Cet article est le premier d’une nouvelle série consacrée à Verisure. Dans un premier temps, nous allons faire une brève présentation, puis nous allons nous intéresser aux informations disponibles sur internet.
Les systèmes Verisure sont assez chers, mais on peut en trouver d’occasion pour un budget raisonnable. J’en ai trouvé un pour environ 45€ qui date de 2013. Je ne testerai donc pas la dernière version. A priori, les systèmes d’occasions ne peuvent pas être télésurveillés, mais à priori peuvent fonctionner en local. On va essayer!
Les liens vers les prochains articles seront mis ici.
Généralités
Verisure, anciennement Securitas Direct, est un le leader européen et français de l’alarme télésurveillée avec abonnement. Il est présent en Europe de l’Ouest et du Nord, ainsi qu’en Amérique du Sud. La R&D est basée à Malmö et Madrid, et le siège social est en Suisse. Verisure en France c’est 537 M d’€ de chiffre d’affaire pour un résultat net de 34.7 M € (chiffres de 2023, source), avec une croissance de plus de 10% par an. Vous pouvez vous balader dans n’importe quel quartier résidentiel, vous trouverez des plaques de système d’alarme Verisure. La marque revendique 650 000 installations en France.
La télésurveillance est certifiée APSAD R31 P3. Verisure est certifié EN50131 (source), au moins pour partie du système d’alarme. Verisure n’est pas certifié NFA2P. Il s’agit de certifications volontaires (non obligatoires). Promis, je ferai un article pour expliquer à quoi correspondent ces certifications.
Recherche documentaire
En explorant les sites de Verisure, on peut trouver les manuels de leurs gammes.
On trouve ensuite une série d’analyses cybers menée par des étudiants suédois de KTH. Il y en a une de 2020, ici (vous pouvez aller directement à la page 421),qui s’attaque principalement à la centrale et aux interactions réseaux. Celle-ci de 2021, s’intéresse à la serrure connectée. Une autre de 2024, ici, se concentre principalement sur les périphériques et leurs interactions avec la centrale.
Il y a aussi deux articles de 2014 publiés sur le blog funoverip, qui ont disparu du net, mais pas complètement grâce à la « internet wayback machine ». Ils ont pour sujet le reverse du protocole radio de Verisure: premier article et second article, et les scripts pour faire ces articles sont toujours sur github. Les analyses du KTH citent ces articles.
Ça fait pas mal de lecture. Je vais essayer de vous faire un résumé.
Historique des gammes récentes et manuels utilisateurs
Il y a assez peu d’info sur le système Verisure sur internet.
 |  |
La gamme smart protection/evolution/essence (j’ai trouvé les trois noms) est sortie en novembre 2022. J’ai retrouvé des manuels utilisateurs ici et là, en pdf et en anglais. J’ai également trouvé le guide d’utilisation en français ici.
Pour la gamme smart alarm, j’ai trouvé le manuel utilisateur là (toujours en anglais).
Cela permet de se faire un avis sur les utilisations du système, ainsi que voir les composants de la gamme. Il y a d’autres gammes plus anciennes, mais c’est principalement ces deux-là qu’on retrouve sur des sites comme leboncoin ou ebay.
Copie de badge
J’ai trouvé au moins 3 sites différents qui proposent de réaliser des copies de badges Verisure pour une somme de 20€ à 30€ environ. En conclusion, les badges Verisure sont très probablement copiables 🙂
Blog funoverip
Si on commence par le blog funoverip, on apprend que la modulation radio utilisée par le système verisure est une FSK (modulation de fréquence) avec fréquence centrale de 869.036 MHz, dans une bande « libre ». Ce n’est pas étonnant, la plupart des systèmes d’alarme en Europe sont soit dans la bande libre des 433MHz soit dans celle en 868Mhz. En 2014, le système utilisait des communications chiffrées en AES-CBC 128 bits, ce qui n’était pas le cas de toutes les alarmes à l’époque! Il a réussi à récupérer les clés du système et a complètement décodé les trames radio.
