Cracker un digicode, ou la sécurité très moyenne des digicodes urbains

Un jour de décembre, je rentre à pieds chez moi. 200 mètres avant d’arriver chez moi, au détour d’une rue, je vois un jeune homme devant moi, un peu plus loin, il se dirige dans la même direction que moi. Il croise un autre jeune homme qui l’attend, ils semblent se « checker » sans non plus être amis. Ils continuent du même pas, et je vois le 2e jeune homme composer le digicode de mon immeuble. Ils rentrent. Je ne les ai jamais vu dans la copropriété (que je connais bien). Ils ne me voient pas, car je suis suffisamment derrière, même s’ils jettent pas mal de coups d’œil furtifs un peu louches. A distance, je les suis et vois qu’ils montent au tout dernier étage de l’immeuble. En haut ils font sûrement une transaction (je ne suis pas monté voir), et repartent aussi tôt. J’ai bien signalé cela au commissariat de l’arrondissement, et nous avons changé le digicode le surlendemain. Le digicode n’avait été changé depuis 1 an environ, et surtout, il ne fonctionne pas avec un sas et deux portes à code ou interphone. Cet immeuble est donc une passoire. Comme beaucoup d’immeubles de copropriétés.

L’autre soir, en pensant à cette histoire, mes yeux se posent sur les digicodes des copro environnantes :

digicode
Un digicode dont le code n’a pas du être changé depuis plus d’un an…

… et là, je me dis que le code utilisé sur ce digicode fait 5 chiffres et qu’il n’a pas été modifié depuis bien longtemps (et que la gardienne ou le service de nettoyage oublie de nettoyer le digicode).

Donc là le code est à base de 1 4 5 7 B … pour les matheux ça fait 5! combinaisons possibles (c’est à dire 1x2x3x4x5 = 120 combinaisons possibles). C’est presque essayable à la main si l’on est motivé.

Et si votre digicode n’a que 4 chiffres pour composer son code, et que les touches utilisées pour ce code sont sales, on parle alors de 4! combinaisons possibles, soit 24 combinaisons… facile. Commencez dans le lot des 24 combinaisons par ce qui ressemble à une date historique, et ça se trouve vous aurez cracké le digicode en quelques secondes.

Après techniquement, j’ai appris à « cracker » (c’est un grand mot… bypasser disons) un digicode en changeant le code du digicode de ma copro, car je suis évidemment au conseil syndical (tout « protegor » vivant en copro est au CS… la base pour avoir les infos tôt et pouvoir intervenir sur les décisions de sécurité de son habitat et voisinage). Nous en avions marre de payer un serrurier pour faire un changement, et moi je voulais changer le code tous les 4 matins (on reviendra sur la périodicité plus tard). Du coup, j’ai regardé quel était le modèle installé, trouvé gratuitement le guide d’installation en ligne, demandé au fabricant la clé étoilée qui permettait de le démonter (et qui se trouve ne fait être un modèle qui se trouve dans le commerce… mais là, ils me l’ont même envoyé gratos), et je fais tous les changements quand je veux, en avertissant le syndic, qui email tous les proprio / résidents pour informer d’un changement. Pratique, 0 coût, personne ne s’en plaint.

Sauf que je pourrais techniquement aussi aller changer le code de l’immeuble en face, il faut juste identifier le modèle et la procédure de changement de code. Je ne le fais pas car je suis gentil et bienveillant, mais cela m’a fait prendre conscience du niveau de sécurité très faible d’un digicode, et emmerdement potentiellement bien pénible pour les voisins.

Un interphone c’est pas forcément mieux : s’il y a un cabinet médical ou autre dans l’immeuble, considérez que la porte reste ouverte de 9h à 18h, et la sécurité repose sur la résistance des résidents à l’ingénierie sociale (« bonjour, c’est le livreur de votre voisine, Madame « le nom juste avant », elle est absente, vous pouvez m’ouvrir pour que je dépose un pli urgent ? »).

La clé vigik fonctionne bien sur une petite copropriété stable avec peu de va-et-vient de nouveaux locataires.

Le digicode reste donc un outil « mieux que rien », avant que la domotique prévoit un système avec ouverture via son mobile (et donc super hackable…), mais l’illectronisme et la résistance des anciennes générations va freiner ce genre de système quelques années encore dans les copro.

Du coup, pour optimiser la sécurité de son digicode dans sa copro :

  • Il faut le changer régulièrement (tous les 3 à 6 mois, et notamment après les grandes périodes de changement de locataires ; à la rentrée, c’est obligatoire par ex.)
  • Il faut le nettoyer pour éviter que les chiffres les plus utilisés ressortent comme sur la photo
  • Il faut 5 chiffres minimum, éviter les dates connues et ne pas définir plusieurs codes (les digicodes le permettent, ça n’a pas vraiment d’intérêt… on pourrait imaginer un code « propriétaires » et un code « à donner pour les livraisons », mais dans tous les cas il faudra changer le code livraison très régulièrement donc bon…)
  • Il faut demander aux résidents de cacher quand ils composent ; dans Protegor, je suggérais de noyer le code dans d’autres chiffres (avant/après le code), si votre modèle de digicode le permet
  • Il est possible de tenir la porte à quelqu’un qui vous suit pour entrer, mais en lui demandant qui il vient voir ou s’il habite ici, et en le suivant / surveillant ; sinon lui dire de contacter la personne qu’il visite (attention encore ici à l’ingénierie sociale). Sauf si la personne est agressive, dangereuse bien sûr…
  • … et plus d’infos sur la protection du domicile dans Protedom ^^

COMMENTAIRES RESEAUX SOCIAUX

Pour commenter cet article, vous pouvez soit utiliser le module réseaux sociaux ci-dessous (s'il ne s'affiche pas c'est que votre ordinateur bloque l'affichage de facebook sur les sites tiers), ou bien le module traditionnel du blog situé un peu plus bas.

Laisser un commentaire