De nombreux complexes d’appartements modernes équipés de systèmes de sécurité IoT, comme ceux de Hirsch Enterphone Mesh, présentent des vulnérabilités critiques dues à l’utilisation d’identifiants par défaut accessibles en ligne. Cette faille permet à des individus de déverrouiller des portes à distance et d’accéder à des informations sensibles sur les résidents. Malgré la recommandation de changer ces identifiants, manque d’instructions claires et l’absence de notification par Hirsch aggravent la situation. Les gestionnaires doivent être contactés pour sécuriser ces systèmes.
La Vulnérabilité des Systèmes de Sécurité dans les Appartements Modernes
De nombreux complexes d’appartements utilisant des systèmes d’interphone connectés à Internet continuent de fonctionner avec des identifiants par défaut, rendant leurs installations accessibles à quiconque sait où chercher. Eric Daigle, un programmeur, a rapidement exploité cette faille dans un système de gestion de bâtiment, lui permettant de déverrouiller n’importe quelle porte d’appartement à distance. Cette vulnérabilité a été découverte dans les systèmes de sécurité IoT Hirsch Enterphone Mesh, qui sont largement utilisés au Canada.
Risques Associés à l’Internet des Objets dans la Sécurité des Bâtiments
L’Internet des objets (IoT) est de plus en plus intégré dans les systèmes de sécurité des bâtiments modernes, y compris dans les complexes d’appartements cherchant des solutions plus avancées que les anciennes lignes téléphoniques. Les systèmes Mesh de Hirsch utilisent un portail en ligne pour suivre et enregistrer tous les badges d’accès, permettant un contrôle à distance des entrées sécurisées.
Malheureusement, les identifiants par défaut et le lien vers le site Web de gestion sont facilement accessibles dans les manuels d’utilisation, qui peuvent être trouvés en quelques clics sur Google. En attendant à un arrêt de bus, Daigle a pu localiser le manuel d’un terminal de sécurité à proximité et découvrir comment accéder au bâtiment en quelques minutes.
Bien que Hirsch recommande de changer les identifiants par défaut après l’installation, le manque d’instructions claires sur cette procédure dans le manuel rend cette étape de sécurité souvent négligée. En recherchant simplement le nom de la page de connexion pour les systèmes de sécurité Identiv/Hirsch et en utilisant les identifiants par défaut, les utilisateurs peuvent facilement accéder à ces systèmes vulnérables.
Une fois qu’un individu accède à la page d’accueil du panneau de sécurité, il peut visualiser des informations sensibles telles que les noms, numéros de chambre et numéros de téléphone des résidents. De plus, un historique complet de chaque activation de badge dans le bâtiment est également disponible, permettant aux acteurs malveillants d’analyser les habitudes des résidents. Il est même possible de déverrouiller à distance n’importe quelle porte du complexe via le même portail.
Selon Daigle, une recherche rapide sur ZoomEye indique qu’environ 100 complexes d’appartements au Canada utilisant le système Hirsch sont vulnérables à cette exploitation. Hirsch a déclaré qu’il ne traitera pas cette faille, notée 10/10 Critique par la Base de données nationale des vulnérabilités. L’entreprise insiste sur le fait que la responsabilité de changer les identifiants par défaut incombe à l’utilisateur final, sans fournir d’instructions précises dans son manuel.
Hirsch a également précisé qu’il ne notifiera pas les utilisateurs concernés de cette faille de sécurité. Les résidents d’appartements, de bureaux ou d’écoles utilisant un système de sécurité Hirsch MESH doivent donc contacter leurs gestionnaires pour s’assurer que les identifiants par défaut ont été modifiés. Grâce à l’IoT, la tendance à abandonner les clés physiques ouvre la porte à un accès potentiel pour quiconque possédant un téléphone et une connexion Internet.