Les pirates informatiques cherchaient une porte dérobée dans les coffres-forts de haute sécurité et peuvent désormais les ouvrir en quelques secondes

Il y a environ deux ans , les chercheurs en sécurité James Rowley et Mark Omo se sont intéressés à un scandale dans le monde des coffres-forts électroniques : Liberty Safe, qui se présente comme « le premier fabricant américain de coffres-forts robustes pour la maison et les armes à feu », avait apparemment donné au FBI un code permettant aux agents d'ouvrir le coffre-fort d'un suspect criminel en réponse à un mandat lié à l' invasion du Capitole américain du 6 janvier 2021 .

Politique mise à part, Rowley et Omo ont été stupéfaits d'apprendre qu'il était si facile pour les forces de l'ordre de pénétrer dans une boîte métallique verrouillée – même sans connexion Internet – que seul le propriétaire devrait connaître le code d'ouverture. « Comment est-il possible qu'un tel dispositif de sécurité physique existe et que quelqu'un d'autre possède les clés du royaume ? » s'interroge Omo.

Ils ont donc décidé de comprendre le fonctionnement de cette porte dérobée. Ce faisant, ils ont découvert une faille bien plus complexe : une autre forme de porte dérobée destinée à permettre aux serruriers agréés d'ouvrir non seulement les coffres-forts Liberty, mais aussi les serrures haute sécurité Securam Prologic, utilisées dans de nombreux coffres-forts Liberty et ceux d'au moins sept autres marques. Plus alarmant encore, ils ont découvert un moyen pour un pirate d'exploiter cette porte dérobée, censée être accessible uniquement avec l'aide du fabricant, afin d'ouvrir un coffre-fort en quelques secondes. Au cours de leurs recherches, ils ont également découvert une autre faille de sécurité dans de nombreuses versions récentes des serrures Securam, permettant à un pirate informatique d'insérer un outil dans un port caché de la serrure et d'obtenir instantanément le code de déverrouillage du coffre.

Lors de la conférence des hackers Defcon à Las Vegas aujourd'hui, Omo et Rowley ont rendu leurs conclusions publiques pour la première fois, démontrant sur scène leurs deux méthodes distinctes pour ouvrir les coffres-forts électroniques vendus avec des serrures Securam ProLogic, qui sont utilisées pour protéger tout, des armes à feu personnelles à l'argent liquide dans les magasins de détail en passant par les stupéfiants dans les pharmacies.

Bien que leurs deux techniques présentent des failles de sécurité flagrantes, Omo affirme que celle qui exploite une fonctionnalité conçue comme une méthode de déverrouillage légitime pour les serruriers est la plus répandue et la plus dangereuse. « Avec cette attaque, si vous possédiez un coffre-fort équipé de ce type de serrure, je pourrais littéralement récupérer le code instantanément, sans aucun matériel spécialisé », explique Omo. « D'après nos tests, il semble soudain que l'on puisse accéder à presque toutes les serrures Securam Prologic du monde. »

Omo et Rowley démontrent leurs deux méthodes de piratage de coffres-forts dans les deux vidéos ci-dessous, qui les montrent en train d'exécuter les techniques sur leur propre coffre-fort sur mesure avec une serrure Securam ProLogic standard et non modifiée :

Omo et Rowley affirment avoir informé Securam de leurs techniques d'ouverture de coffres-forts au printemps dernier, mais avoir jusqu'à présent gardé leur existence secrète en raison des menaces de poursuites de l'entreprise. « Nous transmettrons cette affaire à notre avocat pour diffamation commerciale si vous choisissez la voie de l'annonce publique ou de la divulgation », a écrit un représentant de Securam aux deux chercheurs avant le Defcon de l'année dernière, où ils prévoyaient de présenter leurs recherches.

Ce n'est qu'après avoir obtenu une représentation juridique bénévole du projet « Coders' Rights » de l'Electronic Frontier Foundation que le duo a décidé de concrétiser son projet de parler des vulnérabilités de Securam à la Defcon. Omo et Rowley affirment qu'ils veillent encore à ne pas divulguer suffisamment de détails techniques pour éviter que d'autres ne reproduisent leurs techniques, tout en s'efforçant d'avertir les propriétaires de coffres-forts de deux vulnérabilités différentes présentes dans nombre de leurs appareils.

