Deutsch
English
Français
Español
- Partager :
Test : les kits domotiques ouvrent toutes les portes - à tout le monde
Les détecteurs de fumée déclenchent l'alarme sur Internet, un cambriolage est signalé par SMS, la lumière et le chauffage sont commandés par des applications sur le smartphone. Les composants domotiques rendent tout cela possible. Cependant, le grand test d'AV-TEST démontre que malgré toutes ces remarquables possibilités mises en avant par les fabricants, la sécurité est en grande partie laissée pour compte.
Seules les solutions domotiques Gigaset Elements, RWE Smart Home et QIVICON ont pu convaincre lors de ce grand test de sécurité d'AV-TEST. Ces kits communiquent de manière cryptée et ils offrent une protection efficace contre les accès non autorisés.
Lors de ce premier grand test des kits de démarrage pour solutions domotiques, les experts d'AV-TEST ont malheureusement découvert que cette menace est toujours d’actualité. Seuls 3 des 7 kits sont bien protégés contre les attaques tandis que les autres sont mal protégés contre les agressions internes et parfois même contre les attaques externes. Cela signifie que si des appareils domotiques non protégés se connectent à Internet, alors le réseau domestique peut être attaqué par la porte arrière. Ces appareils domotiques à la protection minimale seront bientôt assaillis par des chevaux de Troie qui, en cas d'attaque réussie, ne se cacheront pas dans l'ordinateur mais dans la mémoire du détecteur de fumée, par exemple.
Le kit de base permettant d'économiser de l'énergie n'a pas épargné ses efforts en termes de sécurité et a fait preuve d'un bon concept de protection. (Image © RWE AG)
Les composants du kit pour débuter en domotique présentent une communication sécurisée, que ce soit en interne ou via Internet, et ils offrent aussi une bonne
Le kit de démarrage avec centrale et le capteur de porte ainsi que de mouvement communiquent entre eux par un signal radio cryptée et ne permettent aucune manipulation par des étrangers. (Image © Gigaset elements)
Le concept d'une solution domotique est-il complètement défaillant ?
L'idée fondamentale sur laquelle se base la domotique est bien sûr très appréciable : tous les composants domestiques doivent à l'avenir pouvoir être surveillés et contrôlés. Or, tous les composants ayant accès au réseau domestique et donc éventuellement à Internet sont des cibles potentielles d'attaques. Cela ne signifie pas pour autant qu'ils sont forcément mal protégés.
Le test actuel démontre que certains fournisseurs n'ont pas lancé leurs produits sur le marché à l'aveugle mais qu'ils y ont intégré un concept de sécurité.
Le test comprend les kits domotiques suivants, qui sont principalement distribués par de grandes entreprises ou bien sont proposés en exclusivité. Ils ne remplissent pas tous les mêmes fonctions mais ils restent comparables :
• iConnect de eSaver
• tapHome de EUROiSTYLE
• Gigaset Elements de Gigaset
• iComfort de REV Ritter
• RWE Smart Home de RWE
• QIVICON de Deutsche Telekom
• XAVAX MAX! de Hama
Par 3 fois, la sécurité est assurée. Par 4 fois, elle ne l'est pas.
Espérons que le résultat du test motivera certains fabricants à améliorer leurs produits :
les kits Gigaset Elements, RWE Smart Home et QIVICON ont offert une bonne protection contre les attaques et interventions durant le test.
Les kits iComfort et tapHome ne sont pas protégés contre les attaques venant de leur propre réseau. Les kits iConnect et XAVAX MAX! sont assez impuissants face aux attaques issues du propre réseau ainsi que de l'extérieur.
Les points faibles respectifs sont brièvement décrits par la suite. Les résultats détaillés, les scénarios de tests effectués et les valeurs individuelles allant jusqu'au domaine binaire peuvent être consultés dans les 40 pages du rapport de l'étude d'AV-TEST grâce au lien suivant :
Télécharger PDF (document PDF disponible en allemand)
Voici ce que peuvent commander intelligemment les kits
Les kits remplissent différentes tâches dans une maison domotique et ils peuvent être classifiés comme suit :
- Système de contrôle pour l'électricité, le chauffage et la sécurité :
RWE Smart Home et QIVICON - Système de surveillance pour fenêtres, portes et pièces :
Gigaset Elements - Système de contrôle pour prises de courant avec interrupteur :
iComfort, tapHome, iConnect - Système de commutation pour la lumière, le chauffage et l'électricité :
XAVAX MAX! - Avec ces différentes fonctions, il est facile d'imaginer un scénario catastrophe dû à une prise de contrôle externe : il serait ainsi possible d'utiliser une commande de chauffage piratée pour baisser le chauffage de telle manière que les conduites d'eau gèleraient et exploseraient en hiver.
Étant donné qu'en général, les attaquants sont à la recherche d'argent ou de données précieuses, les scénarios suivants sont plus vraisemblables : en utilisant les plans actuels d'allumage et d'arrêt des appareils, il est possible de déterminer quand les habitants d'une maison sont chez eux et quand ils sont absents. Si en plus la surveillance de sécurité pour les fenêtres et portes peut être désactivée, alors les cambrioleurs ont la partie facile.
