Comment sécuriser votre système de contrôle d’accès face aux vulnérabilités de l’OSDP
Vous avez entendu parler des vulnérabilités associées au protocole OSDP et vous vous demandez comment limiter les risques ? Lisez cet article de blog pour découvrir comment renforcer votre système de contrôle d’accès.
Les vulnérabilités de l’OSDP (Open Supervised Device Protocol) font beaucoup parler d’elles ces temps-ci.
Ces vulnérabilités liées au contrôle d’accès ont été présentées pour la première fois lors de la conférence sur la sécurité Black Hat de cette année par une société de sécurité appelée Bishop Fox. Peu après, un article de blog d’Ars Technica a détaillé les cinq risques exploitables de l’OSDP mentionnés lors de la présentation.
Depuis lors, le secteur de la sécurité physique est en proie à des questions et des inquiétudes brûlantes concernant le protocole OSDP. Les acteurs malveillants étant prêts à tirer parti des faiblesses du système, il est essentiel que les organisations comprennent les conséquences des vulnérabilités de l’OSDP et sachent comment se défendre contre les menaces associées.
Poursuivez la lecture pour savoir quelles ressources existent pour vous aider à renforcer votre système Security Center contre les vulnérabilités du protocole OSDP.
Qu’est-ce que le protocole OSDP ?
OSDP est l’acronyme d’Open Supervised Device Protocol. Il s’agit d’un protocole de communication couramment utilisé dans le contrôle d’accès aujourd’hui. Il offre un cadre sécurisé et flexible pour relier les différents composants d’un système de contrôle d’accès.
Plus précisément, l’OSDP connecte les lecteurs de cartes et autres périphériques de contrôle d’accès aux contrôleurs. Il permet aux panneaux de contrôle de vérifier les identifiants par rapport à la base de données des titulaires de carte et d’accorder ou de refuser l’accès aux différentes portes ou zones.
L’OSDP a été créé par la Security Industry Association (SIA) en tant que protocole de contrôle d’accès de nouvelle génération dans le but d’améliorer l’interopérabilité entre les produits de contrôle d’accès. L’OSDP prend également en charge le chiffrement AES 128 bits, la technologie de carte à puce et d’autres fonctionnalités avancées. Pour cette raison, le protocole OSDP est considéré comme l’option la plus sécurisée pour les installations de contrôle d’accès, en remplacement du protocole Wiegand traditionnel. En 2020, l’OSDP a également été homologué en tant que norme internationale par la Commission électrotechnique internationale.
Qu’est-ce que le piratage du protocole OSDP ? Et comment pouvons-nous nous prémunir contre les risques liés à l’OSDP ?
Le piratage du protocole OSDP a été présenté par Dan Petro et David Vargas de Bishop Fox lors de la conférence Black Hat de cette année. Les deux chercheurs en sécurité ont expliqué leur méthode pour parvenir à pirater un système de contrôle d’accès en exploitant les vulnérabilités du protocole OSDP. Ils ont également détaillé leurs conclusions et recommandations dans un article de blog intitulé « Badge of Shame – Breaking into Security Facilities with OSDP » (Prix de la disgrâce – Infiltration des installations de sécurité via le protocole OSDP).
Voici un bref résumé des cinq grandes vulnérabilités de sécurité de l’OSDP et des meilleurs moyens de limiter ces risques à l’heure actuelle.
Top 5 des vulnérabilités de l’OSDP à rechercher
Chiffrement optionnel pour l’OSDP
L’OSDP prend en charge le chiffrement, mais c’est à vous d’activer cette fonctionnalité sur chaque appareil. Si vous n’activez pas le chiffrement par canal sécurisé (Secure Channel) lors de l’installation de l’appareil, ou si vous mettez en œuvre des appareils qui ne prennent pas en charge toutes les fonctionnalités de sécurité disponibles dans le protocole OSDP (comme le chiffrement), votre système peut être vulnérable face aux cybercriminels.
Que faire pour atténuer ce risque ?
