Une sécurité renforcée sera bientôt obligatoire pour les périphériques de l’IoT qui utilisent le protocole sans fil Z-Wave. Telle est la décision annoncée par la Z-Wave Alliance à laquelle devront se plier tous les fabricants de périphériques et de box. À partir d’avril prochain, la Z-Wave Alliance exigera que tous les produits incluent son framework S2 (Security 2) avant de pouvoir prétendre à la certification Z-Wave. Pour rappel, ce framework S2 est une couche du protocole domotique Z-Wave qui est conçue dans le but d’empêcher les pirates de pénétrer n’importe quel élément du réseaux Z-Wave.
Les objets connectés pour la maison ont récemment défrayés la chronique en prouvant pouvoir être des vecteurs dangereux pour des attaques basées sur Internet. La dernière en date est celle qui a vu des milliers de caméras IP et d’autres appareils être pénétrées par le botnet Mirai. Ils ont pu alors être utilisés pour perturber le bon fonctionnement de services Internet (Amazon, Netflix, Twitter, Twitter, Spotify ou encore PayPal) le mois dernier en les rendant tout simplement inaccessibles.
Tout comme le Zigbee, Thread ou encore le Bluetooth LE, le Z-Wave est utilisé pour assurer des communications à courte portée et à faible consommation entre des périphériques. A ce jour plus de 1 500 produits certifiés Z-Wave sont disponibles sur le marché. Leur gros point fort est d’être interopérables entre eux. Le Z-Wave, qui est donc l’un des principaux protocoles sans fils pour la Smart Home du grand public répond aujourd’hui de manière claire à cette attente de sécurité des objets connectés.
La Z-Wave Alliance a introduit l’année dernière le framework S2 dans le but de rendre les produits Z-Wave plus sûrs et plus résistants face à une éventuelle prise de contrôle des périphériques de la maison connectée par des pirates. Le framework S2 a été développé conjointement avec des experts en piratage informatique, offrant ainsi aux dispositifs Z-Wave déjà sécurisés de nouveaux niveaux d’impénétrabilité:
- S2 sécurise la communication à la fois localement pour les périphériques domestiques et au niveau du hub ou box domotique pour les fonctions Cloud
- Le framework S2 permet à un périphérique de ne pas dévoiler ouvertement les informations permettant à un pirate indélicat de le contrôler. Les périphériques sont particulièrement vulnérables lors de la phase d’inclusion dans le réseau Z-Wave. Lorsque l’on implémente ce framework, la première étape consiste pour le fabricant à apposer un QR code ou autre code PIN sur chaque périphérique pour l’authentifier sur le réseau domotique. Il utilise un échange de clé sécurisée Diffie-Hellman Elliptic Curve. S2 a pour ambition de rendre pratiquement impuissantes les attaques classiques de type man in the middle et ou par a force brute.
- le Z-Wave a également renforcé sa communication Cloud, permettant le tunneling de tout le trafic Z-Wave sur IP (Z / IP) via un tunnel sécurisé de type Transport Layer Security 1.1.
Les périphériques IoT, en particulier les produits pour les particuliers, ont soulevé des problèmes de sécurité sur Internet, car certains sont dotés de vulnérabilités importantes, comme l’utilisation de mots de passe par défaut identiques sur chaque unité. Contrairement aux machines, d’une époque antérieure, les périphériques IoT se connectent à Internet, il est donc plus facile pour les attaquants de s’en prendre à el bleset d’en prendre le contrôle. Inutile de détailler les soucis que provoqueraient un tel contrôle à distance des périphériques de la Smart Home.
On ne peut donc que saluer cette décision de rendre obligatoire l’utilisation de moyens de communications sécurisés. Il reste maintenant à voir comment les fabricants de périphériques actuels non protégés vont réagir à cette annonce. Les fabricants de box vont pouvoir travailler pour déterminer si une mise à jour logicielle sera suffisante pour être compatible avec cette nouvelle contrainte de sécurité afin de pouvoir piloter les nouveaux périphériques qui arriveront sur le marché et qui exigeront ce framework S2.
J’espère également que cette certification Z-Wave devenue plus contraignante après le 2 avril 2017 ne se répercute pas par une hausse des tarifs des périphériques… Car il s’agit tout de même d’un ajout important au programme de certification qui exigera que les fabricants adoptent l’un des niveaux les plus forts de sécurité dans l’industrie de l’IoT de la Smart Home.