Autre possibilité : tous les appareils connectés attaquent d'autres appareils par le biais du réseau domestique et les prennent en otage, c'est-à-dire qu'ils en bloquent l'accès. Le blocage n'est prétendument levé que contre paiement. Ce mode de fonctionnement est par exemple employé par le cheval de Troie « Police nationale » qui bloque l'ordinateur ainsi que toutes ses données.
Quels sont les points faibles ?
Lors de l’examen de sécurité, les testeurs ont cherché les points faibles. Ils ont donc examiné le concept de sécurité de chaque kit de démarrage. Ce faisant, ils se sont concentrés sur le cryptage de la communication, l'authentification active, la manipulation par des étrangers et la commande à distance sécurisée. En effet, les kits peuvent être commandés soit par application sur smartphone, soit par navigateur via Wi-Fi ou Internet.
Communication cryptée
Lors de l'utilisation dans un réseau local de commande et lors de l'actualisation du micrologiciel (firmware), la communication devrait être cryptée. De même pour la commande des composants par le biais d'Internet ou lors de l'actualisation directe du micrologiciel via Internet.
Les kits Gigaset Elements, RWE Smart Home et QIVICON communiquent sans faille de sécurité. iConnect communique de manière cryptée, mais le cryptage peut être aisément contourné. Les concepts de iComfort, tapHome et XAVAX MAX! échouent complètent à cette tâche - leur communication n'est pas sécurisée.
Authentification active
Même l'authentification que l'on serait en droit d'attendre lors de l'accès aux appareils ne constitue pas une évidence pour ces produits. Le kit iComfort n'exige d'authentification ni pour l'accès interne, ni pour l'accès par Internet. Les kits iConnect et XAVAX MAX! requièrent certes une authentification lors de l'accès par Internet mais aucune vérification n'est demandée pour l'accès interne. Cela est très imprudent.
Le kit de tapHome utilise certes un nom d'utilisateur et un mot de passe en interne mais cela ne sert presque à rien puisque la communication n'est pas cryptée et que donc chacun peut dérober les données d'accès.
Seuls les kits Gigaset Elements, RWE Smart Home et QIVICON effectuent à nouveau un bon travail comme dans le cas de la communication cryptée.
Manipulation par des étrangers
Étant donné que la communication entre certains appareils n'est pas cryptée, des codes malveillants peuvent éventuellement être insérés ou pire encore : un micrologiciel infecté peut être introduit dans les appareils. Dans ces deux cas, les hackers pourraient facilement accéder aux appareils et profiteraient donc d'une porte d’entrée directement installée dans le réseau domestique.
Commande à distance sécurisée
L'accès à distance est particulièrement important pour le concept domotique. En effet, les utilisateurs veulent pouvoir commander les composants via une application sur smartphone ou via un navigateur. Une nouvelle fois, les candidats iConnect et XAVAX MAX! ont échoué en raison de leurs lacunes criantes. Les kits iComfort et tapHome ne présentent pas de danger puisqu'ils n'offrent pas de commande à distance.
Les trois kits Gigaset Elements, RWE Smart Home et QIVICON présentent un fonctionnement sécurisé dans ce domaine et font ainsi preuve d'un concept de protection sans faille.
Bilan : une bonne sécurité est un atout
Comme nous l'avons mentionné au début, un kit domotique non sécurisé peut se transformer en porte d’entrée dans votre réseau domestique. Il est donc indispensable que ces produits offrent un niveau de sécurité élevé. Malheureusement, il n'existe pas encore de standard de sécurité comme c'est le cas pour d'autres appareils en réseau comme le Wi-Fi ou les routeurs.
La seule conclusion possible au regard des résultats de test est qu'actuellement seuls les kits Gigaset Elements de Gigaset, RWE Smart Home de RWE et QIVICON de Deutsche Telekom peuvent être recommandés.
Les fabricants et distributeurs des kits de démarrage iConnect, tapHome, iComfort et XAVAX MAX! doivent retravailler la sécurité de leur produit afin d'atteindre un niveau acceptable.
Portons un regard sur l'avenir
Aucun des kits ne propose de transférer le son et l'image pour le moment. Lors de ce grand test, les testeurs ont d'ores et déjà trouvé les préparatifs pour des interfaces destinées à des webcams avec microphone. L'accès à des appareils de cuisine équipés en conséquence tels qu'un réfrigérateur ou une cafetière ne va pas se faire attendre longtemps. En effet, la technologie en est facilement capable. La pensée qu'un étranger puisse avoir accès à tous ces appareils déclenche des sueurs froides chez certains utilisateurs.
De plus, les analystes de marché s'attendent d'ici 2015 à un chiffre d'affaires mondial de plus de 15 milliards de dollars concernant les produits domotiques. Cela parait beaucoup, mais Google a récemment acheté la société Nest Labs pour 3,2 milliards de dollars. Le géant des moteurs de recherche va faire pression dans le secteur de production de Nest Labs : il s’agit des composants domotiques que sont les thermostats et détecteurs de fumée.