Lorsque WIRED a contacté Securam pour obtenir un commentaire, le PDG de l'entreprise, Chunlei Zhou, a répondu par communiqué. « Les vulnérabilités spécifiques alléguées par Omo et Rowley sont déjà bien connues des professionnels du secteur et affectent également d'autres fournisseurs de serrures de coffre-fort utilisant des puces similaires », écrit Zhou. « Lancer une attaque basée sur ces vulnérabilités requiert des connaissances, des compétences et un équipement spécialisés, et nous n'avons aucune trace d'un client ayant déjà vu une seule serrure de coffre-fort déjouée par cette attaque. »

La déclaration de Zhou continue en soulignant d'autres façons d'ouvrir les serrures des coffres-forts, du perçage et de la découpe à l'utilisation d'un dispositif de serrurerie appelé Little Black Box qui exploite les vulnérabilités de certaines marques de serrures de coffres-forts électroniques.

Omo et Rowley répondent que les vulnérabilités découvertes n'étaient pas connues du public ; l'une des deux ne nécessite aucun équipement particulier, contrairement aux affirmations de Zhou ; et aucune des autres techniques mentionnées par Zhou ne représente une faille de sécurité aussi grave que leurs découvertes concernant les serrures Securam ProLogic. Les méthodes de forçage de coffres-forts par force brute évoquées par Zhou, comme le découpage et le perçage, sont beaucoup plus lentes et moins furtives ; ou, comme la Petite Boîte Noire, sont réservées aux serruriers et n'ont pas été publiquement démontrées comme étant exploitables par des pirates non autorisés.

Zhou a ajouté dans son communiqué que Securam corrigerait les vulnérabilités découvertes par Omo et Rowley dans les futurs modèles de serrures ProLogic. « La sécurité de nos clients est notre priorité et nous avons commencé à créer des produits de nouvelle génération pour contrer ces attaques potentielles », écrit-il. « Nous prévoyons de commercialiser de nouvelles serrures d'ici la fin de l'année. »

Lors d'un appel de suivi, Jeremy Brookes, directeur des ventes de Securam, a confirmé que Securam n'avait pas l'intention de corriger la vulnérabilité des serrures déjà utilisées sur les coffres-forts de ses clients, mais a suggéré aux propriétaires de coffres-forts inquiets d'acheter une nouvelle serrure et de remplacer celle de leur coffre-fort. « Nous n'allons pas proposer de logiciel de mise à niveau », a déclaré M. Brookes. « Nous allons leur proposer un nouveau produit. »

Brookes ajoute qu'il pense qu'Omo et Rowley « ciblent » Securam avec l'intention de « discréditer » l'entreprise.

Omo répond que ce n'est pas du tout leur objectif. « Nous essayons de sensibiliser le public aux vulnérabilités de l'un des coffres-forts les plus populaires du marché », explique-t-il.

Outre Liberty Safe, les serrures Securam ProLogic sont utilisées par de nombreux fabricants de coffres-forts, dont Fort Knox, High Noble, FireKing, Tracker, ProSteel, Rhino Metals, Sun Welding, Corporate Safe Specialists et les fabricants de coffres-forts pour pharmacies Cennox et NarcSafe, selon les recherches d'Omo et Rowley. Ces serrures équipent également les coffres-forts utilisés par CVS pour le stockage de stupéfiants et par plusieurs chaînes de restaurants américaines pour le stockage d'espèces.

Rowley et Omo ne sont pas les premiers à s'inquiéter de la sécurité des serrures Securam. En mars dernier, le sénateur américain Ron Wyden a écrit une lettre ouverte à Michael Casey, alors directeur du Centre national de contre-espionnage et de sécurité, l'exhortant à faire comprendre aux entreprises américaines que les serrures de coffre-fort fabriquées par Securam, propriété d'une société mère chinoise, sont dotées d'une fonction de réinitialisation du fabricant. Selon Wyden, cette fonction pourrait servir de porte dérobée – un risque qui avait déjà conduit à l'interdiction des serrures Securam au gouvernement américain, comme toutes les autres serrures dotées d'une fonction de réinitialisation du fabricant, alors même qu'elles sont largement utilisées par les entreprises privées américaines.

En réponse à la découverte des recherches de Rowley et Omo, Wyden a écrit dans une déclaration à WIRED que les conclusions des chercheurs représentent exactement le risque d'une porte dérobée - que ce soit dans des coffres-forts ou dans un logiciel de cryptage - sur lequel il a essayé d'attirer l'attention.

« Les experts avertissent depuis des années que les portes dérobées seront exploitées par nos adversaires. Pourtant, au lieu de tenir compte de mes avertissements et de ceux des experts en sécurité, le gouvernement a laissé le public américain vulnérable », écrit Wyden. « C'est précisément la raison pour laquelle le Congrès doit rejeter les appels à de nouvelles portes dérobées dans les technologies de chiffrement et s'opposer à toute tentative d'autres gouvernements, comme celui du Royaume-Uni , visant à contraindre les entreprises américaines à affaiblir leur chiffrement afin de faciliter la surveillance gouvernementale. »

Les recherches de Rowley et Omo ont débuté avec la même inquiétude : une méthode de déverrouillage des coffres-forts largement non divulguée pourrait représenter un risque de sécurité plus important. Ils ont d'abord cherché le mécanisme derrière la porte dérobée Liberty Safe qui avait provoqué une réaction négative contre l'entreprise en 2023, et ont trouvé une réponse relativement simple : Liberty Safe conserve un code de réinitialisation pour chaque coffre-fort et, dans certains cas, le met à la disposition des forces de l'ordre américaines.

Liberty Safe a depuis écrit sur son site Web qu'il exige désormais une assignation à comparaître, une ordonnance du tribunal ou une autre procédure légale obligatoire pour remettre ce code principal, et supprimera également sa copie du code à la demande du propriétaire du coffre-fort.

Rowley et Omo n'ont trouvé aucune faille de sécurité leur permettant d'exploiter cette porte dérobée particulièrement utile aux forces de l'ordre. Cependant, lorsqu'ils ont examiné la serrure Securam ProLogic, leurs recherches sur la version haut de gamme des deux types de serrures Securam utilisées sur les produits Liberty Safe ont révélé quelque chose de plus intriguant. Ces serrures disposent d'une méthode de réinitialisation documentée dans leur manuel, destinée en théorie aux serruriers qui aident les propriétaires de coffres-forts ayant oublié leur code de déverrouillage.

Saisissez un code de récupération dans la serrure (défini par défaut sur « 999999 »). Cette valeur, un autre numéro enregistré dans la serrure, appelé code de chiffrement, et une troisième variable aléatoire sont utilisés pour calculer le code affiché à l'écran. Un serrurier agréé peut ensuite lire ce code à un représentant Securam par téléphone, qui utilise ensuite cette valeur et un algorithme secret pour calculer un code de réinitialisation que le serrurier peut saisir sur le clavier afin de définir une nouvelle combinaison de déverrouillage.

Omo et Rowley ont découvert qu'en analysant le micrologiciel du Securam ProLogic, ils pouvaient trouver tout ce dont ils avaient besoin pour calculer eux-mêmes ce code de réinitialisation. « Il n'y a aucune sécurité matérielle à proprement parler », explique Rowley. « Nous avons donc pu rétroconcevoir l'intégralité de l'algorithme secret en lisant simplement le micrologiciel de la serrure. » La méthode de piratage qui en résulte se limite à saisir quelques chiffres dans un script Python qu'ils ont écrit. Ils ont baptisé cette technique « ResetHeist ».

Les chercheurs soulignent que les propriétaires de coffres-forts peuvent empêcher cette technique de ResetHeist en modifiant le code de récupération ou le code de chiffrement de leur serrure. Cependant, Securam ne recommande pas cette mesure de sécurité dans la documentation utilisateur trouvée en ligne, mais uniquement dans un manuel destiné à certains fabricants et serruriers. Lors d'un autre webinaire Securam, Omo et Rowley ont constaté que Securam indique qu'il est possible de modifier les codes, mais que ce n'est pas nécessaire, et qu'ils ne sont « généralement jamais » modifiés. Sur toutes les serrures testées par les chercheurs, y compris une poignée achetées d'occasion sur eBay, les codes n'avaient pas été modifiés. « Nous n'avons jamais acheté de serrure sur laquelle la méthode de récupération ne fonctionnait pas », précise Omo.

La deuxième technique développée par les chercheurs, baptisée CodeSnatch, est plus simple. En retirant la batterie d'une serrure Securam ProLogic et en insérant un petit outil portable fabriqué avec un mini-ordinateur Raspberry Pi dans un port de débogage exposé à l'intérieur, ils peuvent extraire une combinaison « super code » de la serrure, affichée sur l'écran de l'outil et permettant de l'ouvrir immédiatement.

