Que penser de cet article sur le piratage Zwave ?

[krystyan]

https://www.01net.com/actualites/le-pro ... 57870.html

[zorglub]

Salut,

Je pense qu'il vaut mieux utiliser quelques choses de plus sécurisé pour le moment pour des fonctions clés de sécurité (Alarme, serrure, etc...) car il s'agit de vulnérabilité inhérente au protocole d'une part et à l'implémentation peut être un peu laxiste dans certains produits d'autre part, ce qui signifie qu'il faudra attendre une mise a jour du protocole et donc des produits... Pour ce qui on deja investit, ca peut faire mal car si l'on souhaite être réellement sécurisé il faudrait, d'après ce que j'en comprend, bloquer la retrocompatibilité S0 et jeter les anciens produits à la poubelle qui ne serait pas compatible S2.
Par contre, pour des fonctions comme ouvrir ou fermer mes voler, allumer/éteindre les lumières, etc... C'est gênant mais moins grave.
Enfin je pense qu'il faut tout de meme relativiser. Il me semble que l exploit utilisé n'est pas forcement rendu public (mais je n'en suis pas certains) et qu'il n'est pas à la portée du premier voleur opportuniste de developper un script python utilisant cet exploit, meme si pour quelqu'un de motiver, cela peut se faire facilement.

[ericl]

En ce qui me concerne, les jeunes qui sont venus visiter mon domicile n'étaient pas trop capables d'utiliser ces failles : vu le temps qu'ils ont mis pour casser la vitre sur la vidéo surveillance ce n'était pas trop des fleches. Je fais le meme raccourci pour la plupart des voleurs.

Apres de la domotique zwave pour faire une alarme c'est cool mais niveau fiabilité/sécurité c'est clairement pas le top. A mettre dans la balance que nos maisons n'ont peut être pas non plus besoin de la sécurité d'une banque

[stef31]

Il y avait déjà eu un article ancien sur la possibilité de pirater un réseau Z-WAVE.
C'est assez curieux de re-sortir un article juste au moment où doit sortir les nouvelles puces Z-WAVE série 500 qui justement apportent des correctifs aux points soulevés.
En plus cet article incite à renouveler tout les produits Z-WAVE dont on dispose actuellement en particulier les modules de première génération qui sont dépourvus de clé de cryptage.
Je ne suis pas un partisan de faire reposer son système de sureté sur du Z-WAVE mais je connais beaucoup d'installations industrielles stratégiques qui sont en radio et qui utilisent des protocoles moins sécurisés que le Z-WAVE.

[BingO]

Et ce n'est que le début...
Avec l'avènement de l'IoT de la prise en compte partielle voire inexistante des aspects sécuritaires, ce genre d'article en lien avec la domotique et/ou l'IoT ne va cesser de se multiplier.

Une des raisons pour lesquelles notamment mon système domotique est totalement décorrellé de mon alarme.

[jbourdin]

De façon évidente, tous les objets permettant une interaction à distance sont vulnérables. Certains sont plus sécurisés que d'autres, selon le protocole.
L'important étant de se poser la question du risque et non du danger (le danger, c'est dire que ça peut arriver, le risque, c'est l'évaluation du la probabilité que ça arrive et des conséquences lorsque ça arrive).

En gros, un objet connecté est une cible intéressante si
- elle permet un accès à des choses critiques chez la personne (serrure connecté, alarme...)
- elle est un vecteur pour relayer des attaques (principalement les objets sur le réseau TCP/IP)
- elle permet de nuire à la personne (couper le chauffage ou la lumière de façon pénible)

Le coût en cas d'attaque
- très élevé sur les accès et alarme (risque de cambriolage)
- élevé pour le réseau sur les relai d'attaque (usage dans un botnet de notre caméra IP) et responsabilité potentiellement engagée
- inconfort voir obligation de couper la domotique si malveillance sur les éléments de domotique "ordinaire"

En résumé, je pense que les serrures connectés ont un risque élevé et donc le rapport bénéfice risque est trop défavorable par rapport à des clefs physiques.

Les équipements IOT sont potentiellement source de problème, il faut se limiter à des besoins évident et avec de réelles possibilités de mises à jour de ces objets pour corriger les failles (c'est le gros point faible de beaucoup de matériels wifi/RJ45).

Le reste de la domestique n'est pas un souci sauf si vous avez quelqu'un qui vous en veut personnellement. Ma préférence est d'avoir des solutions débrayables lorsque c'est possible (bascule du fil pilote au mode confort directement sur le radiateur si besoin).

[galaksy2001]

Si j'ai bien compris, c'est au moment de l'inclusion d'un module qu'il y a cette faille de sécurité.
Avant qu'il y ait un cambrioleur assez rusé pour hacké mon système au moment où je procède à l'inclusion d'un module ... je crois que j'ai le temps de voir venir

Silicon Labs a racheté récemment l'activité Z-Wave de Sigma Designs : comment rembourser cet achat ? En déclarant obsolètes au niveau de la sécurité les modules de première génération, on pousse à la consommation et on trouve un bon relais de croissance.

[krystyan]

Merci pour vos avis sur ce sujet assez sensible.
Dans l'article il est question de quatre appareils européens qui supportent le protocole S2 et l'Eedomus semble ne pas en faire partie ?
Plus étonnant, dans les appareils listés sur le site de l'Alliance Zwave j'ai trouvé Vera et Fibaro mais pas Eedomus ?
Ai je mal cherché ?

[stef31]

Merci pour vos avis sur ce sujet assez sensible.
Dans l'article il est question de quatre appareils européens qui supportent le protocole S2 et l'Eedomus semble ne pas en faire partie ?
Plus étonnant, dans les appareils listés sur le site de l'Alliance Zwave j'ai trouvé Vera et Fibaro mais pas Eedomus ?
Ai je mal cherché ?

C'est curieux car le protocole S2 est implémenté avec les puce Z0500 (Z-WAVE+) et l'EEDOMUS a été une des premières box a avoir été équipé avec cette puce (juste après la ZIBASE). D'ailleurs, je ne sais pas si FIBARO propose enfin ses box HCL et HC2 avec cette puce?

Après, tu as la possibilité de désactivé le cryptage lors de l'inclusion pour pouvoir assurer la rétrocompatibilité avec les anciens modules ou parce que parfois, l'inclusion ne fonctionne pas correctement.