Nouvelle serrure connectée The Keys

[titi007]

Une nouvelle serrure connectée (et j'ai déjà contribué pour l'acheter)va sortir au mois de mars d'une entreprise française. [url]projet The Keys sur Kickstarter : https://www.kickstarter.com/projects/41 ... -les-acces[/url]
il y a déjà du monde qui s'y intéresse sur jeedom alors j’espère bien qu'avec l'api, on pourra l'utiliser sur l'eedomus.
l'avantage, pas de cloud et surtout rechargement par usb

une vidéo de l’interaction avec jeedom donc ça devrait se faire avec l'eedomus
Une actu et une vidéo pour vous : https://www.kickstarter.com/projects/412593919/the-keys-partagez-et-controlez-les-acces/posts/1817715

A vous de jouer l'equipe Eedomus

[BingO]

C'est très intéressant.
MAIS, travaillant dans le domaine de la cyber sécurité, ce genre d'objets me laisse extrêmement perplexe...Failles en tous genre, possibilités de contournement, bref, nombreux risques qui me rendent très réticent à confier mes ouvrants à un objet connecté...

[enr37]

@bingo,je plussoie. La boîte française que vient de racheter somfy s'est faite allumée par des experts sécurité qui n'avaient jamais vu autant de faille sur un iot.

Post répondu via tapatalk

[BingO]

@bingo,je plussoie. La boîte française que vient de racheter somfy s'est faite allumée par des experts sécurité qui n'avaient jamais vu autant de faille sur un iot.

Post répondu via tapatalk

La problématique de l'IOT est encore très récente et on est en train de s'y intéresser. Aucune norme, encadrement quelconque ou best practices ne permettent de s'appuyer sur quoique ce soit pour "sécuriser" se genre d'objets, donc chacun fait ce qu'il veut malheureusement.
Je sais que certains opérateurs (Orange, Telefonica, NTT et d'autres) travaillent sur le développement de la LTE-M dédiée à l'IOT avec des aspects sécurité (chiffrement des communications notamment) mais ce n'est que le début.

J'ai demandé à mes collègues qui réalisent les tests d'intrusions s'ils seraient intéressés pas essayer de prendre le contrôle de mon installation domotique pour voir un peu la complexité de la mise en oeuvre d'un piratage de l'infra domotique et donc prise de contrôle des volets roulants par exemple, on fera sans doute ça à l'occasion d'un barbeuc à la maison

[enr37]

la première des précaution est une sécurisation du wifi, en cachant le ssid par exemple, ne pas mettre admin en login (comme le fait la livebox orange ) et ensuite un psw un peu plus complexe qu'123456 )
ensuite, je ne pense pas que ce soit aussi facile d'attaquer a part perturber les ondes avec un petit matériel interdit de vente en france

[BingO]

la première des précaution est une sécurisation du wifi, en cachant le ssid par exemple, ne pas mettre admin en login (comme le fait la livebox orange ) et ensuite un psw un peu plus complexe qu'123456 )
ensuite, je ne pense pas que ce soit aussi facile d'attaquer a part perturber les ondes avec un petit matériel interdit de vente en france

C'est là où tu te trompes, c'est extrêmement simple d'attaquer un wifi, même non diffusé, il est ultra simple à voir. A cracker c'est un peu plus complexe, de quelques secondes pour le WEP à quelques minutes/heures pour du WPA2.

Et le mot de passe le plus utilisé c'est password

[bolzano]

En même temps celui qui se donne les moyens de cracker ton WIFI pour ouvrir ta porte, il arrivera toujours à ses fins, que ce soit aussi pour crocheter une serrure (ou acheter le parapluie qui va bien) voir au final casser un carreau.
Il faut les précautions de base (WIFI récent et clé robuste - quitte à avoir plusieurs réseaux WIFI selon le risque) mais ne pas tomber dans la paranoïa non plus.

[rover820i]

Rien ne vaut un pitbull affamé

Sauf une meute de pitbulls, peut-être

[influman]

franchement, on n'est pas dans un film pour voler la joconde...
Je veux dire, pour ce qui est de rentrer dans une maison, volet ou pas, il suffit d'un pied de biche, et dans le pire des cas une découpeuse s'il y a des barreaux...