Les chercheurs ont découvert que CodeSnatch utilisait la rétro-ingénierie de la puce Renesas, qui sert de processeur principal à la serrure. Cette tâche a été grandement facilitée par les travaux d'un groupe appelé fail0verflow, qui avait publié son analyse de la même puce Renesas dans le cadre de ses efforts pour pirater la PlayStation 4, qui utilise également ce processeur. Omo et Rowley ont conçu leur outil pour reprogrammer le micrologiciel de la puce afin de transférer toutes ses informations via le port de débogage, y compris le « super code » chiffré et la clé, également stockée sur la puce, qui le déchiffre. « Ce n'est vraiment pas si compliqué », explique Rowley. « Notre petit outil fait ça, puis il vous indique ce qu'est le super code. »

Pour accéder au code de la serrure via son port de débogage, il faut saisir un mot de passe. Mais Omo et Rowley affirment que ce mot de passe était d'une simplicité déconcertante, et ils l'ont deviné avec succès. Ils ont découvert que sur une serrure Securam ProLogic plus récente, fabriquée en mars dernier, Securam avait modifié le mot de passe, mais qu'ils avaient pu le réapprendre grâce à une technique de « voltage glitching » : en soudant un interrupteur au régulateur de tension de la puce, ils pouvaient modifier sa tension électrique au moment précis où elle effectuait la vérification du mot de passe pour contourner cette vérification et ensuite vider le contenu de la puce, y compris le nouveau mot de passe.

Outre Securam, WIRED a contacté dix fabricants de coffres-forts qui semblent utiliser des serrures Securam ProLogic, ainsi que CVS. La plupart n'ont pas répondu, mais un porte-parole de High Noble Safe Company a indiqué dans un communiqué que l'enquête de WIRED était la première à révéler les vulnérabilités de Securam. WIRED examine actuellement la sécurité des serrures utilisées par sa gamme de produits et prépare des recommandations à l'intention des clients, notamment « des mesures de sécurité physique supplémentaires ou des options de remplacement potentielles ».

Un représentant de Liberty Safe a également indiqué que l'entreprise n'avait pas connaissance des vulnérabilités de Securam. « Nous étudions actuellement ce problème avec SecuRam et ferons tout notre possible pour protéger nos clients », indique un communiqué du porte-parole, « notamment en validant d'autres fournisseurs de serrures potentiels et en développant un nouveau système de serrures propriétaire. »

Un porte-parole de CVS a refusé de commenter les « protocoles ou dispositifs de sécurité spécifiques », mais a écrit que « la sécurité de nos employés et de nos patients est une priorité absolue et nous nous engageons à maintenir les normes de sécurité physique les plus élevées ».

Rowley et Omo affirment qu'il est possible de corriger les failles de sécurité des serrures Securam ; leur propre outil CodeSnatch pourrait d'ailleurs être utilisé pour mettre à jour le micrologiciel des serrures. Cependant, une telle correction devrait être mise en œuvre manuellement, serrure par serrure, un processus lent et coûteux.

Bien qu'Omo et Rowley ne divulguent pas tous les détails techniques ni le code de validation de leurs techniques, ils préviennent que d'autres, moins bien intentionnés, pourraient néanmoins réussir à reproduire leurs astuces de forçage de coffres-forts. « Si vous avez le matériel et les compétences nécessaires, cela devrait prendre environ une semaine », explique Omo.

Malgré ce risque, lui et Rowley ont décidé de rendre publiques leurs recherches afin de sensibiliser les propriétaires de coffres-forts au fait que leurs coffres métalliques verrouillés ne sont peut-être pas aussi sûrs qu'ils le pensent. Plus généralement, Omo explique qu'ils souhaitaient attirer l'attention sur les importantes lacunes des normes américaines de cybersécurité pour les produits de consommation. Les serrures Securam sont certifiées par Underwriters Laboratory, souligne-t-il, mais elles présentent des failles de sécurité critiques difficiles à corriger. (Underwriters Laboratory n'a pas immédiatement répondu à la demande de commentaires de WIRED.)

En attendant, disent-ils, les propriétaires de coffres-forts devraient au moins être conscients des défauts de leurs coffres-forts et ne pas se fier à un faux sentiment de sécurité.

« Nous voulons que Securam règle ce problème, mais surtout, nous voulons que les gens sachent à quel point cela peut être grave », explique Omo. « Les serrures électroniques contiennent des composants électroniques. Et ces composants électroniques sont difficiles à sécuriser. »