Faille de sécurité critique dans la serrure de porte sans fil HomeTec Pro CFA3000 d’Abus. La serrure sans contact peut être facilement piratée et permet ainsi à des personnes non autorisées d’accéder à la maison ou à l’appartement des propriétaires.
Abus HomeTec Pro CFA3000 avec vulnérabilité de sécurité critique
L’Office fédéral allemand pour la sécurité de l’information (BSI) a publié un avertissement signalant une faille de sécurité critique dans la serrure de porte sans fil HomeTec Pro CFA3000 du fabricant Abus.
Des personnes non autorisées pourraient utiliser cette vulnérabilité pour accéder à la maison ou à l’appartement des propriétaires depuis le voisinage immédiat et verrouiller et déverrouiller la serrure de la porte. Selon les connaissances actuelles, les appareils de la serrure de porte sans fil HomeTec Pro CFA3000 ainsi que la télécommande sans fil CFF3000 d’Abus fournie sont concernés.
BSI recommande de démonter immédiatement la serrure de porte sans fil correspondante et de la remplacer par un produit alternatif.
Le fabricant Abus est conscient de la faille de sécurité
Un détail explosif : selon le rapport du BSI, le fabricant Abus est déjà conscient de la faille de sécurité. De plus, la vulnérabilité n’a pas pu être facilement corrigée, car le verrou du type HomeTec Pro CFA3000 ne propose aucune possibilité de mise à jour pour les utilisateurs finaux.
De plus, il s’agit d’un modèle abandonné, qui a déjà été remplacé en mars 2021 par la génération suivante HomeTec Pro Bluetooth CFA3100 (actuellement 195,00 euros chez Amazon).
« Cependant, le modèle successeur ne diffère sensiblement ni visuellement ni par sa désignation des appareils concernés », prévient l’Office fédéral de la sécurité de l’information. Comme il manque ici des informations concrètes, la date d’achat ou de fabrication ne constitue pas une indication fiable indiquant que cela n’est pas affecté par la vulnérabilité.
Cependant, le fabricant Abus note que le modèle le plus récent se distingue par le logo Bluetooth présent sur le produit, ainsi que par un « carte de code QR physique, incluse avec le produit »,.
Les deux générations de modèles se ressemblent beaucoup. Voici l’Abus HomeTec Pro CFA3000 concerné. (Image : Abus)
Visuellement, du moins sur la serrure, seul le logo Bluetooth indique le nouveau modèle. (Image : Abus)
Le BSI critique toutefois le fait qu’une évaluation individuelle et une pesée des dangers potentiels associés ne sont pas possibles de manière suffisante pour les utilisateurs de la serrure de porte sans fil sans une information publique suffisante.
Quoi qu’il en soit, le marché propose plusieurs alternatives aux serrures intelligentes. Huawei a présenté le Smart Lock Pro, doté d’une reconnaissance faciale 3D et d’un capteur d’empreintes digitales, en mars. Xiaomi a enchaîné avec le Smart Door Lock M20 sans loquet en juin, tandis que le Nuki Smart Lock 3.0 Pro, doté de nombreuses améliorations, a été lancé peu de temps après.