Donc empêcher qqun motivé de rentrer, c'est impossible. On peut prévenir simplement les petites frappes avec une surveillance extérieure type caméras, sirène apparente, chiens (et encore, mauvaise expérience) et simulation de présence. Donc, en soi, le hacking du wifi puis de la serrure connectée ne me paraissent pas être un problème structurant ici.

Ensuite, une fois dans la maison, c'est là où on doit éviter le désastre et le squattage : en assurant la détection de l'intrusion, en réduisant le délai d'alerte de la police, en dérangeant au maximum l'intrus pour qu'il ne s'éternise pas et/ou qu'il commette des erreurs. C'est sûr qu'en mettant tout le système de détection/d'alarme sur de l'onde radio n'est ici pas conseillé, il faut coupler avec du filaire. Avec du sur secteur et du sur piles.

Mon avis sur les serrures connectées concernerait plutôt le risque de défaillance et donc la fiabilité. Je n'aimerais pas que ça ne s'ouvre pas pour une raison ou une autre, ou que ça s'ouvre intempestivement...
Je trouve quand même l'objet intéressant, mais je le mettrais pour des accès non structurants ni quotidiens de l'habitat

[BingO]

En même temps celui qui se donne les moyens de cracker ton WIFI pour ouvrir ta porte, il arrivera toujours à ses fins, que ce soit aussi pour crocheter une serrure (ou acheter le parapluie qui va bien) voir au final casser un carreau.
Il faut les précautions de base (WIFI récent et clé robuste - quitte à avoir plusieurs réseaux WIFI selon le risque) mais ne pas tomber dans la paranoïa non plus.

C'est une déformation professionnelle
Je ne vais pas aborder le sujet du réseau perso, parce que ce serait HS mais surtout tout le monde me prendrait pour un psychopathe

[BingO]

franchement, on n'est pas dans un film pour voler la joconde...
Je veux dire, pour ce qui est de rentrer dans une maison, volet ou pas, il suffit d'un pied de biche, et dans le pire des cas une découpeuse s'il y a des barreaux...

Donc empêcher qqun motivé de rentrer, c'est impossible. On peut prévenir simplement les petites frappes avec une surveillance extérieure type caméras, sirène apparente, chiens (et encore, mauvaise expérience) et simulation de présence. Donc, en soi, le hacking du wifi puis de la serrure connectée ne me paraissent pas être un problème structurant ici.

Ensuite, une fois dans la maison, c'est là où on doit éviter le désastre et le squattage : en assurant la détection de l'intrusion, en réduisant le délai d'alerte de la police, en dérangeant au maximum l'intrus pour qu'il ne s'éternise pas et/ou qu'il commette des erreurs. C'est sûr qu'en mettant tout le système de détection/d'alarme sur de l'onde radio n'est ici pas conseillé, il faut coupler avec du filaire. Avec du sur secteur et du sur piles.

Mon avis sur les serrures connectées concernerait plutôt le risque de défaillance et donc la fiabilité. Je n'aimerais pas que ça ne s'ouvre pas pour une raison ou une autre, ou que ça s'ouvre intempestivement...
Je trouve quand même l'objet intéressant, mais je le mettrais pour des accès non structurants ni quotidiens de l'habitat

On est d'accord sur le principe.
Maintenant, si tu as une serrure connectée, connue pour être ultra vulnérable, un bête Smartphone pourrait suffir à l'ouvrir, plus discret et moins visible qu'un pied de biche. D'où mes interrogations sur la sécurité de tels objets.
Il est effectivement évident que quelqu'un qui voudra rentrer rentrera, j'ai vu des gens se faire cambrioler en passant par...le toit...les mecs enlève des tuiles, entrent et c'est open bar.

[influman]

On est d'accord sur le principe.
Maintenant, si tu as une serrure connectée, connue pour être ultra vulnérable, un bête Smartphone pourrait suffir à l'ouvrir, plus discret et moins visible qu'un pied de biche. D'où mes interrogations sur la sécurité de tels objets.
Il est effectivement évident que quelqu'un qui voudra rentrer rentrera, j'ai vu des gens se faire cambrioler en passant par...le toit...les mecs enlève des tuiles, entrent et c'est open bar.

en phase. ce genre de serrure connectée, je le mettrais davantage pour une salle de jeu ou de cinéma, un truc pour protéger l'accès par des enfants par exemple. Mais pas pour entrer dans la maison.

