Techniques d'attaque sur les protocoles radio IoT avec SDR et contre-mesures défensives.
Résumé exécutif
Les protocoles radio IoT constituent une surface d'attaque invisible mais critique que les audits de sécurité traditionnels ignorent systématiquement. Le Bluetooth Low Energy équipe les dispositifs médicaux et les serrures connectées, Zigbee orchestre les réseaux domotiques et industriels, LoRa couvre les déploiements de capteurs sur plusieurs kilomètres de portée. Chaque protocole présente des vulnérabilités exploitables avec du matériel accessible pour quelques centaines d'euros : sniffing passif des communications, replay de commandes capturées, injection de trames malveillantes et bruteforce des mécanismes d'appairage ou des clés de chiffrement. Ce guide technique détaille les techniques offensives sur chaque protocole radio IoT avec les outils matériels et logiciels nécessaires, des démonstrations reproductibles et les contre-mesures défensives adaptées à chaque scénario d'attaque identifié lors de missions de pentest IoT réalisées en environnement industriel et résidentiel.
La sécurité des communications radio IoT est fondamentalement différente de la sécurité réseau filaire. Un attaquant n'a pas besoin d'un accès physique au réseau : il lui suffit d'être à portée radio du dispositif cible, ce qui peut représenter plusieurs dizaines de mètres pour le BLE, une centaine de mètres pour le Zigbee et plusieurs kilomètres pour le LoRa. Les équipements nécessaires au pentest radio IoT sont devenus remarquablement accessibles depuis l'avènement du SDR grand public. Un HackRF One à 300 euros remplace des équipements de laboratoire qui coûtaient plusieurs dizaines de milliers d'euros il y a dix ans. Cette démocratisation des outils d'analyse radio signifie que les attaquants disposent désormais des mêmes capacités que les laboratoires de recherche spécialisés, ce qui impose aux fabricants de prendre la sécurité radio au sérieux plutôt que de compter sur l'obscurité des protocoles propriétaires. Les techniques présentées ici sont complémentaires de la méthodologie de pentest IoT OWASP et s'intègrent dans la phase d'audit des protocoles de communication. L'article sur les attaques wireless Wi-Fi et BLE couvre les aspects Wi-Fi non traités ici pour se concentrer sur les protocoles spécifiquement IoT.
- Le BLE en mode Just Works est vulnérable au Man-in-the-Middle avec des outils comme GATTacker
- Les clés réseau Zigbee transmises en clair lors du processus de join compromettent tout le réseau
- LoRaWAN en mode ABP avec compteurs réinitialisables permet le rejeu de messages capturés
- Un kit complet de pentest radio IoT coûte moins de 500 euros en matériel SDR
- La détection d'anomalies RF est la contre-mesure la plus efficace contre les attaques radio
Attaques sur le Bluetooth Low Energy
Le Bluetooth Low Energy (BLE) est le protocole radio le plus répandu dans l'IoT grand public : serrures connectées, bracelets de fitness, dispositifs médicaux et balises de localisation. Le mode d'appairage Just Works, utilisé par la majorité des dispositifs BLE pour sa simplicité, n'offre aucune protection contre les attaques Man-in-the-Middle. L'outil GATTacker implémente un proxy BLE transparent qui se positionne entre le dispositif et l'application mobile pour intercepter et modifier les commandes GATT en temps réel.
Le sniffing BLE avec un Ubertooth One capture les paquets advertising qui révèlent l'identité, les services exposés et parfois des données transmises en clair. L'outil GATTacker clone le profil GATT d'un dispositif légitime pour créer un jumeau malveillant auquel l'application mobile se connecte automatiquement lorsque le signal est plus fort. Cette technique, testée sur des serrures connectées commerciales, permet de capturer le code de déverrouillage et de le rejouer ultérieurement.
Lors d'un audit d'une serrure connectée BLE dans un immeuble de bureaux, le clonage du profil GATT avec GATTacker a permis de capturer la séquence de déverrouillage transmise par l'application mobile. La séquence, non chiffrée et sans mécanisme anti-rejeu, a pu être rejouée 48 heures plus tard. Le fabricant utilisait le mode Just Works et transmettait les commandes en clair sur la caractéristique GATT de contrôle.
Interception et injection sur les réseaux Zigbee
Le protocole Zigbee utilise un chiffrement AES-128 au niveau réseau, mais la distribution de la clé réseau lors du join constitue sa vulnérabilité principale. Lorsqu'un nouveau dispositif rejoint le réseau, le coordinateur lui transmet la clé réseau chiffrée avec une clé de transport bien connue définie dans la spécification. Un attaquant qui capture cette phase avec un sniffer CC2531 peut déchiffrer la clé réseau et décrypter l'intégralité du trafic. La protection des données transmises via Zigbee rejoint la problématique de sécurité des protocoles IoT au niveau applicatif.
