Les serrures connectées d'Amazon auraient déjà été piratées
L'idée de base partait d'un bon sentiment : pour régler le problème des colis disparus, Amazon a commencé à suivre la piste d'une solution permettant de déposer des paquets directement au domicile des personnes ayant passé commande ou dans le coffre de leur voiture.
Réservé à certains de ses clients américains inscrits au programme Premium, le service mêle une caméra et une serrure connectée. Lorsqu'un livreur arrive devant la porte d'un abonné, il scanne le code-barres du colis. Une demande d'accès est alors envoyée à Amazon, qui doit alors autoriser la livraison en déverrouillant à distance la porte. Il ne reste plus qu'à déposer le colis.
En parallèle, la caméra du foyer se déclenche, ce qui donne la possibilité au client de suivre en direct ce qui se passe chez lui (il peut aussi regarder la vidéo plus tard) et de vérifier que tout se passe correctement (en clair qu'aucun vol n'est commis), grâce à l'envoi d'une notification envoyée sur le smartphone. Une fois le colis livré, le coursier sort, referme la porte et le système verrouille la porte.
Voilà pour la théorie. En pratique, la question qui vient immédiatement à l'esprit porte naturellement sur la fiabilité du système : est-il capable de résister face aux tentatives de piratage dont il pourrait faire l'objet, en vue d'un effraction ? Une vidéo publiée sur Twitter remet au goût du jour cette interrogation : à en croire de celui qui se présente comme l'auteur du hack, il est possible de contourner Amazon Key.
https://twitter.com/_MG_/status/960269383774842881
Les détails techniques ne sont pas donnés -- l'intéressé explique ne pas vouloir les livrer tant que le géant du commerce électronique n'a pas eu l'opportunité de corriger ce qu'il présente comme une faille dans le système, pour éviter qu'elle puisse être reproduite par des tiers nettement moins bienveillants que lui -- mais une présentation générale est faite de l'attaque.
On note que l'assaillant a besoin de placer préalablement un dispositif non loin du verrou (ici, il le cache dans une lampe éclairant la porte d'entrée), qui n'aurait pas besoin de configuration ou d'accès au réseau. L'assaillant est alerté quand un livreur passe, grâce à une notification qui lui est envoyée par son dispositif ; il peut alors venir et ouvrir la porte et récupérer le colis ou bien dérober d'autres choses.
Une technique réaliste ?
La remise en question manifeste de la fiabilité du processus Amazon Key doit être toutefois pondérée par toutes les conditions préalables qu'il faut accomplir pour ouvrir une porte : il faut en particulier être en mesure d'identifier un foyer qui utilise Premium et qui utilise ce service. Il faut ensuite pouvoir cacher, sans se faire repérer, le dispositif non loin de la serrure à pirater, ce qui n'est pas toujours possible.
Enfin, il faut que le cambrioleur puisse être en mesure d'agir après la livraison (sauf si la faille peut être exploitée sur un temps relativement long une fois qu'elle a été utilisée), qu'il récupère son dispositif et qu'il puisse commettre son forfait sans se faire repérer par un voisin ou par le propriétaire. Sans parler de la caméra Amazon présente à l'intérieur ou des autres éventuels dispositifs de sécurité en place.
Il reste à voir de quelle façon Amazon compte appréhender le problème soulevé par cette vidéo et comment le hacker s'y est pris pour tromper Amazon Key. Cela étant, à supposer que le hack soit réel, les nombreuses conditions indispensables à sa mise en œuvre tendent à en limiter sa portée pratique -- même s'il est préférable que l'entreprise trouve une solution pour qu'il y ait un minimum de vulnérabilités.
Pour un peu, c'est à se demander s'il ne serait pas plus simple de casser un carreau ou de travailler la serrure au pied de biche.