[titi007]

Purée à vous lire, ça fait flipper ...
Certes, c'est moins sécurisé qu'une clé mais bon, si on vous pique la clé.
Ou bien, la porte de garage toute finote et télécommandable généralement ... des failles, il y en a partout et comme dit @Bolzano, " celui qui se donne les moyens de cracker ton WIFI pour ouvrir ta porte, il arrivera toujours à ses fins" ..
on peut ajouter d'autres éléments de sécurité en parallèle, ça ralenti un peu

Moi, qui suit en fauteuil roulant, j'y vois surtout un moyen de m'aider sans avoir à donner une clé de ma porte a toutes les personnes qui viennent m'aider et ainsi supprimer l'accès a qui j'en ai envie quand je veux et donner l'accès aux horaires que je veux.

[BingO]

Purée à vous lire, ça fait flipper ...
Certes, c'est moins sécurisé qu'une clé mais bon, si on vous pique la clé.
Ou bien, la porte de garage toute finote et télécommandable généralement ... des failles, il y en a partout et comme dit @Bolzano, " celui qui se donne les moyens de cracker ton WIFI pour ouvrir ta porte, il arrivera toujours à ses fins" ..
on peut ajouter d'autres éléments de sécurité en parallèle, ça ralenti un peu

Moi, qui suit en fauteuil roulant, j'y vois surtout un moyen de m'aider sans avoir à donner une clé de ma porte a toutes les personnes qui viennent m'aider et ainsi supprimer l'accès a qui j'en ai envie quand je veux et donner l'accès aux horaires que je veux.

On est 100% d'accord sur l'aspect pratique de la chose, il n'y a même pas de débat là-dessus.
Et une serrure "connectée" y'a pas forcément que le wifi qui permette un accès, c'est le problème aujourd'hui de tout ce qui est connecté, regroupé sous le nom d'IoT (Internet of Things), il y a pas ou peu de normes, de consensus sur quoi faire et comment le faire, de notion de sécurité, donc chacun fait un peu comme il veut, quand il veut...
Et d'un point de vue assurances par exemple, je ne sais pas ce que ça pourrait donner. Tu te fais cambrioler avec ce genre de serrure, le mec à ouvert en pétant l'appli donc sans effraction, comment ça joue? Je ne sais pas trop.
C'est clairement un domaine ultra intéressant, qui a pour vocation à faciliter la vie de tous, mais à mon avis pour le moment c'est encore jeune, très jeune même. Ca ne touche pas que cette serrure en particulier, mais tous les objets connectés quels qu'ils soient.

Quand on voit que le chiffrement des communications est pris en charge par défaut dans la norme ZWave mais que pas ou peu de périphériques le prennent en charge réellement, surtout quand on voit les prix d'un pauvre module, perso ça me fait un peu enrager...C'est pour ça que j'envisage de séparer mon réseau Wifi du réseau sur laquelle se trouve ma eedomus. Restera le paramètre pétage via Zwave mais là, je serai impuissant tant que les constructeurs ne se décideront pas à intégrer le chiffrement des communications par défaut dans TOUS les périphériques.

[popix]