Le framework KillerBee fournit les outils offensifs : zbstumbler pour la découverte, zbdump pour la capture, zbreplay pour le rejeu et zbassocflood pour le déni de service. L'injection de trames avec un dongle ApiMote permet d'envoyer des commandes de contrôle aux actionneurs du réseau une fois la clé obtenue. La combinaison capture de clé et injection permet la prise de contrôle complète d'un réseau domotique ou industriel Zigbee déployé sans surveillance.
| Protocole | Outil de sniffing | Outil d'injection | Vulnérabilité principale | Coût matériel |
|---|---|---|---|---|
| BLE | Ubertooth One | GATTacker, BtleJuice | Appairage Just Works | ~100 € |
| Zigbee | CC2531 Sniffer | KillerBee, ApiMote | Clé réseau en clair au join | ~15-80 € |
| Z-Wave | Scapy-radio | EZWave | Downgrade S0 chiffrement | ~200 € |
| LoRaWAN | gr-lora, SDR | ChirpStack | ABP compteurs réinitialisables | ~300 € |
| Sub-GHz | RTL-SDR, HackRF | HackRF, Yard Stick One | Codes fixes sans rolling code | ~25-300 € |
Vulnérabilités des réseaux LoRaWAN
Le protocole LoRaWAN couvre les déploiements longue portée avec des communications sur plusieurs kilomètres. LoRaWAN implémente un chiffrement AES-128 à deux niveaux : la clé NwkSKey protège l'intégrité des métadonnées, et l'AppSKey chiffre la charge utile. Le mode OTAA génère ces clés dynamiquement lors du join, offrant une meilleure sécurité que le mode ABP où les clés sont provisionnées statiquement.
Les vulnérabilités se concentrent sur le mode ABP encore largement déployé. Les compteurs de trames protègent théoriquement contre le rejeu, mais de nombreux dispositifs ABP réinitialisent ces compteurs après redémarrage, permettant le rejeu de trames capturées. L'interception avec un récepteur SDR et le décodeur gr-lora capture les trames même à plusieurs kilomètres. La migration vers OTAA avec rotation régulière des clés est la recommandation principale.
SDR et analyse de protocoles propriétaires
Le Software Defined Radio permet l'analyse de tout protocole radio dans sa bande de fréquences. Un HackRF One couvre 1 MHz à 6 GHz en réception et émission, englobant tous les protocoles IoT courants. L'analyse d'un protocole propriétaire commence par l'identification de la fréquence porteuse avec un scan spectral, suivie de la capture du signal brut, la démodulation avec GNU Radio et le décodage avec Universal Radio Hacker.
Les protocoles Sub-GHz propriétaires (télécommandes de garage, capteurs météo, systèmes d'alarme) utilisent fréquemment des codes fixes sans rolling code, rendant le rejeu trivial après capture. Le Yard Stick One et le Flipper Zero automatisent ce processus. Les contre-mesures incluent l'adoption de rolling codes et la détection spectrale continue. L'article sur le hardware hacking JTAG et UART complète l'approche radio avec les techniques d'accès physique aux interfaces de débogage pour extraire les clés de chiffrement et les paramètres radio.
Mon avis : le pentest radio IoT reste une niche dans laquelle peu de consultants sont compétents. Le coût d'entrée matériel est dérisoire (moins de 500 euros) et les vulnérabilités découvertes sont presque systématiquement critiques. Les fabricants qui investissent dans un audit radio avant mise sur le marché évitent des rappels de produits coûteux.
Quel matériel faut-il pour le pentest radio IoT ?
Un Ubertooth One pour le BLE (environ 100 euros), un dongle CC2531 pour Zigbee (15 euros), un HackRF One pour SDR généraliste (300 euros) et un adaptateur RTL-SDR pour la réception passive (25 euros). Budget total inférieur à 500 euros.
Le BLE 5.0 corrige-t-il les vulnérabilités ?
BLE 5.0 améliore la portée et le débit mais ne corrige pas les faiblesses du mode Just Works. Le mode Secure Connections avec Numeric Comparison reste nécessaire pour une sécurité robuste contre les attaques MITM.
LoRaWAN est-il sécurisé par défaut ?
LoRaWAN v1.1 avec activation OTAA et chiffrement AES-128 offre une bonne sécurité de base. Le mode ABP avec compteurs réinitialisables reste vulnérable au replay et doit être évité en production.
Conclusion
Les protocoles radio IoT présentent des vulnérabilités structurelles exploitables avec du matériel SDR accessible. Le BLE en mode Just Works, le Zigbee avec sa distribution de clé en clair et le LoRaWAN en mode ABP offrent des vecteurs d'attaque documentés. L'intégration du pentest radio dans les audits de sécurité IoT est indispensable pour évaluer le risque réel posé par ces protocoles sans fil déployés massivement.
Intégrer le test des protocoles radio BLE, Zigbee et LoRa dans vos évaluations de sécurité IoT permet de découvrir des vulnérabilités critiques invisibles aux audits réseau traditionnels, protégeant vos déploiements connectés contre des attaques exploitant la couche radio à distance sans accès physique au réseau.
Télécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Sécurité Firmware Embarqué : Extraction et Analyse
Extraire un firmware via SPI/JTAG, analyser le filesystem avec Binwalk, identifier les vulnérabilités et appliquer des c
Sécuriser les Objets Connectés en Entreprise en 2026
Caméras IP, badges RFID, capteurs industriels : inventorier, segmenter et surveiller les objets connectés en réseau d'en
Top 10 Vulnérabilités IoT OWASP : Guide Pratique 2026
Analyse détaillée des 10 vulnérabilités OWASP IoT avec preuves de concept, impact réel et remédiation pour chaque catégorie.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire