La source : une thèse

Le document de référence est le mémoire de master d’Öberg, soutenu à la KTH Royal Institute of Technology le 5 juillet 2024, intitulé « How safe is safe: Ethical hacking of Verisure’s home alarm system ». Ce n’est pas un billet d’humeur : c’est un travail encadré qui suit une méthode reconnue, le PTES (Penetration Testing Execution Standard), avec une modélisation des menaces STRIDE et une cotation CVSS pour chaque attaque. Le tout en approche « boîte noire », c’est-à-dire sans documentation interne, exactement comme s’y prendrait un attaquant réel.

Côté matériel, rien d’exotique pour qui s’intéresse à la radio : un Proxmark3 Easy pour la partie RFID (13,56 MHz), un HackRF One (radio logicielle) pour la partie radio des capteurs, et les logiciels URH et GNU Radio. Point trop souvent oublié dans les reprises : Öberg a appliqué une divulgation responsable.

Ce que la thèse a réellement démontré

Trois attaques ont fonctionné. Deux d’entre elles constituent les vulnérabilités du système Verisure : vulnérabilités que j’ai déjà constatées par plusieurs autres tests.

Le brouillage radio, le point qui fâche

Les capteurs dialoguent avec la centrale par radio, sur une fréquence autour de 869 MHz. Le principe d’un brouillage est simple : on noie cette fréquence sous du bruit, et le message du capteur n’atteint jamais la centrale. La fenêtre protégée s’ouvre, le détecteur « parle », mais personne n’écoute. L’essai a réussi : les signaux ont bien été bloqués.

Le clonage du badge RFID

Côté désarmement, le badge fonctionne en RFID ISO 15693 à 13,56 MHz. Le problème : l’authentification repose uniquement sur l’UID du badge, son numéro de série. Or un UID est un identifiant, pas un secret : il n’a jamais été conçu comme un élément de sécurité : pas de code tournant.

Avec un lecteur de la classe du Proxmark3, le chercheur a lu l’UID puis l’a émulé : le badge ainsi reproduit a bel et bien désarmé le système. Détail relevé au passage, seul le préfixe E007 est imposé (E0 = norme ISO 15693, 07 = fabricant Texas Instruments), le reste du numéro étant libre : ce qui n’aide pas la robustesse. Gardons toutefois la tête froide : l’attaque suppose une proximité de quelques centimètres avec le badge, ou un accès temporaire à celui-ci. Ce n’est pas de la magie à distance. Et la parade existe : un mécanisme défi-réponse ou un mot de passe à usage unique rendrait le clonage inopérant.

L’écoute du badge

Préalable logique au clonage : le chercheur confirme qu’on peut capter l’UID d’un badge ISO 15693 par simple écoute. Une fois l’UID en clair, le clonage devient possible. C’est cohérent avec la faille précédente.

Le bilan des tests

Voici la synthèse de la thèse, telle quelle : trois réussites, quatre échecs.

Ce que la thèse n’a PAS réussi

Un test sérieux ne mesure pas que les réussites, voici ci-dessous les échecs.

Le rejeu (replay) a échoué. Signaux capteurs enregistrés puis réémis : rien ne se déclenche. Le protocole intègre vraisemblablement un horodatage ou un mécanisme anti-rejeu. Vrai bon point.

La rétro-ingénierie radio a échoué. Les trames captées sont chiffrées (le composant radio du capteur, un Silicon Labs EFR32, gère l’AES 128/256). Le chercheur identifie une modulation de type PSK et quelques motifs, mais ne casse rien et ne décode aucune commande.

La force brute a échoué. Après 4 tentatives erronées, le clavier se verrouille 3 minutes. Avec un numéro de série sur 48 bits : plus de 281 000 milliards de combinaisons, l’attaque est hors de portée. Même verdict pour le code à 4 chiffres.

La manipulation physique a échoué. Système armé, déplacer un capteur déclenche l’alarme immédiatement, et une notification de sabotage persiste dans l’application tant que le capteur n’est pas remis en place.

La sirène : déclenchée, ou réduite au silence ?

On l’oublie souvent, mais la sirène est le maillon final d’une chaîne : un capteur détecte, transmet l’information à la centrale, et c’est la centrale qui ordonne à la sirène de hurler (car chez Verisure, la détection de brouillage n’est pas intégrée dans la sirène intérieure et il n’existe pas de sirène extérieure : ça ne sonne pas de façon automatique en mesurant les perturbations radios).

Sous brouillage radio, la sirène reste muette. Les signaux des capteurs n’atteignent plus la centrale ; si une intrusion survient pendant le brouillage, la centrale n’apprend jamais qu’un capteur s’est déclenché, elle ne commande donc rien, et la sirène ne sonne pas.

Pour sonner, quand cela est possible, chez Verisure, une action manuel de la TLS est nécessaire !

Verdict : à quand des améliorations ?

La thèse KTH ne dit pas que Verisure est inviolable, et ne dit pas non plus que c’est une coquille vide. Elle établit, preuves à l’appui, deux failles réelles (brouillage RF, clonage RFID par UID), tout en montrant que le système résiste au rejeu, à la rétro-ingénierie, à la force brute. À quand une mise à jour du système pour assurer une protection autonome contre le brouillage radio, plutôt qu’une simple protection supervisée qui, en pratique, ne fonctionne pas vraiment ?