Salut,

Je comprends les remarques ci-dessus mais je reste sur la position d "influman" ou je balaye d'un revers de main toutes ces problématiques de sécurité avec les éternels même arguments.
Je bosse dans l'informatique et dans le Web depuis 15 ans et je peux confirmer que les attaques contre les sites sont presque quotidiennes et que le nombre de machines infectées chez des particuliers (avant que je m'en occupe...) est de 80 % environ...
Ça c'est réel.
Par contre, sur des centaines de clients particuliers je n'ai jamais eu, pas une seule, problématique d'intrusion lié au WIFI (à part les cas ou le client avait donné son pass au voisin puis s'était pris la tête avec lui) alors que j'en ai constaté pas mal en environnement pro.
Je dirais que à part les zones urbaines denses (grandes villes) avec des immeubles accolés et des wifi par milliers et des gamins qui passent dans la rue avec des scanner, quand vous êtes en maison, si un gars est dans votre jardin avec un laptop sur les genoux...ben je peux vous dire qu'il y reste pas longtemps...
Plus sérieusement , le fait de devoir être physiquement proche pour hacker est rédhibitoire dans bien des cas.
De plus , les personnes ayant un niveau technique tel qu'il permette de hacker des WIFI costaud ou des serrures bluetooth sécurisés ou encore du zwave, je pensent qu'elles ont ...déjà du travail vu leur qualification. Donc à part se la raconter dans un article sur la sécurité ou se la toucher dans un lab, c'est pas les racailles du coin qui se baladent avec un cric ou pied de biche bien plus efficace et à la portée de leur intellect qui vont s'en inspirer...
Pour rappel , une fois que tu as cassé l'accès wifi et que tu es sur le réseau (tu as tout temps, tu dérange personne dans le hall d'entrée de l’immeuble avec ton laptop), après tu fais quoi ? va falloir casser les accès à tous les périphériques (bon courage pour le syno, les box opérateurs il faut maintenant souvent un accès physique, jeedom est https et protégé par mot de passe, peut être une caméra laissé en pass vide, youpi tu es déjà sur place, si tu veux cambrioler c'est que l'appart est vide donc pas d'activité réseau, donc rien à sniffer, etc..)

Au passage au smartphone il y a des années c'était le même discours , et très sérieusement combien de fois est ce que vous vous êtes fait hacké votre smartphone ?

Pour être au contact de l'informatique résidentiel (i.e les particuliers), je peux vous assurer que le danger vient du boulet qui clic sur le gros bouton vert "streaming now" sur son site "habituel" et qui se fait prendre le contrôle de sa machine par un chinois ou un russe que par un petit génie du hacking qui va faire le déplacement dans votre couloir ou votre jardin...

Concernant les assurances , le concepteur de The Keys (que j'ai au téléphone) vends de plus en plus de produit de contrôle d'accès pour des assurances mais le paradoxe est qu'on a pas de réponse clair sur leur positionnement contractuel lorsque leur client s'équipent. A priori ça va être mis au clair rapidement car c'est un marché qui est en train de décoller. Ce sera très probablement la norme dans quelques années (mon père a mis 6 ans avant de prendre un smartphone, mais il a cracké, même lui n'a pas pu résisté...)

Dernière précision , sur ces modèles on ne voit absolument rien à l'extérieur, donc aucun moyen de savoir que vous avez une serrure connectée sauf peut être avec le digicode et encore.

[dplein]

Bien dit Popix !!!

C'est pour cela que je me sers de l'eedomus comme alarme...Celui qui veut rentrer, rentrera...quoi qu'il arrive....en plus, j'habite en pleine cambrousse alors les scanner de wifi

Je suis presque sûr que si on met un autocollant sur la porte qui dit que la maison est domotisée que cela pourrait presque faire peur...

[BingO]

