Serrures intelligentes rendues inutiles suite à une mauvaise mise à jour

Suite à une mise à jour sans fil ratée pour une serrure intelligente accessible à distance, des centaines d’exemplaires ont perdu leur fonction. D’après LockState, le fabricant des serrures, celles-ci ont été victimes d’une erreur irrécupérable qui empêche le verrouillage. Les clients sont invités à renvoyer les serrures concernées pour réparation ou à solliciter un remplacement.

« Nous sommes conscients de l’impact que peut avoir ce problème sur vos activités et celles de votre entreprise et nous vous présentons nos excuses. L’ensemble des employés de LockState se mobilise pour trouver le plus vite possible une solution au problème » écrit Nolan Mondrow, P.D.G. de LockState dans un message électronique envoyé la semaine dernière aux clients.

La société a déclaré à Threatpost que plus de 500 utilisateurs du modèle 6000i RemoteLocks étaient concernés. Au total, environ 11 des systèmes de verrouillage sans clé développés par la société et distribués actuellement sont concernés. Le modèle 6000i permet aux clients de gérer et de contrôler à distance l’ouverture de portes. Le client reçoit également des notifications lorsque la serrure est déverrouillée à l’aide des codes attribués.

« Nous avons envoyé une mise à jour logicielle à nos serrures, mais après celle-ci, les serrures ont refusé de se connecter à nouveau à notre service Internet, ce qui empêche toute résolution du problème à distance » explique Nolan Mondrow. Au lieu d’utiliser un code numérique, de nombreux clients concernés peuvent utiliser la clé physique livrée avec la serrure déclare LockState.

La société a expliqué à Threatpost qu’elle avait envoyé par erreur le 7 août une mise à jour du micrologiciel des modèles 7000i aux serrures du modèle 6000i. Cette mise à jour a entraîné le dysfonctionnement de modèles de première génération des serrures 6000i : il n’était plus possible de les verrouiller ou de leur envoyer des mises à jour par transmission.

« Après avoir envoyé la mise à jour, nous avons prévenu sur le champ les personnes qui avaient reçu la mise à jour et quelques heures plus tard, nous leur avons communiqué les options de réparation/remplacement » a expliqué la société dans une déclaration envoyée à Threatpost.

Les serrures 6000i étaient disponibles dans le commerce, mais elles faisaient également partie du partenariat marketing Airbnb Host Assist. D’après LockState, environ 200 clients Airbnb ont été touchés.

Certains d’entre eux n’ont pas manqué de se plaindre sur Twitter.

Are you a stranded @Airbnb guest? @LockState just BRICKED a bunch of 6i locks. But they won't tweet updates. Trying to hide their screw-up?

— Juniper (@JuniperWyoming) August 7, 2017

Airbnb n’a pas réagi à notre demande de commentaires sur les événements.

Cet incident qui implique une mise à jour ratée et des serrures devenues inutiles se produit alors que les fabricants de dispositifs de l’Internet des objets sont soumis à une pression toujours plus grande pour améliorer la sécurité et la fiabilité de leurs produits. Ce n’est pas la première fois qu’une serrure sans clé provoque des problèmes pour les utilisateurs.

Au mois de mai, Eric Schneiderman, le procureur général de New York, est parvenu à un accord avec Safetech Products au sujet de la vente de portes et de cadenas Bluetooth qui n’étaient pas sécurisés. Ici, le problème n’était pas lié à une erreur irrécupérable, mais bien au fait que Safetech envoyait les mots de passe en clair via Bluetooth entre le smartphone de l’utilisateur et la serrure.

L’année dernière, SecurRing avait sonné l’alarme par rapport au nombre croissant d’appareils Bluetooth utilisés pour les solutions d’entrée sans clé et les systèmes de point de vente mobiles vulnérables aux attaques de l’homme du milieu.

Source : Threatpost