Activer Secure Channel
C’est une étape incontournable lors de l’installation et de la configuration de vos dispositifs de contrôle d’accès. Dans notre Guide de renforcement de Security Center, vous trouverez des recommandations pour utiliser le protocole OSDPv2 avec le mode Secure Channel activé. Vous pouvez également suivre les instructions détaillées pour activer les connexions sécurisées des lecteurs depuis l’outil de configuration dans Security Center.
Suivre les instructions d’installation relatives à l’OSDP
Si vous utilisez SynergisMC Cloud Link, assurez-vous de suivre toutes les recommandations liées à l’OSDP dans le Guide d’installation de Synergis Cloud Link et le Guide de l’administrateur Synergis Cloud Link. Voici les sections du Guide de l’administrateur qui abordent les normes OSDP et donnent des conseils sur l’implémentation de vos appareils OSDP :
Si vous êtes à la recherche de conseils sur les appareils OSDP de fournisseurs spécifiques de contrôle d’accès qui se connectent à Synergis Cloud Link, vous pouvez consulter nos guides ici.
Si vous recherchez des conseils relatifs à l’OSDP pour Synergis Cloud Link RoadrunnerMC, consultez les ressources suivantes :
- Lecteurs OSDP pris en charge
- Création de canaux de configuration OSDP
- Configuration et ajout de lecteurs OSDP
Surveillez votre score de sécurité (widget Security Score)
Dans Security Center, le widget Security Score surveille la sécurité de votre système en temps réel et la compare à un ensemble de bonnes pratiques. Il vous attribue ensuite une note et vous propose des recommandations pour améliorer votre cybersécurité. L’une des recommandations en matière de contrôle d’accès consiste à « utiliser des connexions de lecteur sécurisées ». Si vous n’avez pas encore activé Secure Channel, le widget Security Score vous avertira de ce risque et vous recommandera de sécuriser les connexions de vos appareils de contrôle d’accès afin d’améliorer votre score de cybersécurité.
Attaques par rétrogradation ciblant le matériel
Lorsqu’un lecteur est mis en ligne pour la première fois, il transmet une liste de fonctionnalités au contrôleur, notamment sa prise en charge du chiffrement. Mais prendre en charge le chiffrement Secure Channel et l’appliquer sont deux choses très différentes.
Ainsi, même si vos lecteurs et contrôleurs de contrôle d’accès prennent en charge le chiffrement Secure Channel et que vous l’avez activé, les appareils accepteront-ils toujours l’échange de données non chiffrées ?
Les chercheurs ont découvert qu’en branchant un dispositif de piratage au câblage d’un lecteur spécifique, ils pouvaient intercepter la communication entre le lecteur et le contrôleur. Ils ont ensuite indiqué au contrôleur que le lecteur ne prenait pas en charge les communications chiffrées. Le protocole de communication a alors été rétrogradé et cela leur a permis d’accéder aux identifiants.
Que faire pour atténuer ce risque ?
Choisissez des appareils sécurisés
Il faut savoir que cette vulnérabilité ne concerne que le matériel. Certains fabricants de dispositifs de contrôle d’accès intègrent des fonctionnalités de type « Secure Channel Required » (Canal sécurisé obligatoire). Autrement dit, l’appareil refusera toute communication non sécurisée.
Vérifiez vos configurations OSDP
Vous pouvez vérifier la configuration OSDP de votre contrôleur. Chaque appareil est unique : adressez-vous à vos fournisseurs d’équipements de contrôle d’accès pour en savoir plus sur ce paramètre et assurez-vous que vos contrôleurs refusent les communications non chiffrées. Si vous avez besoin de conseils sur des appareils spécifiques à Genetec, contactez notre équipe de l’assistance.