Salut,

Je comprends les remarques ci-dessus mais je reste sur la position d "influman" ou je balaye d'un revers de main toutes ces problématiques de sécurité avec les éternels même arguments.
Je bosse dans l'informatique et dans le Web depuis 15 ans et je peux confirmer que les attaques contre les sites sont presque quotidiennes et que le nombre de machines infectées chez des particuliers (avant que je m'en occupe...) est de 80 % environ...
Ça c'est réel.
Par contre, sur des centaines de clients particuliers je n'ai jamais eu, pas une seule, problématique d'intrusion lié au WIFI (à part les cas ou le client avait donné son pass au voisin puis s'était pris la tête avec lui) alors que j'en ai constaté pas mal en environnement pro.
Je dirais que à part les zones urbaines denses (grandes villes) avec des immeubles accolés et des wifi par milliers et des gamins qui passent dans la rue avec des scanner, quand vous êtes en maison, si un gars est dans votre jardin avec un laptop sur les genoux...ben je peux vous dire qu'il y reste pas longtemps...
Plus sérieusement , le fait de devoir être physiquement proche pour hacker est rédhibitoire dans bien des cas.
De plus , les personnes ayant un niveau technique tel qu'il permette de hacker des WIFI costaud ou des serrures bluetooth sécurisés ou encore du zwave, je pensent qu'elles ont ...déjà du travail vu leur qualification. Donc à part se la raconter dans un article sur la sécurité ou se la toucher dans un lab, c'est pas les racailles du coin qui se baladent avec un cric ou pied de biche bien plus efficace et à la portée de leur intellect qui vont s'en inspirer...
Pour rappel , une fois que tu as cassé l'accès wifi et que tu es sur le réseau (tu as tout temps, tu dérange personne dans le hall d'entrée de l’immeuble avec ton laptop), après tu fais quoi ? va falloir casser les accès à tous les périphériques (bon courage pour le syno, les box opérateurs il faut maintenant souvent un accès physique, jeedom est https et protégé par mot de passe, peut être une caméra laissé en pass vide, youpi tu es déjà sur place, si tu veux cambrioler c'est que l'appart est vide donc pas d'activité réseau, donc rien à sniffer, etc..)

Au passage au smartphone il y a des années c'était le même discours , et très sérieusement combien de fois est ce que vous vous êtes fait hacké votre smartphone ?

Pour être au contact de l'informatique résidentiel (i.e les particuliers), je peux vous assurer que le danger vient du boulet qui clic sur le gros bouton vert "streaming now" sur son site "habituel" et qui se fait prendre le contrôle de sa machine par un chinois ou un russe que par un petit génie du hacking qui va faire le déplacement dans votre couloir ou votre jardin...

Concernant les assurances , le concepteur de The Keys (que j'ai au téléphone) vends de plus en plus de produit de contrôle d'accès pour des assurances mais le paradoxe est qu'on a pas de réponse clair sur leur positionnement contractuel lorsque leur client s'équipent. A priori ça va être mis au clair rapidement car c'est un marché qui est en train de décoller. Ce sera très probablement la norme dans quelques années (mon père a mis 6 ans avant de prendre un smartphone, mais il a cracké, même lui n'a pas pu résisté...)

Dernière précision , sur ces modèles on ne voit absolument rien à l'extérieur, donc aucun moyen de savoir que vous avez une serrure connectée sauf peut être avec le digicode et encore.

C'est plutôt vrai dans l'ensemble pour la situation telle qu'elle est aujourd'hui, tu oublies je pense de voir la manière dont tout cela va se développer.
Les derniers gros DDoS ont été réalisés majoritairement par des objets connectés.
L'informatique résidentielle est pas ou peu sensibilisée aux problématiques de sécurité.
Pointe toi avec un scanner dans un immeuble et vois le nombre de Wifi encore en WEP, tu pourrais être surpris.
Pas besoin de laptop pour scanner et casser un wifi même en WPA2 (je vois pas de particulier faisant du 802.1x encore ) ou même d'être dans un jardin, avec une antenne Alfa suffira à capter un grand nombre de réseaux dans une rue avec une toute petite machine s'apparentant plus à une Gameboy qu'à un laptop

L'évolution est telle que les objets connectés donc sources de failles vont se multiplier.
Les cibles les plus simples seront justement les cibles personnelles et pas professionnelles.
Il ne faudra pas longtemps aux personnes malveillantes pour identifier et apprendre à casser tout ça. Preuve en est la multiplication de vols de bagnoles à cartes mains libres.

Bref, je trouve ton opinion très juste à l'instant T, mais je doute très sérieusement qu'elle soit encore valable d'ici quelques mois/années malheureusement.

Les problématiques de sécurité que ce soient pour les entreprise mais aussi pour les particuliers vont se multiplier, les IA, l'IOT, le tout numérique (qui soyons franc facilitent grandement la vie) et les problématiques se multiplieront de la même manière. Et donc les personnes malveillantes évolueront avec.

Je ne doute absolument pas de la volonté absolue du concepteur à produire un truc ultra sécurisé, mais il n'y a malheureusement rien d'infaillible.