Nota: le chiffrement AES-CBC, peut être vulnérable aux attaques de type padding oracle.
Les clés sont compartimentées : « Crypt Key » pour chiffrer les paquets, « Hash Key » pour de la signature. Certaines sont générées aléatoirement, d’autre sont « en dur », mais unique (à priori) par device.
Les périphériques sont architecturés autour d’un SOC MCU/radio cc1110 et la centrale autour d’un ARM STR91X, micro sorti au milieu des années 2000, aujourd’hui obsolète, mais qui pouvait tourner à 96 MHz (pas mal!) autour d’un cœur ARM9.
Dans le cas de cette analyse, l’auteur a récupéré les clés de son système via relecture des softs. Il a ensuite pu déchiffrer les trames radio de son système uniquement. Pour cela, il a eu besoin d’un accès physique au système (qui est auto-protégé). En termes de sécurité, c’est loin d’être la catastrophe, et c’est plutôt un bon point pour Verisure, surtout dès 2014, avec un microcontrôleur qui date du milieu des années 2000!
Pas sûr que cette analyse s’applique à la gamme « smart protection »
Article de 2020: How Secure is Verisure’s Alarm System?
Pour cet article, les étudiants se sont intéressés au trafic réseau de l’alarme Verisure. D’après eux, les communications se font en SCTP sur le port 9899 (encapsulé en UDP) et en DTLS sur le port 66666. Ils ont constaté un échange périodique toutes les 28 secondes sur le port 9899. Ils ont établi un modèle de menace et conduit une évaluation des risques.
En lisant l’article en détails, ils annoncent ensuite que les paquets sniffés ne suivent pas la RFC SCTP… donc ils se sont peut-être plantés sur le fait que ça soit du SCTP.
Ils ont réussi à trouver un moyen de bloquer les utilisateurs de l’application : la page de login permettait de vérifier si on était un utilisateur connu ou pas, et après un certain nombre d’erreurs, coupait les sessions actives de l’utilisateur. Il suffit donc de connaître l’adresse mail de quelqu’un pour pouvoir bloquer son application Verisure (voir partie G. Penetration test #6). Il faudrait voir si c’est toujours le cas. Une des choses intéressante, c’est qu’il ont réussi à désarmer / armer l’alarme à distance connaissant l’identifiant du système (giid) et le code de la centrale (code à 4 chiffre). Seule, ce n’est pas une grave faille de sécurité, mais elle peut être exploitée si on trouve un moyen de récupérer le code à 4 chiffres.
Ils ont testé de nombreuses approches et la plupart de leurs tests se sont soldés par des échecs. Cela peut rassurer sur l’alarme Verisure.
Ils ont pas mal joué avec le site mypages.verisure.com et trouvé des vulnérabilités de type CSRF.
Article de 2021: Security evaluation of a smart lock system
L’article s’intéresse à l’intégration de la serrure Yale Doorman V2N dans le système Verisure. Attention, il ne s’agit pas de la serrure Lockguard qui est sortie fin 2024.
 |  |
On apprend que les clés de la serrure Yale Doorman utilisent des composants « Mifare Classic 1K » qui peuvent être clonés (références : ici et là).
Projet de 2024: How safe is safe: Ethical hacking of Verisure’s home alarm system
La version de l’alarme Verisure utilisée pour ce travail n’est pas la dernière version, puisqu’elle date de 2020. D’après les photos, il ne s’agit pas non plus de la gamme smart alarm vendue à l’époque en France, mais d’une gamme dédiée à l’Europe du Nord.
Entre autres choses, l’auteur montre que les badges utilisés sont des badges ISO 15693, à priori seul l’UID (identifiant unique du badge) est utilisé, ce qui fait que le badge est facilement clonable / émulable.
Premières conclusions
A première vu, le système Verisure parait sérieux, même si peu d’informations ont été trouvées dans cette étape de recherche, ce qui est surprenant pour le système d’alarme le plus répandu en Europe de l’Ouest et du Nord.
En conclusion, il va falloir mettre les mains dans le cambouis pour en apprendre plus.