Attaque en Mode Installation
Lors de la configuration de nouveaux lecteurs et contrôleurs, certains appareils pris en charge par le protocole OSDP activeront automatiquement le « Mode Installation ». Au cours de ce processus de configuration, le lecteur demande au contrôleur une clé de base générique. Une fois la connexion établie et l’appareil en ligne, la communication chiffrée reprend. Cependant, les chercheurs ont découvert que si le Mode Installation n’est pas désactivé, les acteurs malveillants peuvent intercepter et demander une nouvelle clé au nom de l’appareil. Il leur serait alors possible d’accéder au système et aux données.
Que faire pour atténuer ce risque ?
Apprenez-en davantage sur la sécurité des produits Genetec, Mercury et Axis
Durant la configuration, le Mode Installation n’est pas automatiquement activé pour tous les appareils OSDP. Pour pouvoir utiliser les produits Genetec tels que Synergis Cloud Link ou Roadrunner, ainsi que les derniers appareils Mercury et Axis, les installateurs doivent activer le Mode Installation à l’aide d’une carte de configuration ou d’une application. Une fois qu’un lecteur est ajouté, ces contrôleurs sortiront également automatiquement du Mode Installation. Cela permet de neutraliser cette vulnérabilité et de garantir la sécurité de votre système et de vos données.
- On recommande toujours d’activer le Mode Installation uniquement lorsque vous pouvez contrôler ou faire confiance à l’ensemble de la chaîne.
- Autre conseil permettant d’atténuer le problème : octroyer les clés séparément sur le lecteur et le contrôleur. Si le lecteur n’est pas en Mode Installation, le contrôleur n’enverra pas la clé via le protocole OSDP. Une fois Secure Channel activé, le contrôleur tentera de se connecter en toute sécurité à l’aide de la clé. Remarque : tous les appareils ne prennent pas en charge cette fonctionnalité.
Connaître la marche à suivre si le Mode Installation est activé par défaut sur vos appareils
Comme mentionné ci-dessus, les appareils Genetec Synergis Cloud Link ou Roadrunner, ainsi que les appareils Mercury et Axis, n’entrent pas dans cette catégorie. Avec tous ces contrôleurs, le Mode Installation doit être activé manuellement. Une fois votre lecteur configuré, l’appareil quittera automatiquement le Mode Installation. Mais si vous possédez d’autres appareils sur lesquels le Mode Installation est activé par défaut, voici quelques conseils :
- Sécurisez la mise en œuvre. Une fois votre appareil installé, assurez-vous de désactiver le Mode Installation pour tous vos appareils OSDP.
- Il est possible que d’autres fabricants d’appareils offrent la possibilité de désactiver automatiquement le Mode Installation passé un certain délai. Ils peuvent également intégrer des outils de rapport qui vous indiqueront sur quels appareils le Mode Installation est resté activé, et donc de repérer rapidement les appareils vulnérables.
- Si vous utilisez un appareil qui bascule automatiquement en Mode Installation, n’hésitez pas à contacter votre fournisseur de contrôle d’accès : il pourra vous indiquer d’autres protections intégrées permettant d’empêcher l’activation du Mode Installation.
Clés de chiffrement faibles
Même si cela est rare, certains fabricants de dispositifs peuvent utiliser des clés de chiffrement faibles pour les sessions de communication. Cette conjecture a été émise par les chercheurs après avoir découvert une clé générique codée en dur dans une bibliothèque OSDP open source. Et comme ces clés sont habituellement composées de combinaisons familières et simples, ils ont pu générer 768 clés codées en dur. Le risque ? Les cybercriminels pourraient en faire de même, et utiliser ces clés faibles pour lancer des attaques par force brute et tenter d’accéder à votre système.
Que faire pour atténuer ce risque ?
Remplacez les clés codées en dur pendant l’installation
Une fois de plus, il s’agit d’une vulnérabilité liée à la mise en œuvre des dispositifs. Si vous possédez des appareils qui utilisent des clés génériques codées en dur, vous devrez les remplacer par des clés uniques et aléatoires.
Choisissez des appareils OSDP vérifiés
Ces produits ont été testés et vérifiés par la SIA pour répondre aux normes OSDP. Ils sont dotés de nombreuses fonctionnalités de sécurité, telles que la prise en charge de clés AES-128 uniques et générées aléatoirement pour votre appareil OSDP. Vérifiez auprès de votre fournisseur si cette fonctionnalité est activée par défaut ou si vous devez la configurer manuellement.