[xianghua]

la première des précaution est une sécurisation du wifi, en cachant le ssid par exemple, ne pas mettre admin en login (comme le fait la livebox orange ) et ensuite un psw un peu plus complexe qu'123456 )
ensuite, je ne pense pas que ce soit aussi facile d'attaquer a part perturber les ondes avec un petit matériel interdit de vente en france

C'est là où tu te trompes, c'est extrêmement simple d'attaquer un wifi, même non diffusé, il est ultra simple à voir. A cracker c'est un peu plus complexe, de quelques secondes pour le WEP à quelques minutes/heures pour du WPA2.

Et le mot de passe le plus utilisé c'est password

Quelques minutes en WPA2... si c'est 12345678 ton mot de passe.
Un vrai mot de passe aléatoire (qui n'est pas dans le dictionnaire) avec des majuscules, minuscules, chiffres et caractères spéciaux, ce sera plus que des heures qu'il faudra (en WPA2 je précise)

Autant y aller au pied de biche

[pena20100]

Bonsoir

J'ai ma serrure ! Un seul mot : content !!!

Alors on peut craindre plein de trucs, mais le cambriolage, je connais... et ca n'a jamais été par la porte... Sauf les deux dernières fois, car nous avions omis de fermer (on était à la maison et c'était en plein jour !!!)
Le système ne me parait donc risqué que dans les cas de cambriolage très "prémédités", et encore, si le cambrioleur se double d'un gars suffisamment doué en informatique, et surtout qui sache la nature de la poignée (ce qui ne se soupçonne pas de l'extérieur).
Finalement, l'accroissement de risque de cambriolage lié à la technologie me parait faible.
Alors, certes on peut me voler mon téléphone (qui sert de clé), mais on peut tout autant me voler mes clés... et croyez moi, il y a plus de chance que je constate le vol de mon téléphone que celui d'un trousseau de clé (vu la fréquence d'usage), et,, à distance je peux annuler l'accès bien plus vite que je ne changerai de serrure !

Enfin, ma volonté est surtout de pouvoir automatiser la fermeture, pour éviter ces cambriolages à la volée quand ma femme sort le chien, on mes gosses partent au parc voisin faire leur jogging !).

En plus, je suis un peu trop fasciné par tous ces nouveaux gadgets !!!!

Tout ca pour expliquer mon choix, sans vouloir forcément vous convaincre.

Alors, elle est comment cette "the keys"... J'ai eu la Danalock (que j'ai rendue). Celle ci est très largement supérieure :
-montage ultra simple (le plus dur étant de démonter la précédente !),
-dimension plus réduite (avec la Danalock, en baissant la poignée on risquait percuter la serrure tellement elle est profonde),
- clé physique en étoile, ca nécessite de s'habituer... même si par principe on ne s'en servira qu'en secours!
- plus silencieuse
- autonomie qui a l'air correcte (toujours à 100 %)
- allure plus costaud, liée au montage en usine de l'ensemble des éléments
- un contact disponible : si on prend en considération le fait qu'ils n'ont sans doute pas des personnels veillant H24 sur les mails. Moi, je les ai joint 2 fois par mail (réponse en 24h), 2 fois par téléphone (ils se sont rendus disponibles). J'ai aussi tenté une fois sur leur plateforme d'amélioration (pas de réponse, mais on s'est eu au téléphone entre temps)...

3 faiblesses par rapport à la Danalock :
- pas d'assistance à la fermeture manuelle (sans clé, sans phone, sans eedomus) quand Danalock prend le relais quand on manipule
- un design moins impressionnant : la Danalock, ronde avec ses Led, son cylindre métal et son capot laqué est quand même sacrément jolie
- une compatibilité Eedomus à construire (déjà acquise sur Jeedom)

Et ca je sais pas faire... Et ca, j'en rêve !!!
Quand la communauté des possesseurs s'élargira, j'imagine que ca se fera...

[jacques67]

Il faudrait déjà l'avoir pour donner un avis. J'ai participé à la campagne, mais comme d'habitude les initiateurs repoussent le délai, ou dans le cas présent disent avoir commencé à livrer, mais pas ou peu de personnes pour en témoigner. À moins peut être quelques bêta testeurs qui épongent les plâtres et essayent de rendre industriable le projet.