernier espère également décrocher pour les prochaines années la certification européenne de l’Enisa (European Network and Information Security Agency – Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information) (3).

Stop au clonage des badges

Contrairement à ses concurrents, ce dernier a décidé d’adopter une approche de chiffrement propriétaire. Et ce, dans la mesure où il estime que le protocole de communication Wiegand, spécifique au monde du contrôle d’accès, est insuffisamment sécurisé. Ce qui va l’amener à nouer des partenariats. « Pour dialoguer avec des partenaires du monde de l’intrusion comme des fabricants de centrales ou des intégrateurs nous leur fourniront des SDK (kit de développement logiciel) », explique le vice-président de CDVI. Pour l’avenir, ce dernier prévoit de dématérialiser le badge dans le smartphone et de rendre transparent le lecteur. Un effort de simplification et de sécurisation qui nous permet de dire stop au clonage des badges ».

Eliane Kan

(1) Centre national de prévention et de protection
(2) Agence nationale pour la sécurité des systèmes d’information
(3) European Network and Information Security Agency – Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information