Renseignez-vous sur les appareils Genetec
Nos solutions n’utilisent jamais de clés codées en dur. Que vous disposiez de Synergis Cloud Link ou de Synergis Cloud Link Roadrunner, soit vous recevrez des clés AES-128 générées aléatoirement pour chaque appareil, soit vous aurez la possibilité de configurer vos propres clés sécurisées.
Mode Installation forcé
La dernière vulnérabilité consiste à réactiver le Mode Installation d’un appareil. Les chercheurs ont expliqué comment des pirates informatiques pouvaient installer un dispositif d’écoute discret sur le câblage RS485 d’un lecteur de contrôle d’accès existant et altérer le dispositif au point qu’il faille le remplacer. Lorsque le nouveau lecteur est mis en ligne, l’appareil d’écoute peut alors récupérer la clé de chiffrement en profitant du Mode Installation. Les pirates ont ensuite la possibilité d’imiter le lecteur pour voler des informations critiques.
Que faire pour atténuer ce risque ?
Accordez une réelle importance aux alarmes de votre appareil
En cas de déconnexion ou de problèmes récurrents sur un appareil, faites preuve de vigilance dans votre évaluation et envisagez la possibilité d’une menace. Vous pouvez également consulter les rapports d’état des appareils dans Security Center afin d’examiner les alarmes d’un appareil en particulier. Vous pourrez ainsi repérer des événements ou des schémas suspects, susceptibles de révéler une tentative de violation.
Utilisez un câble temporaire lors de l’installation
Si un appareil d’écoute a été installé sur votre câblage RS485, l’utilisation d’un câble de connexion temporaire du nouveau lecteur au contrôleur pendant l’appairage de l’appareil permettra d’atténuer ce risque. Vous pourrez ainsi initier la connexion de l’appareil en toute sécurité et utiliser une communication chiffrée pour finaliser l’installation.
Liste de vérification pour renforcer la sécurité du protocole OSDP et projets en cours chez Genetec
Les menaces en matière de cybersécurité évoluent en permanence. Ces vulnérabilités OSDP mettent en évidence l’importance de choisir des dispositifs cybersécurisés et de suivre les bonnes pratiques recommandées pour se protéger contre les menaces.
Voici une liste de vérification rapide des meilleurs moyens de se défendre aujourd’hui contre les menaces associées au protocole OSDP :
- Choisissez des appareils OSDP vérifiés
- Activez le mode Secure Channel sur tous vos appareils
- Suivez les recommandations relatives au protocole OSDP dans les guides de renforcement et d’installation
- Configurez des clés de chiffrement complexes pour vos appareils
- N’activez le Mode Installation que lorsque vous pouvez faire confiance à l’ensemble de la chaîne
- Si le Mode Installation est activé par défaut sur votre appareil, quittez-le après son installation (recommandation spécifique à l’appareil)
- Procédez à l’installation de nouveaux lecteurs en vous connectant directement au contrôleur
- Vérifiez votre score de sécurité et suivez les bonnes pratiques
- Vérifiez les alarmes des appareils et consultez les rapports pour repérer les problèmes prioritaires.
- Appuyez-vous sur vos fournisseurs de confiance pour obtenir de l’aide et des conseils.
Ces conseils ne sont qu’un début. Chez Genetec, nous collaborons activement avec nos partenaires technologiques en matière de contrôle d’accès pour déterminer et répertorier les fonctionnalités des appareils utilisant le protocole OSDP.
Nous cherchons également de nouvelles méthodes pour vous protéger contre ces vulnérabilités de l’OSDP au sein de notre plateforme Security Center. Dès que nous aurons plus d’informations, nous n’hésiterons pas à vous en faire part. Mais en attendant, si vous avez des questions ou besoin de conseils supplémentaires, contactez notre équipe d’assistance.